Attacchi di avvelenamento degli indirizzi cripto: come funzionano, come individuarli e come proteggere il tuo portafoglio
Gli attacchi di avvelenamento degli indirizzi hanno sottratto oltre 500 milioni di dollari agli utenti cripto sfruttando un'abitudine ingannevolmente semplice: copiare gli indirizzi dei portafogli dalla cronologia delle transazioni invece che da fonti verificate. Questa guida spiega esattamente come funzionano questi attacchi, cosa mostrano i dati sulla loro portata e cosa devi fare per proteggere ogni trasferimento che effettui.
Cos'è l'avvelenamento degli indirizzi?
L'avvelenamento degli indirizzi - noto anche come address spoofing - è un attacco di ingegneria sociale in cui un criminale invia una piccola transazione di nessun valore al tuo portafoglio da un indirizzo che imita da vicino uno che hai già utilizzato in precedenza. L'obiettivo è contaminare la cronologia delle transazioni in modo che la prossima volta che devi inviare fondi a una controparte familiare, tu copi accidentalmente l'indirizzo dell'attaccante invece di quello legittimo [1].
Il nome deriva dall'atto di "avvelenare" la tua cronologia on-chain - un po' come avvelenare un pozzo. L'attaccante pianta un indirizzo falso in bella vista, conta sul fatto che tu lo riutilizzerai dalla cronologia senza verificarlo, e aspetta. Su molte blockchain popolari, inviare una transazione da qualsiasi indirizzo a qualsiasi altro indirizzo non richiede alcun permesso, nessuna firma del destinatario. Quell'architettura aperta consente la finanza senza permessi; è anche la superficie di attacco che l'avvelenamento degli indirizzi sfrutta [1][6].
Chainalysis lo definisce così: "L'avvelenamento degli indirizzi si verifica quando un truffatore invia una piccola transazione da un indirizzo del portafoglio falsificato al portafoglio di un bersaglio, sperando che il bersaglio utilizzi accidentalmente l'indirizzo del truffatore la prossima volta che invia criptovaluta." [1] La ricerca presentata all'USENIX Security 2025 da Tsuchiya e Christin ha confermato che si tratta di una minaccia sistemica con un impatto finanziario su larga scala [6].
Come viene preparata la trappola
Invii 100 USDT all'indirizzo di prelievo del tuo exchange. Pochi minuti dopo, il bot di un attaccante rileva la tua transazione e ti invia 0 USDT da un indirizzo che inizia e termina con gli stessi caratteri del tuo indirizzo dell'exchange. Quell'indirizzo avvelenato ora si trova direttamente sotto quello legittimo nella cronologia del tuo portafoglio. La prossima volta che avvii un prelievo, scoli di una riga per sbaglio e confermi un trasferimento verso l'attaccante.
L'attacco non richiede malware, nessuna pagina di phishing, nessuna seed phrase compromessa. Funziona perché la maggior parte dei portafogli visualizza solo i primi quattro e gli ultimi quattro caratteri di un indirizzo. Quando un attaccante crea un indirizzo che corrisponde a quegli stessi otto caratteri, la scorciatoia fallisce completamente [1][13].
L'avvelenamento degli indirizzi è distinto dal dirottamento degli appunti e dal phishing. Avviene interamente on-chain, sfruttando il divario tra come vengono visualizzati gli indirizzi e come gli esseri umani elaborano le informazioni visive [6].
Come gli attaccanti creano indirizzi simili
Generare un indirizzo di portafoglio che inizia e termina con caratteri specifici è computazionalmente intensivo ma tutt'altro che impossibile. La tecnica si chiama generazione di indirizzi vanity. Programmi accelerati da GPU possono testare miliardi di coppie di chiavi candidate al secondo [6].
Per un indirizzo Ethereum standard (42 caratteri esadecimali), la corrispondenza di otto caratteri specifici richiede circa 4,3 miliardi di tentativi. Con un cluster GPU moderno, questo richiede da secondi a minuti per ogni indirizzo bersaglio [6][1].
