I bridge dovevano essere la promessa dell'interoperabilità. Nel 2026 sono diventati il bancomat preferito degli hacker. Il dato è secco: 340,7 milioni di dollari drenati da protocolli cross-chain in 14 exploit, secondo l'allerta di PeckShield del 1 giugno 2026. Non un incidente isolato. Un modello che si ripete.
C'è una tesi diffusa nel settore: i bridge sono infrastruttura giovane, le falle si chiuderanno con audit migliori e più tempo. La realtà dei numeri racconta qualcosa di diverso, e più scomodo. Il problema non è la maturità del codice. È dove il codice concentra il valore.
La tesi mainstream: è solo questione di tempo
L'argomento ottimista suona ragionevole. I bridge sono software complesso, gestiscono messaggi tra catene diverse, e ogni tecnologia nuova attraversa una fase di vulnerabilità prima di stabilizzarsi. Audit, bug bounty, monitoraggio continuo: con gli strumenti giusti, dice questa scuola di pensiero, il rischio rientra. È la stessa curva che hanno seguito gli exchange centralizzati dopo gli anni peggiori.
Il ragionamento ha un punto debole. Presume che il difetto sia accidentale, una serie di bug da correggere uno alla volta. I dati del 2026 suggeriscono invece un difetto di struttura.
L'antitesi: i numeri che smontano l'ottimismo
A maggio 2026 si sono registrati 60 incidenti, il dato mensile più alto dell'anno, per circa 68,3 milioni di dollari di perdite lorde. Le vulnerabilità di codice hanno pesato per il 66%, mentre gli exploit di bridge hanno prodotto la cifra più alta per singolo tipo di incidente. Il recupero dei fondi è stato di appena il 13,7%. Quasi nove dollari rubati su dieci non tornano indietro.
Il caso simbolo resta KelpDAO. PeckShield ha documentato su X la dinamica degli exploit cross-chain del 2026, e la lettura aggregata è netta: i bridge dominano la classifica delle perdite.
Perché i bridge crypto vengono hackerati?
Perché concentrano in un solo punto il collaterale di decine di catene, e basta una falla nella verifica dei messaggi per svuotarlo. È il difetto di design, non il bug del singolo contratto. Il 18 aprile 2026 un attaccante ha drenato circa 116.500 rsETH, pari a 292 milioni di dollari, dal bridge di KelpDAO costruito su LayerZero. Chainalysis ha rilevato che LayerZero aveva impostato per default un quorum RPC di 1 su 1: un solo nodo compromesso poteva autorizzare messaggi cross-chain fraudolenti. Quel rsETH garantiva versioni del token su oltre venti catene, da Base ad Arbitrum, da Linea a Scroll. Una falla, venti ecosistemi esposti.
Il copione si ripete in scala minore ma identico nella logica. Un attaccante conia, scarica, fa il ponte verso un'altra catena, ricicla. In un caso recente sono stati spostati 1.285,5 ETH attraverso un mixer per nascondere le tracce. Mint, dump, bridge, launder. La pipeline del furto è ormai industriale.
Su questo si innesta un tema che SpazioCrypto ha già trattato: l'arrivo degli agenti AI capaci di scovare vulnerabilità più in fretta di quanto i difensori riescano a chiuderle. Per quel dibattito, rimando all'analisi dedicata. .
La sintesi: il bersaglio non cambierà da solo
Mettendo insieme i due fronti, la conclusione è meno consolatoria della tesi mainstream. Finché i bridge resteranno depositi unici di collaterale multi-catena, la geometria del rischio premierà chi attacca. L'attaccante deve trovare un punto. Il difensore deve proteggerli tutti. Le verifiche a quorum minimo, le ottimizzazioni di costo che riducono i controlli, la pressione a lanciare in fretta: ogni scorciatoia diventa una porta. Le aziende che gestiscono valore on-chain dovrebbero leggere i 340,7 milioni del 2026 non come una somma di sfortune, ma come il prezzo strutturale di un'architettura che ancora non ha risolto il suo problema più costoso.
Per chi vuole approfondire il lato tecnico della verifica cross-chain, le linee guida europee sulla sicurezza delle infrastrutture digitali sono raccolte da ENISA, mentre i movimenti on-chain degli attaccanti sono tracciabili su Etherscan.
