Guida agli indirizzi dei portafogli di criptovalute: trova il mio indirizzo in tutta sicurezza
L'indirizzo di un portafoglio è quanto di più simile a un numero civico si possa trovare nel mondo delle criptovalute. Indica alla rete dove depositare le tue monete ed è l'unica informazione che devi fornire ogni volta che qualcuno vuole pagarti. Questo lo rende semplice in teoria, ma pericoloso in pratica. Basta digitare un carattere sbagliato, fidarsi del contenuto degli appunti sbagliato o inserire un indirizzo copiato da un malware e il denaro è perso. Le transazioni in criptovaluta non sono reversibili. La tua banca non può contattare la controparte e chiedere un rimborso. Un indirizzo di portafoglio errato è irreversibile nella quasi totalità dei casi, motivo per cui una guida agli indirizzi di portafoglio dovrebbe essere nella lista di lettura di ogni nuovo possessore di criptovalute.
Questa guida è pensata per chi desidera inviare e ricevere criptovalute senza rischiare di perdere lo stipendio di un mese a causa di un errore evitabile. Spiega come un indirizzo di portafoglio sia un identificativo univoco sulla blockchain, quali formati esistono, come trovare il proprio indirizzo di portafoglio nelle app più comuni e le specifiche abitudini di sicurezza che proteggono i fondi nel 2026. Ogni regola qui descritta esiste perché persone reali hanno perso denaro reale ignorandola. Secondo Chainalysis, la quota di valore delle criptovalute rubate a seguito di compromissioni di singoli portafogli ha raggiunto il 44% nel 2024, rispetto al solo 7,3% del 2022. Gli hacker ora prendono di mira i portafogli tradizionali molto più degli exchange, e gli errori nell'indirizzo di portafoglio rappresentano la porta d'accesso.
Cos'è un indirizzo di portafoglio e come funziona
Dimenticate il gergo tecnico. L'indirizzo di un portafoglio di criptovalute è una stringa univoca di lettere e numeri, un insieme di caratteri che in pratica significa: deposita qui le tue criptovalute. Una lunga cronologia del portafoglio significa semplicemente che hai ricevuto fondi in quel portafoglio per un certo periodo. Chiunque sulla rete blockchain può inviarvi fondi. Solo chi possiede la chiave privata può prelevare le criptovalute; quella persona ha accesso al tuo saldo privato, e nessun altro. L'indirizzo stesso è una stringa univoca, diversa da qualsiasi altro indirizzo mai generato, ed è proprio questa unicità che permette alla rete di instradare correttamente i pagamenti.
Immaginate un conto corrente bancario. Il vostro numero di conto è la parte pubblica, e l'indirizzo del portafoglio funziona come un numero di conto corrente in quasi tutti gli aspetti importanti. Lo fornite liberamente, su fatture, assegni, in ogni forma di pagamento. Tutto a posto. Ora pensate al vostro PIN. Non lo direste mai a nessuno. È sostanzialmente la separazione tra chiave pubblica e privata, solo con un po' più di matematica. L'indirizzo pubblico è come il numero di conto. La chiave privata è come il PIN. Condividete il primo. Proteggete la seconda come se fossero tutti i vostri risparmi, perché in effetti lo sono. Condividete l'indirizzo del vostro portafoglio quando qualcuno deve pagarvi; non condividete mai le vostre chiavi private con nessuno, per nessun motivo, mai.
Una breve digressione matematica, utile per comprendere il resto. La tua chiave privata è semplicemente un enorme numero casuale, lungo 256 bit, e se dovessi digitarlo per intero ci impiegheresti un pomeriggio intero. Moltiplicalo per una curva ellittica (secp256k1 per Bitcoin, Ed25519 per Solana, dettagli che non ti servono) e otterrai una chiave pubblica. Calcola l'hash di quella chiave pubblica, semplificala, aggiungi un checksum e un prefisso e avrai l'indirizzo del tuo portafoglio. L'intera catena funziona in una sola direzione. Non potrai mai, in nessun caso, recuperare la chiave privata dall'indirizzo. Questo è tutto.
