Recensione di XeggeX Exchange 2026 : Anatomia di un crollo da 80 milioni di dollari
La mattina del 3 febbraio 2025 è stato l'ultimo giorno di normale attività di trading su XeggeX. I prelievi si sono interrotti improvvisamente nel pomeriggio. Il sito è andato offline. L'operatore, noto pubblicamente solo come "Karl", ha pubblicato un messaggio in cui affermava che il laptop del CEO era stato compromesso e il database corrotto. La mattina successiva, gli analisti on-chain di Salvium e Nerva avevano già pubblicato screenshot di wallet che mostravano deflussi sequenziali e regolari di USDC, USDT, ETH e BNB dai wallet online di XeggeX, datati 2 e 3 febbraio. La storia non corrispondeva ai dati della blockchain.
Ciò che seguì non fu una ripresa. Fu un lento e pubblico declino che trasformò XeggeX da una piattaforma di scambio di criptovalute con 314.000 utenti nel caso emblematico più citato nel mondo delle criptovalute nel 2025. Questo articolo ne è l'autopsia.
Cos'era XeggeX? Un breve profilo
La piattaforma di scambio è stata fondata nel 2021 come piattaforma centralizzata per criptovalute. La giurisdizione dichiarata era le Seychelles, secondo CoinMarketCap, e la Germania, secondo la recensione di BitDegree, ma in entrambi i casi non è verificabile. L'operatore era anonimo; l'unico nome pubblico associato alla piattaforma era "Karl". Al suo apice, la piattaforma quotava 587 criptovalute su oltre 900 coppie di trading, con circa 314.000 utenti registrati. Il sistema KYC era a livelli: un livello senza KYC limitava i prelievi a 5.000 USD al giorno; gli account verificati potevano prelevare fino a 1.000.000 USD al giorno. Le commissioni di trading variavano dallo 0,20% allo 0,06% in base al volume degli ultimi 30 giorni, con un ulteriore sconto del 25% per i possessori del token XPE della piattaforma. Prima del crollo, il volume di scambi nelle 24 ore si aggirava intorno ai 3 milioni di USD.
L'attacco hacker: come XeggeX è diventato inaccessibile il 3 febbraio 2025
I primi segnali sono apparsi sulla blockchain, non in alcun annuncio.
Il 2 e 3 febbraio 2025, gli analisti blockchain che monitoravano i portafogli online di XeggeX hanno notato deflussi sequenziali e precisi di USDC, USDT, ETH e BNB. Il team di Salvium ha pubblicato degli screenshot. Gli sviluppatori di Nerva hanno effettuato un confronto incrociato. Lo schema non assomigliava affatto ai prelievi caotici e disordinati tipici di una violazione esterna. Sembrava piuttosto un'azione interna, eseguita da qualcuno in possesso di tutte le chiavi private, in modo ordinato.
Nel pomeriggio del 3 febbraio, il sito era offline. Il primo messaggio di Karl è apparso poco dopo, pubblicato sul canale Telegram della piattaforma. Il laptop del CEO era stato "hackerato", ha scritto; il database della piattaforma era stato "corrotto". Agli utenti su Discord e Telegram è stato detto di attendere mentre il team valutava i danni. Non è stata fornita alcuna tempistica per la gestione dell'incidente, non è stata incaricata alcuna società di sicurezza esterna, né è stata promessa un'analisi post-mortem. La liquidità di trading per le centinaia di coppie di altcoin della piattaforma è evaporata nel giro di poche ore.
La versione ufficiale presentava tre problemi. Primo, le chiavi private dei portafogli online non si trovano normalmente sul laptop di un CEO, bensì su moduli hardware, servizi di firma o schemi multi-firma. Secondo, una "corruzione" del database non sposta fondi dal cold storage, ma impedisce al front-end di visualizzare i saldi. Terzo, il pattern on-chain mostrava qualcuno che firmava transazioni in ordine corretto, non un'azione di panico dettata dall'accaparramento. La comunità ha interpretato la situazione nell'unico modo possibile: non si trattava di una compromissione esterna, ma di un'uscita dall'interno di XeggeX.
