Truffa dell’avvelenamento degli indirizzi: come funziona e come evitarla
Immaginate di inviare criptovalute come fate di solito. Aprite il vostro portafoglio, date un'occhiata alla cronologia delle transazioni, copiate l'indirizzo che avete usato decine di volte, lo incollate e cliccate su "Invia". Il trasferimento viene confermato in pochi secondi. L'unico problema è che il denaro è appena finito nelle mani di uno sconosciuto che ha speso una vera potenza di calcolo per creare un indirizzo che sembra quasi identico al vostro, e la blockchain ha fatto esattamente quello che le avete detto di fare. Questo, in poche parole, è l'avvelenamento dell'indirizzo: nessuna chiave rubata, nessun malware, solo una versione falsa di voi stessi inserita nei vostri stessi dati. Questa guida spiega come funziona la truffa, le tre forme che assume, quanto perdono effettivamente le persone e le poche abitudini che possono aiutarvi a evitare le truffe di avvelenamento dell'indirizzo prima di inviare fondi al posto sbagliato.
Che cos'è effettivamente l'avvelenamento da indirizzo?
L'avvelenamento degli indirizzi è un attacco di phishing mirato alla memoria e allo schermo, non alla crittografia sottostante. Le chiavi private non vengono mai toccate. Nulla viene sottratto, decrittografato o hackerato. La truffa si basa invece su una pigrizia umana: un indirizzo blockchain è una lunga e illeggibile sequenza di lettere e numeri (qualcosa come 0x4a3f...c91d), e quasi nessuno lo legge per intero. Controlliamo i primi quattro caratteri, controlliamo gli ultimi quattro, alziamo le spalle e andiamo avanti.
Quella scrollata di spalle è tutta la vulnerabilità. Genera un indirizzo che presenta quei caratteri visibili, fallo arrivare a qualcuno che già si fida, e hai buone probabilità di essere pagato per errore. La parte crudele è ciò che accade dopo. I trasferimenti on-chain sono definitivi, quindi non c'è una banca da contattare né un addebito da annullare; nel momento in cui confermi, il denaro appartiene a qualcun altro. Assicurazioni e chargeback, le reti di sicurezza che salvano le persone nella finanza tradizionale, semplicemente non esistono qui. L'avvelenamento dell'indirizzo non manda in crash la blockchain. Distoglie la tua attenzione, e poi permette alla catena di fare esattamente ciò che la tua attenzione non ha potuto.
Come funziona l'avvelenamento degli indirizzi nelle criptovalute
Sebbene il risultato sembri magico, il meccanismo è banale. Un attacco di avvelenamento degli indirizzi IP andato a buon fine si articola in tre fasi che chiunque studi la catena può riprodurre.
Passaggio 1: generazione di un indirizzo simile
Innanzitutto, l'attaccante sceglie un obiettivo, di solito un indirizzo che gestisce spesso transazioni di denaro, quindi avvia un generatore di indirizzi personalizzati. Il software analizza diverse coppie di chiavi candidate finché non ne trova una il cui indirizzo inizia e finisce con gli stessi caratteri di un indirizzo a cui la vittima invia regolarmente denaro. Far corrispondere pochi caratteri è economico, ed è proprio questo l'aspetto preoccupante: dopo l'aggiornamento Fusaka di Ethereum, che ha ridotto le commissioni, un'analisi ha rilevato che gli attaccanti hanno effettuato tre milioni di trasferimenti di denaro fittizio per un totale di circa 5.175 dollari. A questi prezzi, l'avvelenamento di indirizzi diventa un'attività industriale, non un furto.
Passaggio 2: avvelenare la cronologia delle transazioni
Successivamente, l'attaccante inserisce un indirizzo simile nei tuoi registri, in modo che appaia come un indirizzo che hai già utilizzato in precedenza. Potrebbe inviarti una piccola quantità di un token reale, effettuare un trasferimento a valore zero o inviarti un token falso. In qualsiasi modo venga fatto, l'obiettivo è identico: far sì che l'indirizzo falso compaia nella tua cronologia accanto a quello reale, con lo stesso nome e cognome.
Passaggio 3: la trappola del copia-incolla
Poi aspettano. La prossima volta che devi pagare il tuo solito destinatario, per comodità copi l'indirizzo direttamente dalla cronologia delle transazioni recenti. I caratteri visibili corrispondono, non c'è niente di strano e invii. Se lo fai in automatico, potresti accidentalmente inviare token a un indirizzo simile invece che a quello corretto. La blockchain esegue il trasferimento correttamente, ma alla persona sbagliata. Ecco perché l'avvelenamento dell'indirizzo viene talvolta chiamato la trappola del copia-incolla, e perché funziona con la stessa facilità sia con gli utenti esperti e attenti che con i principianti. Ciò che lo rende così efficace è la tempistica: l'indirizzo falso viene spesso inserito pochi minuti dopo una transazione reale, quindi l'indirizzo falso si trova esattamente dove ti aspetti di trovare quello autentico. Non si tratta tanto di negligenza quanto di efficienza, ed è proprio sull'efficienza che conta l'attaccante.