E la blockchain? Onestamente, non le importa minimamente chi sei. Nessun campo per il nome. Nessuna colonna per l'email. Nessun numero di passaporto. Ogni trasferimento viene registrato sulla blockchain come un semplice movimento tra due indirizzi, con un importo e una data e ora. Il tuo indirizzo è pseudonimo, non anonimo, perché ogni movimento è permanente e pubblico, ma non è collegato al tuo vero nome. Da dove proviene solitamente il collegamento tra "quella stringa 0x" e "tu, la persona"? Da due posti. Il modulo KYC che hai compilato su Coinbase o Binance. Oppure quella volta che hai twittato il tuo indirizzo a un follower e te ne sei dimenticato. La blockchain stessa non l'ha mai detto a nessuno. Gestire un indirizzo blockchain in modo sicuro inizia con la comprensione di come funzionano gli indirizzi dei portafogli: pubblici per definizione, privati solo se si presta attenzione.
Comprendere gli indirizzi dei portafogli su diverse blockchain
Ogni blockchain scrive gli indirizzi a modo suo. E i diversi formati degli indirizzi dei wallet non sono compatibili. Neanche lontanamente. Un indirizzo di un wallet Ethereum rifiuterà Bitcoin. Un indirizzo Solana ignorerà USDT inviato su Tron. Se invii a un altro wallet sulla blockchain sbagliata, di solito perdi i fondi. Non esiste un pulsante "annulla". Il tuo migliore amico in tutto questo caos è il prefisso. Dai un'occhiata ai primi caratteri e saprai su quale blockchain si trova l'indirizzo. `bc1`, `0x`, `T`, `r`, `L`. Impara questi cinque prefissi e eviterai la maggior parte degli errori di connessione alla blockchain sbagliata prima che si verifichino. Gli indirizzi Bitcoin coprono la famiglia 1/3/bc1. ETH copre tutte le blockchain EVM. Le altre blockchain si trovano ciascuna nel proprio angolo.
Allora perché tutto questo caos? Risposta semplice: nessuno si è coordinato. Ogni blockchain ha semplicemente scelto le proprie regole di codifica quando gli pareva. Bitcoin ha iniziato con Base58Check, poi ha aggiunto Bech32, poi Bech32m per Taproot. Ethereum ha scelto la semplice codifica esadecimale con un checksum in maiuscolo e minuscolo aggiunto in seguito. Solana ha optato per Base58 ma ha eliminato il byte di checksum che Bitcoin aggiunge alla fine. In fondo, la crittografia sembra abbastanza simile ovunque. Curve ellittiche, funzioni hash, la stessa manciata di noiosi elementi costitutivi. Ma è nel modo in cui questi elementi vengono confezionati che ogni blockchain ha deciso di fare le cose a modo suo. Il software del wallet cerca di nascondere tutto questo. Per lo più funziona. Fino a quando non smette di funzionare.
Ecco una cosa che sorprende le persone. Una frase di recupero può gestire decine di portafogli su decine di blockchain contemporaneamente. I moderni portafogli di criptovalute generano un nuovo indirizzo univoco per ogni tipo di criptovaluta posseduta, e tutti risalgono alle stesse 12 o 24 parole che hai inserito durante la configurazione. Apri un portafoglio multi-chain che supporta BTC, ETH e SOL e vedrai tre stringhe completamente diverse. Ognuna sul proprio registro. Spostare monete su una non ha alcun effetto sulle altre. Com'è possibile? Un piccolo insieme di standard fa il lavoro: BIP32, BIP39, BIP44. Di questi, BIP44 è quello che definisce il percorso di derivazione, quindi una singola frase viene mappata in modo preciso a un indirizzo di portafoglio Bitcoin qui, a un indirizzo di portafoglio Ethereum lì, a un indirizzo Solana lì. Davvero comodo. Ma anche un punto critico di fallimento. Perdi la frase e tutto ciò che segue scompare con essa.
