Nell’ultimo anno l’azienda di sicurezza Certora è diventata un tassello centrale dell’infrastruttura DeFi, accompagnando protocolli, exchange e chain in una fase di crescita senza precedenti.
Un 2025 record per valore onchain e rischi
Nel 2025 il valore onchain dell’ecosistema DeFi ha raggiunto circa 2,5 trilioni di dollari. Tuttavia, questa espansione ha messo in luce nuove vulnerabilità, vettori di attacco e punti deboli nell’intero stack blockchain, dai protocolli alle infrastrutture.
La sicurezza non è più solo individuare bug prima del lancio. Ora significa garantire che sistemi complessi restino sicuri nel tempo, mentre evolvono, scalano e si adattano alle esigenze mutevoli degli utenti.
In questo contesto, Certora non si è limitata a seguire il mercato: si è posizionata come partner strutturale per i principali attori della finanza decentralizzata.
Certora partner dei maggiori protocolli DeFi
Nel corso del 2025, l’azienda ha ampliato il proprio ruolo come partner di sicurezza per la maggioranza dei protocolli DeFi più rilevanti per valore totale bloccato (TVL). Quattordici dei primi 20 protocolli e sette dei primi 10 si affidano a Certora per rapporti continuativi.
In termini percentuali, il 70% dei principali 20 protocolli DeFi per TVL è cliente Certora. Inoltre, il 70% della top 10 lavora con la società su base continuativa, con accordi di lungo periodo e non con semplici audit spot.
Tra le piattaforme che collaborano in modo continuativo figurano Aave e Compound da oltre 5 anni, Sky e Morpho da 4 anni, Silo da 4 anni, Safe ed EigenLayer da più di 3 anni, oltre a Lido e Stellar con impegni pluriennali.
Questo elenco rappresenta solo la parte più visibile. Nel 2025, 44 nuovi protocolli hanno avviato collaborazioni di sicurezza con Certora, tra cui Fluid, Jito, Navi, Polygon, Suilend e molti altri.
Nel complesso, la società dichiara di aver protetto 196,5 miliardi di dollari in asset nel solo 2025, a testimonianza di una scalabilità operativa significativa.
Audit multi-chain e sicurezza a scala industriale
I protocolli moderni non vivono più su una sola chain o in un unico linguaggio. Per questo, nel 2025 Certora ha analizzato centinaia di migliaia di righe di codice su più ambienti e layer tecnologici.
Nel dettaglio, sono state esaminate 200.700 linee di codice EVM e 206.600 linee su Solana, oltre a 33.000 linee su Sui, 16.300 su Aptos e 6.000 su NEAR. A queste si sommano 90.000 linee relative a infrastrutture blockchain, 14.000 per applicazioni mobile e 36.000 per sistemi off-chain.
Questi ultimi includevano componenti di ecosistemi come EigenLayer Hourglass, SafeNet, Cork, tool di Lido e altri. Detto ciò, la sfida principale non è stata la quantità di codice, ma la varietà di ambienti e modelli di esecuzione.
Lavorare su stack eterogenei ha imposto di affrontare differenti failure mode e insidie per gli sviluppatori, con l’obiettivo di comprendere come i sistemi reagiscono sotto stress, indipendentemente da chain, linguaggio o finestra temporale.
Oltre il TVL: che cosa significa davvero valore
Il valore protetto non si misura soltanto in TVL. Il lavoro di Certora copre infrastrutture, meccanismi di governance e applicazioni rivolte agli utenti, con un approccio che combina revisione del design e tecniche matematiche.
Nel 2025 circa 90 miliardi di dollari in asset sono stati messi in sicurezza tramite revisione architetturale e verifica formale delle invarianti di protocollo, ovvero proprietà che devono valere in ogni stato del sistema.
Inoltre, sono stati completati 150 audit su più catene, ambienti di esecuzione e layer, con l’identificazione di oltre 720 vulnerabilità prima del deployment. Il 99% delle segnalazioni è stato corretto dai team prima del lancio.
In 11 casi, l’analisi ha portato alla sospensione del lancio di un protocollo, dopo aver individuato rischi gravi che avrebbero potuto compromettere la sostenibilità economica o la sicurezza degli utenti.
Detto ciò, nel 2025 la sicurezza non è stata un mero adempimento procedurale, ma uno strumento per modificare concretamente gli esiti operativi dei protocolli.
Le falle evitate: le hack che non sono mai arrivate
Nel corso dell’anno, Certora ha individuato 80 vulnerabilità critiche, 180 vulnerabilità ad alta severità e 360 di gravità media. Si tratta di numeri che mostrano l’entità del rischio latente nel settore.
Questi problemi non erano difetti superficiali, ma bug in grado di generare effetti come insolvenza senza exploitation esplicita, blocco permanente dei fondi degli utenti, posizioni di debito non liquidabili, cattura della governance o derive economiche lente ma devastanti.
In un caso emblematico, un singolo protocollo presentava fino a 80 problemi distinti, dimostrando quanto i sistemi complessi possano risultare fragili quando sottoposti a condizioni reali di mercato.