Su TRON, la superficie di attacco è ancora più ampia. TRM Labs ha documentato che il modello di commissioni di TRON rende le transazioni con valore quasi nullo estremamente economiche, abbassando la barriera di costo per le campagne di avvelenamento a quasi nulla [4].
L'economia degli indirizzi vanity
Un attaccante sofisticato può generare un indirizzo corrispondente in meno di un minuto. Il costo per tentativo di avvelenamento può essere di frazioni di centesimo. Il potenziale guadagno, se anche solo uno su migliaia di bersagli ci casca, può raggiungere milioni di dollari.
Alcuni attaccanti individuano caratteri tipograficamente quasi identici - "0" contro "O", "1" contro "l" - e creano indirizzi che appaiono identici anche quando gli utenti guardano più caratteri [6][13].
I ricercatori della CMU hanno trovato che molte campagne prendono di mira specificamente i portafogli ad alto valore. I bot automatizzati monitorano il mempool e rispondono entro lo stesso blocco [6][7]. Alcuni attaccanti non si preoccupano nemmeno di generare indirizzi vanity - un indirizzo parzialmente corrispondente è sufficiente per campagne rivolte a utenti che non verificano mai l'indirizzo completo [1][4].
Come l'avvelenamento si diffonde su scala industriale
Quella che era iniziata come attacchi opportunistici si è evoluta in un'operazione altamente automatizzata e industrializzata. Le campagne moderne operano come bot in funzione continua che scansionano il mempool su più blockchain contemporaneamente [6][7].
I dati sui crimini cripto di Chainalysis 2025 mostrano che l'avvelenamento degli indirizzi rappresenta una quota sempre più significativa delle perdite per furto-tramite-inganno. I cluster collegati a gruppi criminali organizzati del Sud-Est asiatico e dell'Europa orientale utilizzano infrastrutture condivise [1][2][3].
TRM Labs ha riscontrato che TRON è diventata la piattaforma preferita per le campagne su larga scala a causa delle commissioni di transazione quasi nulle. I cluster di portafogli inviavano migliaia di transazioni di avvelenamento al giorno [4].
La pipeline dell'avvelenamento
(1) Il bot monitora il mempool per le transazioni in uscita superiori a una soglia. (2) Estrae l'indirizzo di destinazione. (3) Il generatore di indirizzi vanity produce un lookalike corrispondente. (4) Invia la transazione di avvelenamento nello stesso blocco se possibile. (5) Archivia l'indirizzo della vittima per il monitoraggio. (6) Se la vittima invia all'indirizzo avvelenato, i fondi vengono immediatamente spostati attraverso servizi di mixing.
Per gli utenti comuni: assume that your wallet history has been poisoned. Se hai mai inviato una transazione del valore di più di qualche centinaio di dollari, c'è una probabilità concreta che un attaccante abbia già inserito un indirizzo simile nella tua cronologia [1][4][6].
Il Rapporto TRM 2025 sui crimini cripto ha rilevato che man mano che gli strumenti di analisi miglioravano, gli attaccanti si adattavano ruotando gli indirizzi più frequentemente [5]. Il CyLab della CMU ha riscontrato che i profitti vengono riciclati attraverso DEX e bridge cross-chain, rendendo il recupero estremamente difficile [7][6].
Perdite reali: casi notevoli e dati
Il costo finanziario è documentato e sostanziale.
La perdita da 50 milioni di dollari in USDT
Nel maggio 2024, un trader ha perso 50 milioni di dollari in USDT - uno dei più grandi singoli episodi di avvelenamento degli indirizzi mai registrati. Il bot di un attaccante ha rilevato lo schema, generato un indirizzo simile e iniettato una transazione di avvelenamento. La vittima ha copiato dalla cronologia invece che da una fonte verificata. La vittima ha successivamente offerto una taglia di 1 milione di dollari per la restituzione dei fondi [10].