Un articolo di rekt.news, intitolato "Pianta una bandiera rossa", ha denunciato la truffa di uscita di XeggeX. La Quadriga Initiative, un gruppo di sostegno alle vittime che prende il nome dalla piattaforma di scambio più famigerata del Canada, ha aperto un fascicolo contro la XeggeX nel giro di pochi giorni. I team di mining di criptovalute che si affidavano alla piattaforma come principale luogo di quotazione hanno iniziato a quantificare pubblicamente le perdite.
Qualunque cosa sia realmente accaduta il 3 febbraio, i dati registrati sulla blockchain chiariscono una cosa: quando i primi utenti della piattaforma hanno sentito parlare di un "attacco hacker", i fondi erano già spariti, trasferiti in una sequenza durata meno di 36 ore e finiti in portafogli che hanno immediatamente suddiviso i flussi tra almeno tre mixer.
Token di promessa: come XeggeX ha emesso titoli di debito dopo l'attacco hacker.
Il sito è tornato parzialmente online a metà febbraio. I prelievi effettivi erano impossibili. I possessori di Bitcoin, Ethereum e USDT hanno invece scoperto che i loro saldi erano stati silenziosamente riemessi come token nativi della piattaforma, denominati BTCXX, ETHXX e USDTXX. Questi token IOU (Income-of-You) prevedevano un interesse mensile dello 0,5%, come descritto da XeggeX – una formulazione scelta, presumibilmente, per mascherare la manovra come una ristrutturazione strutturata piuttosto che come una tattica dilatoria.
La comunità non si è fatta ingannare. Un exchange che detiene i tuoi Bitcoin ti deve Bitcoin. Un exchange che ti consegna un token personalizzato etichettato BTCXX ti deve una promessa. I due non sono intercambiabili e uno sconto dello 0,5% al mese non risolve questa asimmetria. Verso la fine di febbraio, i subreddit e i server Discord di XeggeX vendevano i token IOU con sconti a doppia cifra. A marzo, i possessori che cercavano di venderli nei pochi mercati che ancora li quotavano subivano perdite superiori all'80%.
Il modello IOU ha inoltre fornito a XeggeX un vantaggio legale. Finché la piattaforma deteneva tecnicamente dei "saldi" negli account degli utenti – denominati in token da essa controllati – poteva plausibilmente sostenere che nessun fondo fosse stato rubato, ma solo convertito. Lo stesso stratagemma è stato utilizzato in quasi tutti i crolli di exchange di medie dimensioni dopo quello di Mt. Gox: un token interno, un tasso di interesse promesso, una tempistica vaga e una costante erosione dell'attenzione pubblica. Quando la maggior parte degli utenti ha rinunciato a tentare di riscattare i propri BTCXX o USDTXX, il mercato secondario di questi token si era ridotto quasi a zero.
Fallimento il 27 giugno 2025: cosa hanno perso gli utenti della piattaforma
La piattaforma ha annunciato ufficialmente il fallimento tramite il proprio sito web il 27 giugno 2025, citando l'incidente di febbraio come causa principale. La stampa ha riportato circa 12.000 utenti coinvolti e circa 80 milioni di dollari di asset. Nessuna delle due cifre è stata verificata in modo indipendente; entrambe provengono dall'annuncio ufficiale di XeggeX e sono state riprese da AInvest, CoinRank e Cryptonews. Non è stato nominato alcun curatore fallimentare. Nessun procedimento giudiziario è stato reso pubblico. Non è stato istituito alcun comitato dei creditori.
Il team di Salvium è stato uno dei pochi team di progetto a rendere pubblico l'evento. Il 27 giugno 2025, gli sviluppatori di Salvium hanno pubblicato su XeggeX un messaggio in cui affermavano che XeggeX era stata la piattaforma principale per i possessori di SAL e che qualsiasi utente che avesse lasciato fondi su quella piattaforma avrebbe dovuto considerarli persi. Verus, Avian, Pirate Chain, Conceal e diverse altre piccole community di mining di criptovalute hanno pubblicato dichiarazioni simili nel corso della settimana successiva.
Per gli utenti della piattaforma, il 27 giugno è stato meno un evento legale e più una conferma di quanto già annunciato il 3 febbraio: i soldi non sarebbero tornati. La dichiarazione di fallimento non prevedeva alcuna tutela per i creditori in nessuna delle giurisdizioni in cui la piattaforma aveva vagamente rivendicato la propria esistenza. Non è intervenuto alcun tribunale fallimentare. Non è stato nominato alcun liquidatore per vendere i beni rimanenti e distribuire il ricavato. Il fallimento è stato un annuncio, non una procedura.
