CertiK Audit: alla scoperta del più grande ente di audit per la sicurezza Web3.
La dicitura "Verificato da CertiK" compare sulle landing page dei token come un'etichetta di sicurezza sul seggiolino auto di un bambino. Dovrebbe significare: qualcuno ha controllato, puoi stare tranquillo. CertiK è il nome più importante nel campo della sicurezza Web3 e per molti investitori il badge è diventato sinonimo di "probabilmente sicuro". Il problema è che diversi progetti che lo sfoggiano sono stati comunque derubati di milioni di dollari. Quindi, cosa ti offre realmente una verifica CertiK? Questo articolo spiega cos'è CertiK, come funzionano le sue verifiche e il suo punteggio Skynet, in quali casi sono utili e dove il badge smette silenziosamente di avere un significato.
Chi è CertiK e perché domina la sicurezza Web3
CertiK non ha inventato l'audit dei contratti intelligenti. Lo ha industrializzato. L'azienda ha trasformato un processo lento e artigianale, svolto da una manciata di crittografi, in un marchio che un progetto può acquistare, mostrare e indicare quando gli investitori chiedono se il codice è sicuro.
Da un laboratorio di Yale a un'azienda da 2 miliardi di dollari
Nel 2018, due professori di informatica, Ronghui Gu della Columbia University e Zhong Shao di Yale, hanno fondato CertiK. L'idea era accademica, quasi ostinatamente. Utilizzare la verifica formale, un metodo matematico per dimostrare che un software fa ciò che promette, per rendere il codice blockchain dimostrabilmente corretto anziché semplicemente "testato". Un'idea di nicchia. Eppure ha attratto ingenti finanziamenti. Ad aprile 2022, secondo TechCrunch , CertiK aveva raccolto circa 88 milioni di dollari con una valutazione di 2 miliardi di dollari, con investitori del calibro di Goldman Sachs, Tiger Global, Sequoia e il Vision Fund di SoftBank. Nove round di finanziamento, per un totale di circa 296 milioni di dollari. Niente male per due accademici che hanno iniziato dimostrando teoremi sui compilatori.
Che cosa misura realmente "il più grande revisore dei conti"?
I numeri principali di CertiK riguardano il volume. Più di 6.100 progetti sottoposti ad audit. Oltre 91.000 vulnerabilità segnalate in questi audit di sicurezza. Asset per un valore superiore a 360 miliardi di dollari esaminati, con clienti del calibro di Aave, Polygon e BNB Chain. Le dimensioni sono reali. Ed è proprio questo il punto cruciale, perché il termine "più grande" si riferisce al numero di audit completati da un'azienda, non alla profondità di ciascuno di essi. Un'azienda che produce più report di chiunque altro è certamente impressionante, ma volume e rigore non sono la stessa cosa, ed è proprio nel divario tra i due che si concentrano la maggior parte delle critiche. Ecco la versione concreta di queste critiche. CertiK esamina così tanti progetti che il suo nome finisce sia su un meme usa e getta che su un protocollo serio, e un pass di due giorni ottiene lo stesso badge di una revisione di mesi. Chi acquista raramente riesce a distinguere l'uno dall'altro. Questa uniformità è il vero problema del badge.
Come funziona concretamente un audit CertiK, passo dopo passo
Un audit CertiK non è un'entità unica. Si compone di due livelli sovrapposti e comprenderne la differenza è fondamentale per capire cosa il report finale può e non può garantire.
Verifica formale vs revisione manuale
Il primo livello è la verifica formale. Invece di eseguire uno smart contract e osservare cosa succede, CertiK costruisce un modello matematico del codice e dimostra se determinate proprietà sono sempre valide, indipendentemente dall'input. Il suo compilatore DeepSEA è stato creato proprio per supportare questo processo. La verifica formale è efficace per domande specifiche, come "questo saldo può mai diventare negativo?", ma controlla solo le proprietà che qualcuno ha ritenuto opportuno specificare.