Tipologie di formati di indirizzo per portafogli di criptovalute nel 2026
Ecco i principali formati di indirizzo del portafoglio che potresti incontrare. Impara a riconoscere il prefisso a colpo d'occhio e riuscirai a individuare un numero sorprendente di errori prima che si verifichino.
| Catena | Formato | Prefisso | Lunghezza | Note |
|---|---|---|---|---|
| Bitcoin | Legacy P2PKH | `1` | 26–34 | Formato più vecchio, ancora valido |
| Bitcoin | P2SH | `3` | 34 | Hash dello script, spesso multisig. |
| Bitcoin | SegWit Bech32 | `bc1q` | 42 | Tariffe più basse, solo in minuscolo |
| Bitcoin | Fittone | `bc1p` | 62 | Ultimo formato, con maggiore tutela della privacy. |
| Ethereum | EVM esadecimale | `0x` | 42 | Stesso formato su Polygon, Arbitrum, Base |
| Solana | Base58 | (nessun prefisso) | 32–44 | Maiuscole e minuscole |
| Tron | Base58Check | `T` | 34 | Utilizzato per TRC20 USDT |
| Litecoin | Legacy / Bech32 | `L`, `M`, `ltc1` | 26–62 | Simile a Bitcoin |
| XRP (Ripple) | Base58 | `r` | 25–35 | Richiede l'etichetta di destinazione sugli scambi |
| Dogecoin | Eredità | `D` | 34 | Eredità del fork di Bitcoin |
Bitcoin è quello più complicato. Esistono quattro varianti di indirizzi di portafoglio Bitcoin, perché la rete ha continuato ad aggiungere nuovi formati senza compromettere quelli vecchi. Gli indirizzi legacy che iniziano con 1 sono nel formato originale pay-to-public-key-hash del 2009. Ancora validi. Ancora funzionanti. Ancora i più lenti e costosi da cui spendere. Gli indirizzi che iniziano con 3 sono pay-to-script-hash, aggiunti nel 2012 per supportare la firma multipla e altri trucchi che richiedono l'uso di script. Gli indirizzi SegWit Bech32 che iniziano con bc1q sono stati introdotti nel 2017 tramite BIP 173. Gli indirizzi Taproot Bech32m che iniziano con bc1p sono seguiti nel 2021 con BIP 350. Perché è stato necessario BIP 350? Perché Bech32 aveva una particolarità: i caratteri p finali permettevano agli hacker di inserire o rimuovere caratteri q senza essere rilevati. Non proprio il tipo di bug che si desidera nel formato di indirizzo di una valuta. Tutti e quattro i tipi sono validi oggi, applicano tariffe diverse e alcuni vecchi servizi non sono ancora in grado di inviare dati a quelli più recenti. Il che rappresenta un rischio a sé stante.
Ethereum ha scelto la strada più semplice. Un solo formato: 0x seguito da 40 caratteri esadecimali. Tutto qui. La stessa stringa 0x funziona su Ethereum, Polygon, Arbitrum, Base, Optimism, qualsiasi blockchain che utilizzi EVM. Oltre a questo, Ethereum applica un checksum che distingue tra maiuscole e minuscole, definito nello standard EIP-55, che converte in maiuscole alcune lettere in base all'hash keccak-256 dell'indirizzo in minuscolo. Hai digitato male un singolo carattere? Il checksum di solito lo rileva. La specifica indica una percentuale di rilevamento degli errori di battitura casuali di un singolo carattere pari a circa il 99,9753%, un valore notevole che ho dovuto verificare. Ma ecco la trappola. Poiché lo stesso indirizzo 0x è valido su ogni blockchain EVM, è estremamente facile inviare USDC dalla mainnet di Ethereum a quell'indirizzo 0x e aspettarsi che vengano visualizzati su Polygon. Non succederà. Ogni blockchain ha il suo registro. Ognuna ha la sua copia del contratto USDC. Non comunicano tra loro. Questo pasticcio tra BEP20 e ERC20 è uno degli scenari di perdita più comuni nei ticket di supporto degli exchange. Punto e basta.
Come trovare l'indirizzo del mio portafoglio in qualsiasi app di portafoglio
Sembra più difficile di quanto non sia in realtà. Davvero. Il pulsante ha un'etichetta diversa in ogni app, ma la procedura per ottenere un indirizzo di portafoglio di criptovalute è la stessa in quattro passaggi ovunque nel 2026.
1. Apri il tuo portafoglio. Scegli la criptovaluta in cui desideri ricevere la criptovaluta, BTC, ETH, SOL, non importa.
2. Trova il pulsante Ricevi. Alcune app lo chiamano Richiesta, altre Deposito. È la stessa cosa.
3. Appare una schermata con il tuo indirizzo scritto come una sequenza di lettere e numeri, e un codice QR sottostante.
4. Copia la stringa, oppure mostra semplicemente il codice QR alla persona che ti sta pagando. Fatto. Ecco come trovare l'indirizzo del tuo portafoglio e ricevere fondi in qualsiasi portafoglio moderno.