La "rinascita" di XeggeX nel 2026: teatro dei rimborsi o continuazione della truffa?
Nel gennaio 2026, il dominio xeggex.com si è riattivato silenziosamente. Il 15 febbraio 2026, l'account @xeggex su X ha pubblicato un messaggio in cui annunciava che la piattaforma era "di nuovo operativa" e stava "elaborando i rimborsi". La reazione della community è stata immediata e scettica.
I segnali che l'entità 2026 fosse una continuazione piuttosto che un ritorno erano di natura strutturale. Lo stesso operatore era dietro a entrambe. I token IOU (BTCXX, ETHXX, USDTXX) sono rimasti negli account degli utenti. Non è stata pubblicata alcuna verifica delle riserve della piattaforma. Nessun amministratore terzo ha convalidato il processo di rimborso. Non c'è stata alcuna supervisione giudiziaria, nessun riconoscimento da parte degli enti regolatori e nessun registro di chi avesse ricevuto i pagamenti.
Le segnalazioni della community sono state dirette. nerva.one ha pubblicato un'analisi con il titolo "Truffa dell'exchange di criptovalute XeggeX". La Quadriga Initiative ha aggiornato il suo caso di studio per segnalare il riavvio del 2026 come una probabile continuazione. Entrambe le organizzazioni hanno consigliato agli utenti di non depositare e di non accettare offerte di rimborso che richiedevano commissioni aggiuntive o "depositi di verifica", uno schema che aveva già iniziato a comparire nelle segnalazioni degli utenti.
Un clone quasi identico, chiamato AnonEx, era già stato lanciato nel 2025 utilizzando lo stesso codice sorgente. I server Discord dedicati al mining di criptovalute lo avevano segnalato come probabile rerug poche settimane dopo il suo lancio. In entrambi i casi era evidente la stessa impronta operativa.
| Data | Evento |
|---|---|
| 2 febbraio 2025 | Gli analisti on-chain segnalano deflussi sospetti di USDC/USDT/ETH/BNB dai portafogli online di XeggeX. |
| 3 febbraio 2025 | Il sito va offline; Karl pubblica un messaggio: "Laptop del CEO hackerato / database danneggiato" |
| Febbraio-marzo 2025 | Il sito riprende parzialmente le attività; i token IOU BTCXX/ETHXX/USDTXX sostituiscono i saldi degli utenti. |
| 27 giugno 2025 | XeggeX annuncia ufficialmente la bancarotta; si parla di circa 12.000 utenti e 80 milioni di dollari di perdite. |
| Fine 2025 | Il clone di AnonEx viene lanciato sulla base di codice di XeggeX. |
| Gennaio 2026 | Il dominio xeggex.com si riattiva |
| 15 febbraio 2026 | @xeggex su X afferma "rimborsi in corso/in fase di elaborazione" |
Karl, Paul Vernon e la questione dell'operatore XeggeX
L'unico nome pubblico associato a XeggeX è "Karl". I ricercatori della comunità di Quadriga Initiative e di rekt.news hanno ipotizzato un collegamento con Paul Vernon, il gestore dell'exchange Cryptsy, incriminato nel 2016 per reati correlati. Il collegamento è un'ipotesi della comunità. Non è stato provato in tribunale, nessun ente regolatore ha presentato denuncia contro Karl in quanto Vernon, e l'articolo dovrebbe presentare la connessione come presunta piuttosto che come accertata.
Ciò che conta è lo schema, non il nome. La stessa configurazione si ripete caso dopo caso: operatore anonimo, sede legale, nessuna prova di riserve, nessuna traccia di audit, nessun curatore fallimentare al momento opportuno. Questa configurazione ha portato al fallimento di TradeOgre nel settembre 2025 per mano di un'autorità giudiziaria e di XeggeX nel febbraio 2025 per un apparente furto da parte di un insider. Il meccanismo varia, ma il rischio rimane lo stesso.
XeggeX contro TradeOgre: morti parallele nello stesso cimitero.