Il secondo livello è la revisione manuale: ingegneri umani leggono il codice riga per riga, alla ricerca di errori logici, presupposti errati e quel tipo di errori sottili che un modello non segnalerebbe perché nessuno gli ha detto di cercarli. È da qui che provengono la maggior parte delle scoperte concrete. A seconda della quantità e della complessità del codice, l'intero processo richiede dalle 48 ore circa per un progetto di piccole dimensioni a diverse settimane per un protocollo complesso.
Lettura del rapporto: "risolto" vs "riconosciuto"
Il risultato finale è un report. Esso segnala ogni vulnerabilità in base alla gravità — critica, maggiore, minore e informativa — e indica cosa ha fatto il progetto per risolverla. Quest'ultima colonna è più importante di quanto si pensi. Una vulnerabilità contrassegnata come "risolta" significa che il team l'ha corretta e CertiK l'ha ricontrollata. Una vulnerabilità contrassegnata come "presa in carico" significa che il team l'ha letta, ha fatto spallucce e ha comunque rilasciato il progetto. Due progetti possono entrambi mostrare lo stesso badge, mentre uno ha risolto tutto e l'altro ha ignorato gli avvisi critici. Il badge non li distingue. Il report sì. Questo è anche il motivo per cui la data sul report è importante. Il codice viene rilasciato, poi cambia; un audit di un anno e dieci aggiornamenti fa descrive un progetto che potrebbe non esistere più sulla blockchain nella forma in cui è stato esaminato.
| Palcoscenico | Cosa fa CertiK | Catture | Punti ciechi |
|---|---|---|---|
| Verifica formale | Dimostra matematicamente le proprietà specificate del codice | Errori matematici e logici nelle regole definite | Qualsiasi cosa al di fuori delle proprietà specificate |
| Revisione manuale | Gli ingegneri leggono il codice a mano | Errori logici, presupposti errati, schemi di attacco noti | Sistemi off-chain, modifiche al codice successive all'audit |
| Rapporto e nuova verifica | Elenca i risultati in base alla gravità, verifica le correzioni | Se le questioni siano state affrontate | Se il team abbia effettivamente implementato la versione corretta |
Skynet e il punteggio di sicurezza CertiK Web3
Gli audit sono istantanee puntuali. Skynet è il tentativo di CertiK di vendere qualcosa di continuo: una dashboard in tempo reale che monitora i progetti dopo il loro lancio e assegna a ciascuno un punteggio di sicurezza. L'azienda afferma di monitorare oltre 20.000 progetti on-chain.
Il punteggio combina diversi fattori. Analizza se un progetto è stato sottoposto ad audit, se il suo team ha superato il controllo KYC di CertiK (disponibile in livelli oro, argento e bronzo) e il comportamento dei contratti: Skynet analizza il comportamento dei contratti on-chain tramite monitoraggio in tempo reale e segnala le anomalie non appena si verificano. Skynet esegue anche avvisi di monitoraggio on-chain per truffe di uscita ed exploit, oltre a classifiche che mettono a confronto i progetti. Come indicatore a prima vista, il punteggio Skynet è effettivamente utile. È più veloce della lettura di un report completo e segnala evidenti segnali di allarme. Tuttavia, si tratta pur sempre di un prodotto venduto da CertiK, basato in parte sui dati forniti da CertiK stessa, e un punteggio elevato non è mai stato garanzia di sicurezza per un progetto. Consideratelo come un dato, non come un verdetto. I precedenti lo confermano. Alcuni progetti hanno mantenuto punteggi Skynet rispettabili fino al momento in cui sono stati sfruttati o abbandonati silenziosamente, perché un punteggio basato in gran parte sul comportamento passato non può prevedere un cambiamento malevolo. Indica semplicemente che un progetto non è ancora esploso. Non può dirtelo, non lo farà mai.
Oltre gli audit: il resto dell'ecosistema di CertiK
L'audit è il servizio principale, ma CertiK offre una gamma più ampia di servizi complementari. I test di penetrazione simulano attacchi a wallet, exchange e app. Un programma di bug bounty, senza commissioni di piattaforma, paga hacker esterni per trovare le vulnerabilità prima che lo facciano i criminali. A questi si aggiungono la verifica dell'identità (KYC) per dare un nome reale ai fondatori anonimi, SkyInsights per la conformità e la lotta al riciclaggio di denaro, requisiti necessari per le aziende regolamentate ai sensi di MiCA e DORA, e SkyTrace per rintracciare i fondi rubati sulle blockchain una volta che si è verificato un problema. Nessuno di questi servizi sostituisce l'audit, ma lo integra, trasformando un incarico occasionale in un abbonamento che copre l'intero ciclo di vita di un progetto decentralizzato.