Nel 2026, la maggior parte delle applicazioni di portafoglio digitale seguiva gli stessi quattro passaggi, sia su smartphone, computer desktop o come estensione del browser.
I portafogli hardware funzionano in modo leggermente diverso, ed è proprio qui che risiede la vera sicurezza dell'autocustodia. Usate un Ledger o un Trezor? Seguite la stessa procedura su Ledger Live o Trezor Suite sul vostro computer, ma il dispositivo stesso visualizza anche l'indirizzo di ricezione sul suo piccolo schermo. Controllate sempre quello schermo. Sempre. Confrontatelo con quello che mostra il vostro computer. Se c'è anche una sola differenza, interrompete immediatamente qualsiasi operazione. Il vostro computer è infetto da malware. Non sto esagerando, quella discrepanza è esattamente ciò che produce un programma di dirottamento degli appunti, e l'unico motivo per cui ve ne siete accorti è che il display del portafoglio hardware si trova su un piccolo chip dedicato a cui il vostro browser infetto non può accedere.
Utilizzi wallet software come MetaMask, Trust Wallet, Phantom? L'indirizzo si trova proprio in cima alla schermata principale, oppure a portata di tocco nella sezione "Ricevi". Copia e incolla, senza problemi. Per gli exchange, Coinbase, Binance, Kraken, e tutti gli altri, troverai l'indirizzo all'interno del menu "Deposito". Un'ottima funzionalità offerta dalla maggior parte degli exchange: ti forniscono un nuovo indirizzo univoco ogni volta che ne fai richiesta. Lascia attiva questa funzione. È un piccolo vantaggio in termini di privacy senza alcuno sforzo e protegge il tuo saldo di criptovalute rendendo più difficile l'analisi della blockchain.
Come utilizzare i portafogli di criptovalute e inviare una transazione
La procedura per inviare criptovalute tramite wallet è pressoché universale. Basta toccare "Invia", incollare o scansionare l'indirizzo del wallet del destinatario, scegliere l'importo, verificare la commissione e confermare. La blockchain trasmette quindi la transazione, i miner o i validatori la includono in un blocco e, nel giro di pochi minuti o ore, il destinatario riceve i fondi. Inviare e ricevere criptovalute è meccanicamente semplice. Il rischio risiede interamente nelle fasi intermedie, e ogni perdita causata dall'invio di criptovalute a un indirizzo errato si verifica perché qualcuno ha agito con troppa fretta in una di queste fasi.
Prima di confermare, ci sono tre cose importanti da fare. Innanzitutto, assicurati che l'indirizzo del portafoglio corrisponda esattamente a quello fornito dal destinatario. In secondo luogo, verifica che la blockchain sia la stessa. Inviare USDT su Ethereum a un indirizzo USDT su Tron è il modo classico per perdere denaro a causa di una banale discrepanza, e spesso gli exchange utilizzano formati di indirizzo diversi per lo stesso token su reti diverse. In terzo luogo, controlla la commissione. Pagare di più è uno spreco; pagare di meno può bloccare una transazione di criptovalute per giorni.
Per i trasferimenti di importo elevato, è buona norma effettuare una transazione di prova. Inviate prima una piccola somma, attendete che venga ricevuta e solo successivamente inviate l'importo totale. I pochi centesimi di commissioni di rete che pagherete rappresentano una sorta di assicurazione a basso costo e sono la migliore difesa contro errori di battitura, errori di copia e incolla e gli attacchi di avvelenamento dell'indirizzo descritti più avanti in questa guida.
Condividi l'indirizzo del tuo portafoglio in modo sicuro e senza rischi.
L'indirizzo è pubblico. Completamente e inequivocabilmente pubblico. Sicuro da condividere con chiunque debba pagarti, sicuro da pubblicare sul tuo sito web, sicuro da stampare sulla tua fattura. Un indirizzo di portafoglio non può essere utilizzato per rubare i tuoi fondi, solo la chiave privata può farlo, e il punto fondamentale della crittografia asimmetrica è che una parte della coppia è destinata a essere gridata ai quattro venti, mentre l'altra è destinata a essere portata nella tomba.