XeggeX e TradeOgre operavano nello stesso settore delle criptovalute. Entrambe erano piattaforme di custodia. Entrambe non prevedevano un'efficace procedura KYC (Know Your Customer) per la maggior parte o per tutti gli utenti. Entrambe erano diventate rifugi per il mining di criptovalute e per la tutela della privacy, dopo essere state rimosse dalle piattaforme più grandi. Entrambe operavano in modo anonimo. Entrambe hanno cessato l'attività nel 2025, a sette mesi di distanza l'una dall'altra, con meccanismi molto diversi.
XeggeX è crollata per prima, il 3 febbraio 2025, in quello che, a giudicare dalla blockchain, sembrava un complotto interno mascherato da attacco hacker. TradeOgre è stata sequestrata dalla Royal Canadian Mounted Police il 18 settembre 2025: il più grande sequestro di criptovalute nella storia canadese, pari a 56 milioni di dollari canadesi, e la prima volta che le forze dell'ordine canadesi hanno smantellato un exchange. Finali diversi, ma la stessa configurazione di base.
| Dimensione | TradeOgre (prima di settembre 2025) | XeggeX (prima di febbraio 2025) | Riavvio di XeggeX 2026 |
|---|---|---|---|
| KYC | Nessuno | Opzionale (senza verifica dell'identità fino a 5.000 USD al giorno) | Non chiaro; solo richieste di rimborso |
| commissioni di negoziazione | 0,2% invariato | Sconto a scaglioni dallo 0,20% allo 0,06% + sconto XPE | n / a |
| Modello di custodia | Carcerario | Carcerario | Custodia (rivendicata) |
| Giurisdizione dichiarata | Offshore / non registrato | Seychelles (rivendicate) | Stesso dominio, opaco |
| Operatore | Anonimo | "Karl" (presunto collegamento con Paul Vernon) | Stesso operatore |
| Risultato | Sequestro di 56 milioni di dollari canadesi da parte della RCMP | Attacco hacker/truffa di uscita, bancarotta 27 giugno 2025 | Refundtheatre |
Due borse valori. Stessa categoria. Stesso anno. Diversi meccanismi di fallimento. È la categoria che sta morendo.
Dove i trader di XeggeX hanno spostato i loro asset digitali
Dove vanno i possessori di criptovalute da mining dopo la scomparsa di una piattaforma come XeggeX? Tre alternative strutturalmente diverse sopravvivono perché non condividono la stessa modalità di fallimento di XeggeX. Bisq è una rete peer-to-peer non custodial con un sistema di escrow multisig 2-of-2 e arbitri; l'operatore non detiene mai i fondi degli utenti. Haveno è un fork di Bisq creato specificamente per Monero, che la maggior parte delle piattaforme centralizzate ha comunque rimosso dalla propria lista. Hodl è una piattaforma P2P non custodial esclusivamente per Bitcoin che, secondo quanto riportato, ha servito oltre 500.000 utenti senza mai detenere la custodia di alcuno di essi. Per i commercianti che necessitano di accettare criptovalute senza implementare un'infrastruttura KYC lato cliente, i gateway di pagamento come Plisio colmano questa lacuna, separando la questione del trading da quella del regolamento. Gli exchange decentralizzati come Uniswap e Curve gestiscono la maggior parte della liquidità delle valute ERC-20 direttamente da wallet autocustoditi. Nessuna di queste soluzioni sostituisce perfettamente un sistema di custodia veloce, ma ognuna elimina il singolo punto di vulnerabilità che ha causato il fallimento di XeggeX e TradeOgre.
Lezioni dal crollo di XeggeX
Operatore anonimo, sede di custodia, nessuna prova di riserve e nessuna verifica contabile: una configurazione che il 2026 non può permettersi. I token IOU emessi dopo un improvviso blocco non rappresentano una ristrutturazione. Sono una tattica dilatoria che offre all'operatore una copertura legale e non dà nulla all'utente. Un dominio che scompare a giugno e torna online a gennaio con lo stesso operatore e gli stessi token IOU non è un ritorno in auge. È una pulizia d'immagine. La lezione, appresa da due crolli paralleli nel 2025, è strutturale: la sede che detiene i vostri fondi senza verificare la vostra identità finirà per scegliere tra un ente regolatore e una cessazione dell'attività, e voi sarete il costo di entrambe le scelte.