Il caso dei 71 milioni di dollari e il recupero parziale
Nel maggio 2024, un'altra vittima ha perso circa 71 milioni di dollari in WBTC. L'attaccante alla fine ha restituito circa il 90% dei fondi a seguito di trattative - un caso eccezionale perché l'entità della somma ha attirato immediatamente l'attenzione investigativa di più aziende e delle forze dell'ordine [11]. Per perdite tipiche nell'intervallo 50.000-500.000 dollari, quel livello di pressione non si materializza.
Dati dell'FBI e scala aggregata
Il Rapporto sui crimini informatici 2025 dell'FBI ha documentato perdite cripto superiori a 9,3 miliardi di dollari nel 2024 [8]. Le comunicazioni dell'FBI hanno identificato lo "spoofing degli indirizzi del portafoglio" come una delle tecniche di frode cripto in più rapida crescita [9].
Chainalysis ha documentato che solo nel primo trimestre del 2024, le truffe di avvelenamento degli indirizzi hanno causato centinaia di perdite confermate per le vittime, avvicinandosi ai 100 milioni di dollari [1][2].
Perché il dato di 500 milioni di dollari è importante
Chainalysis, TRM Labs e i ricercatori accademici sono giunti ciascuno a stime cumulative superiori a 500 milioni di dollari in perdite attribuibili all'avvelenamento degli indirizzi su Ethereum, TRON, BNB Chain e altre reti [1][4][5][6]. Questo dato probabilmente sottostima significativamente le perdite effettive.
I ricercatori della CMU hanno riscontrato che gli attacchi di avvelenamento degli indirizzi non sono distribuiti casualmente - i trader ad alta frequenza e i power user DeFi sono colpiti in modo sproporzionato perché il valore atteso per vittima è più elevato [6][7].
Perché anche gli utenti esperti ci cascano
Uno degli aspetti più controintuitivi è chi ci casca. Trader esperti, partecipanti DeFi e controparti istituzionali sono tutti stati vittime [6][7].
Il problema della troncatura
Quasi ogni portafoglio importante visualizza gli indirizzi in forma troncata: i primi quattro-sei caratteri, un ellisse, poi gli ultimi quattro-sei caratteri. Questo crea una vulnerabilità strutturale: è esattamente la parte visualizzata che gli attaccanti ottimizzano per corrispondere [13][12].
Quando una vittima scansiona la cronologia delle transazioni, sta eseguendo una corrispondenza di pattern su sei-dodici caratteri di una stringa di quarantadue caratteri. Il design della troncatura allena gli utenti a fare affidamento sulla verifica parziale - e l'attacco sfrutta esattamente questo [6][1].
Abitudini e carico cognitivo
I ricercatori della CMU hanno riscontrato che una maggiore frequenza delle transazioni è positivamente correlata con la vittimizzazione da avvelenamento degli indirizzi. I trader ad alto volume che spostano fondi più volte al giorno sono a rischio maggiore rispetto agli utenti occasionali che si fermano a verificare ogni trasferimento [6][7].
La trappola della familiarità
Paradossalmente, utilizzare sempre gli stessi indirizzi crea vulnerabilità. Ogni volta che invii senza incidenti, la tua fiducia cresce. Quando un attaccante avvelena la tua cronologia, si sta inserendo in un solco ben consolidato. Il tuo cervello dice "questo sembra giusto" perché ha imparato a cercare esattamente il pattern che l'attaccante ha riprodotto.
Lacune nel design dell'interfaccia
Fino a poco tempo fa, pochi portafogli segnalavano le transazioni a valore zero in entrata come sospette o distinguevano tra "indirizzo a cui hai inviato" e "indirizzo che ha inviato a te". Il paper USENIX ha identificato il design dell'interfaccia utente dei portafogli come un fattore abilitante critico degli attacchi [6][12][13].