Inoltre, il team di ricerca ha scoperto 10 bug attivi in sistemi già distribuiti in produzione. Questo conferma che la sicurezza non termina al momento del lancio, ma richiede monitoraggio costante man mano che mercati, utilizzo e infrastrutture evolvono.
La nuova frontiera: errori economici e interazioni tra sistemi
Molte delle criticità individuate nel 2025 non derivavano da sintassi o errori banali di implementazione, ma da presupposti economici errati e da interazioni complesse tra più sottosistemi.
Tra i casi più significativi spicca un errore matematico che avrebbe potuto gonfiare i tassi di interesse effettivi fino a 2.000 volte, con impatti potenzialmente devastanti sul bilanciamento del protocollo.
Un altro problema riguardava una modalità di fallimento della liquidazione legata a un upgrade di Ethereum denominato Fusaka, in cui i limiti di gas per transazione potevano creare posizioni non liquidabili, con rischio sistemico per l’intero meccanismo di prestito.
Sono stati poi rilevati errori di arrotondamento tali da violare invarianti centrali, come la monotonicità del tasso di share, ovvero la garanzia che determinate grandezze non decrescano in condizioni normali.
Questi non sono bug identificabili con semplici pattern automatici. Richiedono comprensione profonda dei protocolli, ragionamento economico avanzato e attenzione costante ai cambiamenti a livello di chain.
Protocolli progettati per durare nel tempo
Una parte consistente del lavoro del 2025 si è concentrata sull’assicurare la solvibilità economica dei protocolli nel lungo periodo, guardando oltre la singola versione del codice o il momento del lancio.
L’obiettivo è aiutare i clienti a costruire sistemi destinati a durare anni o decenni, valutando per ogni formula e per ogni logica l’effetto cumulato nel tempo. In questo contesto emergono difetti che a prima vista restano invisibili.
Le analisi hanno infatti messo in luce diversi errori contabili che si sarebbero manifestati solo in un futuro remoto, generando eventi estremi come sovra-remunerazione degli interessi, rottura delle invarianti di solvibilità senza exploit esterno o accumulo di “ghost debt” che altera in modo permanente l’economia interna.
In apparenza, molti di questi protocolli risultavano corretti se osservati in un singolo istante. Tuttavia, fallivano quando si esaminavano le transizioni di stato sull’asse temporale, dimostrando la necessità di un’analisi dinamica.
Perché la verifica formale diventa essenziale
I protocolli più critici non possono accontentarsi di una semplice fiducia qualitativa. Per questo le verifiche formali Certora puntano a dimostrare, e non solo ipotizzare, la correttezza dei sistemi.
Nel 2025, i processi di formal verification sono andati oltre il controllo di singole funzioni, includendo invarianti di sistema, cioè proprietà che devono rimanere vere in tutti gli stati possibili del protocollo.
Per Aave v4 sono state provate proprietà come la monotonicità del tasso di share, l’impossibilità per le azioni degli utenti di rendere malsane le posizioni sane e la regola secondo cui l’assenza di collaterale implica assenza di debito.
Su Euler Earn e Kamino è stata formalmente dimostrata la solvibilità dei protocolli, mentre per Silo è stata verificata la coerenza tra code di deposito e di prelievo. Per Stellar, invece, è stato provato che le allowance scadute non possono essere riutilizzate.
Nel complesso, questo tipo di lavoro rende la sicurezza un attributo dimostrabile, riducendo il margine di incertezza su comportamenti futuri in condizioni estreme.
Espansione del team e modello operativo
La capacità di coprire così tanti protocolli deriva anche dalla crescita interna. Nel 2025, il team di ricerca sulla sicurezza è quadruplicato, arrivando a 40 esperti, tra cui 25 dottori di ricerca in metodi formali, crittografia e sistemi.
La società può oggi contare su quattro team di ricerca dedicati. Ogni audit è svolto da ricercatori di alto profilo, coordinati da team lead, e supportato da strumenti di verifica formale, analisi automatizzata e revisione manuale ripetuta.
Inoltre, i ricercatori instaurano rapporti di lungo periodo con i clienti, seguendo diverse versioni e progetti, dalla fase di design fino alla governance post-lancio. Questo modello di assistenza di sicurezza continua consente di reagire rapidamente a cambiamenti di mercato o aggiornamenti infrastrutturali.
In questo senso, la sicurezza non è un effetto collaterale, ma un elemento ingegnerizzato, pensato fin dall’inizio come componente strutturale dei protocolli.
Prospettive per la DeFi dopo il 2025
I protocolli che hanno avuto successo nel 2025 non si sono limitati a crescere rapidamente. Hanno coinvolto partner specializzati in anticipo, approfondito le verifiche e trattato la sicurezza come infrastruttura fondamentale.
Certora si presenta come il partner di riferimento per questi soggetti e guarda ai prossimi anni con l’obiettivo di consolidare ulteriormente gli standard di sicurezza del settore, man mano che nuovi modelli economici e nuove chain entrano in produzione.
Alla luce dei risultati ottenuti, la sicurezza Certora appare destinata a restare un pilastro dell’ecosistema DeFi globale, soprattutto in un contesto in cui il valore onchain e la complessità dei protocolli continuano ad aumentare.