Quindi qual è il trucco? Il trucco sta nella privacy e nel phishing, non nella perdita di saldo. Pubblica il tuo indirizzo ETH pubblicamente e chiunque abbia un block explorer può controllare il tuo saldo, la cronologia completa delle transazioni, ogni NFT che hai mai utilizzato, ogni protocollo DeFi sospetto che hai provato una volta e di cui ti sei pentito. Condividilo in un gruppo Telegram e ogni partecipante lo vedrà. L'analisi on-chain nel 2026 è un settore maturo con buoni strumenti e persone competenti. Per un portafoglio con una lunga storia, il riutilizzo dell'indirizzo equivale a pubblicare un diario finanziario con il tuo nome in copertina.
E poi c'è la regola d'oro, che non perde mai di validità con la ripetizione: non condividere mai le tue chiavi private, la tua frase di recupero o le tue parole di ripristino. Né con un agente dell'assistenza. Né con un bot di airdrop. Né con un "rappresentante Ledger" che ti ha inviato un'email per un aggiornamento del firmware. Né con il tuo migliore amico. Letteralmente nessuno ne ha bisogno. Ho visto persone perdere somme a cinque cifre perché un messaggio privato dal "servizio clienti" sembrava utile e ufficiale. Non lo era. Non lo è mai. Non condividere mai le tue chiavi private con nessuno per nessun motivo.
Il problema dell'indirizzo errato del portafoglio: come evitare di perdere fondi.
Invia criptovalute all'indirizzo di portafoglio sbagliato e, quasi sempre, i soldi spariscono. Non esiste un servizio clienti per una blockchain. Nessun chargeback, nessuna protezione dalle frodi, nessun impiegato gentile che possa annullare la transazione. Il registro fa quello che gli hai detto, anche quando quello che gli hai detto è un errore di battitura.
I modi in cui le persone perdono effettivamente denaro sono stranamente banali. Un tempo, il principale colpevole era digitare manualmente un indirizzo, ma ormai nessuno sano di mente digita 42 caratteri esadecimali, quindi questo accade raramente nel 2026. Il dirottamento degli appunti, invece, è molto diffuso. Un'intera famiglia di trojan per Windows chiamati "clipper", tra cui il più famoso è Laplas Clipper, venduto come malware-as-a-service per circa 549 dollari all'anno, che monitora silenziosamente gli appunti e sostituisce qualsiasi indirizzo crittografico copiato con un indirizzo simile di un malintenzionato. Si incolla, si preme Invia e sembra tutto perfettamente normale. Microsoft ha coniato il termine "cryware" per questa intera categoria e monitora centinaia di migliaia di infezioni ogni anno.
Poi c'è l'avvelenamento degli indirizzi, una tecnica più recente e davvero crudele. L'attaccante genera un indirizzo fittizio che corrisponde ai primi quattro e agli ultimi quattro caratteri di un indirizzo con cui effettuate spesso transazioni. Vi invia una transazione di valore nullo (o una transazione senza valore) in modo che il suo indirizzo falso compaia nella cronologia del vostro portafoglio. La prossima volta che avrete bisogno di quell'indirizzo, lo copierete pigramente dalla cronologia e utilizzerete invece la versione dell'attaccante. Uno studio del Carnegie Mellon CyLab pubblicato all'inizio del 2025 ha registrato circa 270 milioni di tentativi di avvelenamento on-chain che hanno colpito 17 milioni di vittime tra luglio 2022 e giugno 2024, con almeno 83,8 milioni di dollari di perdite accertate. Non si tratta più di una minaccia marginale. Si tratta di phishing su scala industriale.