I tre tipi di avvelenamento degli indirizzi
Uno studio accademico del 2025 della Carnegie Mellon ha classificato gli attacchi informatici reali in tre tipologie. La differenza principale sta nel modo in cui viene inserito l'indirizzo falso, il che influenza ciò di cui dovresti diffidare nella tua cronologia.
| Tipo | Come viene inserito l'indirizzo falso | Il racconto |
|---|---|---|
| Trasferimento minuscolo (di polvere) | Una somma simbolica, reale ma minuscola, inviata dall'indirizzo simile | Un importo in entrata insignificante e inaspettato |
| Trasferimento a valore zero | Un trasferimento di token "0" che registra comunque un evento di trasferimento nella tua cronologia | Mostra il tuo indirizzo come mittente, valore 0 |
| token contraffatto | Un contratto falso che imita un token reale (un USDT o un USDC contraffatto) | Il nome del token sembra corretto, ma l'indirizzo del contratto no. |
Delle tre, il trasferimento a valore zero è la variante di avvelenamento dell'indirizzo che confonde maggiormente le persone, perché può sembrare provenire dal proprio indirizzo. Ciò è possibile perché alcuni contratti di token consentono a chiunque di emettere un evento "Transfer" per zero token senza il permesso del proprietario, quindi l'attaccante crea uno script che il portafoglio visualizza fedelmente. Storicamente, la Smart Chain di BNB ha registrato molti più tentativi di frode rispetto a Ethereum grazie alle commissioni più basse, ma la riduzione delle commissioni di Fusaka ha ribaltato la situazione, spostando la maggior parte dell'attività su Ethereum.
Quanti soldi vengono rubati per avvelenamento dell'indirizzo?
L'avvelenamento degli indirizzi sembra un errore di arrotondamento finché non si sommano i dati. Le cifre riportate di seguito sono volutamente datate, perché in questo ambito del mondo delle criptovalute i numeri cambiano rapidamente e i totali dell'anno scorso sottostimano notevolmente il problema.
| Caso o misura | Quantità | Quando | Risultato |
|---|---|---|---|
| Studio Carnegie Mellon/USENIX (ETH + BSC) | 270 milioni di tentativi, 83,8 milioni di dollari persi, 17 milioni di vittime | Da luglio 2022 a giugno 2024 | Il più ampio studio condotto finora |
| Balena Bitcoin impacchettata | Circa 68 milioni di dollari inviati a un sosia | Maggio 2024 | Fondi recuperati; l'autore dell'attacco si è appropriato di circa 1,49 milioni di dollari. |
| Una sola vittima di USDT | 49,9 milioni di dollari | Dicembre 2025 | Riciclato tramite Tornado Cash |
| Perdite su Ethereum (ScamSniffer) | 62 milioni di dollari | Da dicembre 2025 a gennaio 2026 | Totale di due mesi |
Un paio di questi casi meritano una riflessione. La vittima del "wrapping bitcoin", che ha rischiato di perdere circa 68 milioni di dollari nel maggio 2024 , è riuscita a recuperare i fondi, perché l'aggressore (dopo aver riciclato il denaro e negoziato) ha restituito la maggior parte e si è allontanato con circa 1,49 milioni di dollari; gli investigatori hanno poi collegato quella singola campagna a 82.031 indirizzi falsificati. Quasi nessuno è così fortunato. La vittima di 49,9 milioni di dollari in USDT nel dicembre 2025 ha visto il denaro sparire direttamente in Tornado Cash, senza possibilità di restituzione né di ricorso.
La tendenza è la parte veramente preoccupante. Dopo l'aggiornamento Fusaka che ha ridotto le commissioni di Ethereum, i tentativi mensili di avvelenamento sulla rete sono aumentati di oltre cinque volte e, nel gennaio 2026, Citi ha segnalato che il record di 2,8 milioni di transazioni al giorno di Ethereum era dovuto in gran parte allo spam di avvelenamento piuttosto che a un reale utilizzo economico. All'inizio del 2026, le stime del settore sulle perdite cumulative avevano raggiunto circa mezzo miliardo di dollari. Ciò che mi inquieta non è l'ingegnosità della truffa, ma il suo costo: poche migliaia di dollari di commissioni permettono di effettuare milioni di tentativi, e all'attaccante ne basta uno solo per andare a segno.
Avvelenamento vs spoofing vs avvelenamento IP
Il termine "avvelenamento" viene spesso utilizzato per indicare attacchi molto diversi tra loro, quindi è utile distinguerli. L'avvelenamento dell'indirizzo, argomento trattato qui, è la truffa legata alle criptovalute che inserisce un indirizzo falso nella cronologia delle transazioni. Lo spoofing dell'indirizzo è un termine più ampio e di solito si riferisce alla falsificazione del mittente di un messaggio o di una transazione per impersonare qualcun altro. Infine, l'"avvelenamento IP", che a volte viene cercato per errore, si riferisce ad attacchi di rete come l'avvelenamento della cache ARP o DNS, che non hanno nulla a che vedere con i portafogli di criptovalute . Stesso verbo, tre concetti completamente diversi.