Verificato e poi violato: quando i vettori di attacco sfuggono ai controlli.
Ecco la parte che le spiegazioni patinate tralasciano. Un audit è un'istantanea di un codice specifico in un momento specifico. Non è una garanzia, e trattarlo come tale è il motivo per cui le persone perdono denaro in progetti che sulla carta erano stati eseguiti "correttamente".
Cosa non copre un audit
Un audit di uno smart contract controlla il contratto stesso. Non verifica se i fondatori possiedono una chiave di amministratore che permetta loro di svuotare il pool. Non controlla il sito web, i server o le chiavi private sottostanti. Non controlla la versione del codice che il team distribuisce al termine dell'audit, che potrebbe differire da quella esaminata. E non può impedire a un team di fuggire con i soldi. La maggior parte dei vettori di attacco che svuotano un progetto non sono affatto bug nel contratto sottoposto ad audit, ma risiedono nelle lacune che lo circondano.
Il caso Merlin DEX: segnalato ma sfruttato
Merlin DEX è l'esempio più lampante. CertiK lo ha sottoposto a un audit, che ha effettivamente segnalato il problema: i contratti del progetto erano pericolosamente centralizzati, con accesso privilegiato che un insider malintenzionato avrebbe potuto sfruttare. Nell'aprile del 2023, proprio questo meccanismo è stato utilizzato per sottrarre circa 1,82 milioni di dollari. L'audit non si sbagliava; aveva identificato il rischio. Ma l'avvertimento è rimasto nella colonna "riconosciuto" anziché in quella "risolto", e l'attacco è penetrato indisturbato attraverso la porta già segnalata dal report. Individuare la falla è stata la parte facile. Intervenire era compito del cliente, e il team di Merlin non l'ha mai fatto.
Allargando lo sguardo, il trend è preoccupante per l'intero settore. Gli stessi report di CertiK su Hack3d mostrano perdite in aumento, non in diminuzione. L'azienda ha contato circa 2,36 miliardi di dollari rubati in 760 incidenti nel 2024 , poi circa 3,35 miliardi di dollari in 630 incidenti nel 2025 , un anno gonfiato dalla singola violazione di Bybit da 1,45 miliardi di dollari. Dati indipendenti di Chainalysis stimano i furti del 2025 a circa 3,4 miliardi di dollari, di cui circa 2,02 miliardi attribuibili a gruppi legati alla Corea del Nord. Questi operatori prendono sempre più di mira le persone e le infrastrutture che ruotano attorno a un contratto, piuttosto che il contratto stesso, che è proprio il terreno che un audit non copre. Un maggior numero di audit non ha significato una diminuzione della criminalità.
| Anno | perdite segnalate | Incidenti | Il singolo di maggior successo |
|---|---|---|---|
| 2024 | 2,36 miliardi di dollari | 760 | — |
| 2025 | 3,35 miliardi di dollari | 630 | Bybit, 1,45 miliardi di dollari |
L'incidente del Kraken e il problema di fiducia di CertiK
Per un'azienda che vende fiducia, la propria condotta è parte integrante del prodotto. Due episodi hanno reso la situazione imbarazzante.
Nel giugno 2024, i ricercatori di CertiK scoprirono una falla zero-day nella piattaforma di scambio Kraken e, invece di limitarsi a segnalarla, la utilizzarono per prelevare circa 3 milioni di dollari dai sistemi di Kraken . CertiK presentò l'episodio come una dimostrazione della gravità della vulnerabilità. Kraken lo definì un'estorsione e affermò che l'azienda inizialmente si era rifiutata di restituire i fondi fino a quando non fu costretta. Il denaro venne infine restituito, ma l'episodio fu percepito negativamente: un'azienda di sicurezza che sfruttava un cliente su larga scala per dimostrare la propria superiorità. Poi, all'inizio del 2025, CertiK si scusò per il lavoro svolto con Huione, un'azienda cambogiana successivamente collegata a complessi residenziali sfruttati per il lavoro forzato. Tutto ciò non significa che le verifiche di CertiK siano prive di valore. Significa però che un'azienda che chiede al mercato di fidarsi della sua parola ora deve ricostruire parte della sua reputazione, e lo sta facendo mentre, secondo alcune fonti, si prepara a una futura IPO con una valutazione di circa 2 miliardi di dollari.