Il caso più eclatante si è verificato il 3 maggio 2024. Un investitore di grandi dimensioni (una "balena") ha perso 1.155 WBTC, circa 68 milioni di dollari all'epoca, a causa di un account falso che replicava la stessa destinazione abituale sia all'inizio che alla fine della transazione. L'attaccante ha restituito la maggior parte dei fondi una settimana dopo, per ragioni ancora oggetto di dibattito nella comunità, ma persino utenti esperti, che avrebbero dovuto essere più prudenti, sono caduti nella trappola della copia della cronologia delle transazioni. Nel dicembre 2024, un altro trader è stato vittima della stessa truffa, perdendo quasi 50 milioni di dollari in USDT. Persone diverse, blockchain diverse, stessa pigrizia: fidarsi della cronologia delle transazioni come fonte di indirizzi.
| Errore | Come accade | Come prevenirlo |
|---|---|---|
| Errore di battitura | Digitare a mano un lungo indirizzo | Copia e incolla sempre o scansiona il codice QR |
| Malware degli appunti | Il malware sostituisce l'indirizzo copiato | Verifica sullo schermo del portafoglio hardware |
| Avvelenamento da indirizzo | Indirizzo simile nella storia | Copia dai contatti o da una nuova fonte |
| Catena sbagliata | USDT inviato su ERC20 vs TRC20 | Verificare esattamente la catena prima di inviare |
| falsificazione del codice QR | Codice QR falso in pubblico | Verifica i primi e gli ultimi 6 caratteri |
Ognuno di questi errori si previene con la stessa abitudine fondamentale: ricontrollare sempre l'indirizzo prima di inviarlo e verificarlo su un dispositivo inaccessibile al malware. Copiare, incollare e confrontare l'indirizzo esattamente carattere per carattere, almeno i primi sei e gli ultimi sei, con quello originale. Un indirizzo errato, che l'app del portafoglio avrebbe utilizzato correttamente, è impossibile da recuperare una volta che la firma è stata trasmessa. Per le transazioni di valore elevato, un portafoglio hardware è la soluzione ideale, poiché il suo schermo è isolato dal computer e non può essere manomesso da alcun software.
Sia Bitcoin che Ethereum si proteggono dai semplici errori di battitura grazie a checksum integrati. Bitcoin utilizza Base58Check, quindi un singolo carattere errato in un indirizzo legacy di solito fa fallire il checksum e impedisce l'invio. Ethereum aggiunge i checksum EIP-55 per la gestione di errori misti (maiuscole e minuscole) per rilevare lo stesso tipo di errore negli indirizzi 0x. Questi checksum non sono utili contro gli scambi malevoli, perché l'indirizzo dell'attaccante è comunque un indirizzo valido e corretto. Sono utili solo contro gli errori di battitura involontari.
Gestione degli indirizzi dei portafogli e della privacy sulla blockchain
Gestire gli indirizzi dei portafogli è semplice a livello tecnico, ma complicato a livello personale. Su una blockchain come Bitcoin, la prassi migliore è generare un nuovo indirizzo per ogni pagamento in entrata. In questo modo si interrompe il collegamento tra i pagamenti e si rende più difficile per un osservatore esterno tracciare la quantità di criptovaluta posseduta. Riutilizzare ripetutamente lo stesso indirizzo collega ogni pagamento alla stessa identità sulla blockchain e offre a chiunque disponga di un block explorer una visione completa della propria attività.
Ethereum è diverso. Poiché ogni indirizzo Ethereum è anche un account con un nonce e un saldo, la maggior parte delle persone e delle applicazioni utilizza un unico indirizzo per tutto. Questo è comodo, ma è anche il motivo per cui l'analisi della blockchain è così efficace su Ethereum. Se si desidera la privacy, un nuovo indirizzo per ogni progetto è il minimo indispensabile. I mixer e gli strumenti per la privacy offrono maggiore protezione, ma sollevano dubbi sulla conformità normativa di molti exchange.
L'inserimento in whitelist è un altro strumento fondamentale. La maggior parte degli exchange e molti portafogli hardware consentono di inserire indirizzi attendibili in una lista bianca, in modo che i fondi possano essere inviati solo a destinazioni pre-approvate. In combinazione con un periodo di attesa per le nuove voci, l'inserimento in whitelist è uno dei metodi più efficaci per bloccare sia i malware che copiano gli indirizzi dagli appunti sia i furti di identità, poiché l'attaccante non può semplicemente sostituire l'indirizzo con uno nuovo.