Come proteggersi dall'avvelenamento dell'indirizzo
Quasi tutte le difese contro l'avvelenamento degli indirizzi si riducono a una sola regola: non fidarti mai della tua cronologia delle transazioni e non copiare mai gli indirizzi direttamente da essa. L'indirizzo falso si trova lì proprio perché è lì che lo cerchi. Adotta qualche abitudine basata su questo principio e l'attacco smetterà di funzionare nella maggior parte dei casi.
Verifica l'indirizzo completo, mai solo nome e cognome.
Controlla l'intera stringa, o almeno una porzione consistente sia della parte centrale che di quella finale. Un malintenzionato può facilmente trovare corrispondenze tra i primi e gli ultimi caratteri, ma trovare corrispondenze per una sequenza lunga al centro è molto più difficile. La maggior parte dei portafogli moderni utilizza lo standard di checksum EIP-55 e le convenzioni di visualizzazione più recenti evidenziano una porzione maggiore dell'indirizzo, rendendo più facile individuare le discrepanze.
Utilizza una rubrica, non copiare mai dalla cronologia.
Salva l'indirizzo di ciascun destinatario una sola volta, dopo averlo verificato da una fonte attendibile, e da quel momento in poi invia i pagamenti utilizzando il contatto salvato, anziché copiare gli indirizzi dalle transazioni recenti. I wallet come MetaMask chiamano questa funzione "Contatti"; il principio è lo stesso ovunque. In questo modo, la voce salvata non può essere compromessa da un trasferimento in entrata, che è poi l'obiettivo principale.
Verifica le transazioni, i controlli hardware e le liste di autorizzazione per i pagamenti.
Per importi elevati, inviate prima una piccola somma di prova e verificate che l'indirizzo del destinatario sia corretto prima di inviare il resto; le poche commissioni pagate rappresentano una piccola assicurazione contro un errore che potrebbe costare cifre a sette zeri. Anche i portafogli hardware sono utili in questo caso, perché mostrano l'indirizzo di destinazione reale su una schermata separata, che un malware sul vostro computer non può modificare silenziosamente. Le aziende che effettuano frequenti pagamenti in criptovalute sono particolarmente esposte, poiché copiano e incollano indirizzi tutto il giorno e spesso delegano questo compito a personale che potrebbe non aver mai sentito parlare di avvelenamento degli indirizzi. Pertanto, limitare i pagamenti a una lista di destinatari pre-approvata (un insieme fisso di destinazioni verificate da cui il sistema non si discosterà) elimina completamente la possibilità di errore umano. Se accettate pagamenti in criptovalute tramite un gateway, verificate se questo blocca già gli indirizzi di prelievo proprio per questo motivo.
Cosa stanno facendo i portafogli e gli exchange
Gli strumenti si stanno evolvendo, ma nessuno di essi sostituisce le abitudini menzionate in precedenza. Gli explorer di blocchi come Etherscan ora nascondono o segnalano i trasferimenti di valore zero, impedendo che intasino la cronologia. Ledger Live e Trezor Suite filtrano le voci sospette e, a marzo 2026, Trust Wallet ha introdotto la protezione automatica contro l'avvelenamento degli indirizzi su 32 blockchain . Gli exchange centralizzati presentano una propria versione del rischio, poiché gli utenti riutilizzano ripetutamente lo stesso indirizzo di deposito, quindi una voce avvelenata può essere altrettanto costosa. Tuttavia, nulla di tutto ciò è infallibile: un hacker determinato può comunque far passare una nuova voce simile attraverso un filtro che non l'ha ancora incontrata. Pertanto, questi strumenti offrono un margine di sicurezza, non l'immunità. Considerate ciascuna di queste funzionalità come una rete di sicurezza che si estende sotto la vostra prudenza, mai come un sostituto di essa.
Chi viene preso di mira e la lezione da imparare
È facile pensare che solo i neofiti disattenti cadano in questa trappola, ma i dati dicono il contrario. Le perdite maggiori colpiscono mittenti e aziende attivi ed esperti, proprio coloro che trasferiscono denaro frequentemente e si sono abituati a inviare denaro velocemente senza pensarci due volte. L'avvelenamento dell'indirizzo è economico da attuare, definitivo quando funziona e si basa interamente su un'abitudine che quasi tutti condividiamo, ed è proprio questo che lo rende una truffa così persistente. La consapevolezza è davvero la soluzione migliore, perché una volta che si conosce la trappola, il semplice atto di verificare un indirizzo completo la disinnesca. La vera domanda non è se si comprende la truffa, ma se la si noterebbe comunque alle due del mattino, sul proprio telefono, mentre si effettua un pagamento a qualcuno a cui si è già pagato centinaia di volte.