CertiK a confronto con altre aziende di sicurezza Web3
CertiK è il nome più noto nel settore della sicurezza blockchain, ma non l'unico, e per molti progetti non è la scelta più ovvia. Il mercato degli audit si divide approssimativamente tra grandi aziende e società specializzate. Le società specializzate si occupano di un numero inferiore di clienti e tendono ad approfondire maggiormente gli aspetti, e molte definiscono i propri standard di sicurezza, che vanno oltre le capacità di un'azienda che gestisce grandi volumi di attività. I protocolli che gestiscono somme ingenti spesso si rivolgono a una di queste società per un secondo parere proprio per questo motivo. Scalabilità e approfondimento non sono la stessa cosa, e la scelta giusta dipende dalla fase di sviluppo del progetto e dal budget a disposizione. I prezzi riflettono questa variabilità: un audit per un piccolo token può costare poche migliaia di dollari, mentre una revisione completa di un protocollo complesso può arrivare a cifre a sei zeri.
| Ditta | Messa a fuoco | Noto per | Modello |
|---|---|---|---|
| CertiK | Ampia sicurezza Web3 | Volume, Skynet, notorietà del marchio | Scala |
| Sentiero di bit | Sicurezza ad alta affidabilità | Revisione manuale approfondita, ricerca | Boutique |
| OpenZeppelin | Sicurezza dei contratti intelligenti | Librerie di contratti ampiamente utilizzate | Boutique |
| Halborn | Sicurezza delle infrastrutture e della blockchain | Test di penetrazione, exploit avanzati | di medie dimensioni |
| Hacken | Audit e monitoraggio Web3 | Audit economicamente vantaggiosi | di medie dimensioni |
Come leggere il badge "Audited by CertiK"
Quindi, vedi la dicitura "Verificato da CertiK" su un progetto. Prima di fidarti, apri il report completo e controlla cinque cose. Primo, l'ambito: quali contratti sono stati esaminati e la parte relativa al tuo finanziamento è inclusa in questi? Secondo, la data e l'hash del commit: confrontali con il codice effettivamente in produzione, perché spesso differiscono. Terzo, i risultati: quanti erano critici e sono stati risolti o semplicemente presi in considerazione? Quarto, se la versione verificata corrisponde alla versione distribuita. Quinto, non basarti solo sul punteggio Skynet; è un riepilogo, non il documento completo.
Una breve precisazione sui ticker, perché spesso vengono confusi. CertiK è un'azienda privata e non ha azioni. CTK è il token di Shentu Chain, una rete proof-of-stake separata, collegata ai primi progetti di CertiK. Acquistare CTK non significa acquistare una partecipazione nell'attività di revisione contabile. Se siete qui cercando "azioni CertiK", sappiate che al momento non esistono.
Quanto vale davvero un audit CertiK
Quindi, un audit CertiK ha un qualche valore? Sì, entro certi limiti. Alza il livello minimo. Elimina il codice scritto male, mette per iscritto i rischi reali e fornisce a un team serio una lista di cose da sistemare. Ciò che non può fare è garantire per le persone. Non promette che il codice distribuito corrisponda a quello esaminato, o che un singolo rischio segnalato sia stato effettivamente risolto. Considerate il badge come l'inizio della vostra diligenza, non come il traguardo. Quindi, la prossima volta che vedete "Audit da CertiK", fate la cosa noiosa che quasi nessuno fa: aprite il report e leggete la colonna che indica cosa è stato corretto. E se il progetto non vi mostra il report? Quella riluttanza è la risposta. Un badge che non si può verificare è solo un logo.