Rubriche, contatti e servizi di risoluzione automatica dei nomi di portafoglio come ENS semplificano la vita quotidiana sostituendo una stringa esadecimale di 42 caratteri con un'etichetta facile da ricordare come `alice.eth`. Queste etichette sono comode, ma vulnerabili al phishing. Gli attacchi di omografia Unicode registrano un dominio i cui glifi sembrano identici a un nome affidabile, ma utilizzano caratteri simili al cirillico o al greco, e la vittima copia un indirizzo risolto dal nome falso senza accorgersene. Questa tipologia di attacco è documentata sul web da vent'anni e i portafogli di criptovalute che risolvono automaticamente i domini ENS, SNS o Unstoppable Domains ereditano lo stesso rischio. Risolvete sempre un nome ENS la prima volta tramite un'interfaccia affidabile, verificate che l'indirizzo sottostante corrisponda alla persona che vi aspettate e salvatelo nella vostra rubrica personale dopo la verifica.
Gli attacchi Dust sono una tecnica simile che spesso precede l'avvelenamento. Un aggressore invia piccole transazioni a migliaia di indirizzi, in modo che quando la vittima in seguito consolida i propri fondi non spesi, i "dust" (i fondi non spesi) vengano trasmessi e rivelino il gruppo di indirizzi appartenenti allo stesso proprietario. La vittima dell'attacco WBTC del maggio 2024 è stata monitorata tramite i "dust" per settimane prima che l'attacco vero e proprio avesse luogo. Wallet come Wasabi, Samourai e Sparrow ora consentono di contrassegnare i "dust" come "da non spendere" per interrompere il collegamento.
Gestione degli indirizzi dei portafogli digitali: norme di sicurezza per il 2026
La difesa contro le tre principali minacce, ovvero i malware che infettano gli appunti, l'avvelenamento degli indirizzi IP e i trasferimenti sulla blockchain sbagliata, si riduce a una manciata di abitudini che si acquisiscono o meno. Eccole qui, in breve.
Utilizzate un portafoglio hardware per tutto ciò che non potete permettervi di perdere. Non è un'opzione, non è un lusso, non è paranoia. Un Ledger o un Trezor vi offrono un piccolo schermo fisico che i malware sul vostro computer non possono letteralmente raggiungere, e la verifica dell'indirizzo del destinatario su quello schermo prima di firmare blocca la stragrande maggioranza degli attacchi tramite copia negli appunti. Acquistate dal negozio ufficiale, non da eBay. Nel novembre 2024, Ledger Donjon ha pubblicato una segnalazione di una vulnerabilità di tipo voltage glitching nel microcontrollore del Trezor Safe 3, che è rilevante solo se qualcuno ha accesso fisico al vostro dispositivo, ed è esattamente ciò che un dispositivo di seconda mano manomesso offre a chi lo possiede.
Attiva la whitelist degli indirizzi ovunque il tuo exchange la supporti. Imposta gli indirizzi attendibili una sola volta, imposta un periodo di attesa più lungo e accetta i possibili inconvenienti. La maggior parte dei tentativi di furto di identità prevede che l'attaccante sostituisca l'indirizzo di prelievo, e una whitelist blocca efficacemente questa via d'attacco. Un piccolo costo, un grande vantaggio.
Eseguite una transazione di prova ogni volta che inviate denaro a un nuovo indirizzo. Pochi centesimi di commissioni contro la perdita dell'intero pagamento a causa di un errore BEP20/ERC20: fate due conti. Inviate una piccola somma, attendete la conferma, verificate che sia stata ricevuta e solo dopo effettuate il bonifico principale. Questa semplice abitudine permette di individuare errori di battitura, malware come Clipper, la selezione errata della rete e qualche bug della borsa, tutto in una volta.
Mantieni aggiornate le app del tuo portafoglio e le estensioni del browser. La maggior parte degli exploit pubblici funziona ancora nelle versioni obsolete e un falso aggiornamento di MetaMask è uno dei metodi classici per sostituire un portafoglio legittimo con un clone compromesso. Applica la patch quando richiesto. È noioso, ma blocca comunque una grande quantità di perdite reali.
E ancora una volta, perché la ripetizione è l'unica cosa che rimane impressa: condividete liberamente l'indirizzo del vostro portafoglio pubblico, ma non condividete mai le vostre chiavi private, la vostra frase di recupero o le vostre parole di recupero. Senza eccezioni. Il giorno in cui qualcuno vi chiede la vostra frase di recupero è il giorno in cui state subendo una truffa, anche se lo fa con gentilezza.