Anche la pressione temporale gioca un ruolo. Quando i mercati si muovono, i passaggi di verifica vengono saltati. Gli attaccanti possono sincronizzare le campagne con i periodi di alta attività [6][7].
Come verificare correttamente un indirizzo cripto
La verifica dell'indirizzo è la difesa singolarmente più efficace. Richiede solo un'abitudine: non confermare mai un trasferimento senza verificare l'indirizzo di destinazione completo da una fonte affidabile [13][1].
Regola 1: non copiare mai dalla cronologia delle transazioni
La cronologia delle transazioni è un potenziale campo di battaglia per l'avvelenamento. Non trattarla mai come una rubrica. Mantieni una rubrica dedicata popolata da fonti affidabili - email originali, indirizzi di prelievo degli exchange verificati tramite l'interfaccia dell'exchange stesso, o codici QR scansionati direttamente da dispositivi hardware [13][1].
Regola 2: verificare l'indirizzo completo, non solo l'anteprima
Prima di confermare qualsiasi trasferimento, espandi l'indirizzo di destinazione completo. Confronta ogni carattere con la tua fonte verificata. Per i hardware wallet, verifica sempre sulla schermata del dispositivo stesso [13].
La regola dei cinque secondi per i trasferimenti di alto valore
Per qualsiasi trasferimento superiore alla tua soglia di alto valore, dedica cinque secondi aggiuntivi a: (1) espandere l'indirizzo completo, (2) confrontare i primi e gli ultimi sei caratteri con la tua fonte verificata, (3) verificare la sezione centrale per anomalie, (4) confermare sulla schermata del tuo hardware wallet se applicabile.
Regola 3: usare i codici QR per i trasferimenti locali
Utilizza la scansione di codici QR invece dell'inserimento manuale dell'indirizzo o degli appunti. I codici QR codificano l'indirizzo completo e bypassano sia il dirottamento degli appunti che l'avvelenamento della cronologia delle transazioni [13].
Regola 4: usare ENS o altri servizi di naming con attenzione
Prima di inviare a un nome ENS, verifica sempre che l'indirizzo risolto corrisponda a quello che ti aspetti. Gli aggiornamenti dei record ENS sono stati sfruttati in attacchi separati [13][1].
Regola 5: testare con un piccolo importo prima
Per qualsiasi nuovo indirizzo, invia prima una piccola somma di prova. Verifica la ricezione dall'altro lato tramite un canale separato prima di inviare l'importo completo [13][1].
Impostazioni di sicurezza del portafoglio che bloccano l'avvelenamento
Le funzionalità a livello di portafoglio possono ridurre significativamente l'esposizione. La qualità della protezione varia notevolmente e non tutte le funzionalità protettive sono attivate per impostazione predefinita [12][13].
Protezione contro l'avvelenamento degli indirizzi in Trust Wallet
Trust Wallet ha introdotto una funzionalità dedicata che analizza le transazioni in entrata e segnala quelle che mostrano caratteristiche di avvelenamento. Quando rilevata, contrassegna visivamente le transazioni sospette nella visualizzazione della cronologia [12].
Per verificare: vai su Impostazioni - Sicurezza - Protezione dall'avvelenamento degli indirizzi [12].
Hardware wallet e verifica indipendente degli indirizzi
I hardware wallet come Trezor e Ledger mostrano l'indirizzo di destinazione completo sulla schermata del dispositivo hardware indipendentemente dal computer connesso [13].
Le indicazioni di Trezor sottolineano che gli utenti devono confrontare l'indirizzo sulla schermata del Trezor con la destinazione prevista - non con quanto mostrato sul computer. Se la schermata mostra un indirizzo che non riconosci, rifiuta immediatamente la transazione [13].
La verifica dell'hardware wallet non è opzionale
Se possiedi un hardware wallet ma salti la verifica sulla schermata del dispositivo per le transazioni di routine, non stai sfruttando il suo beneficio di sicurezza. Usa la schermata di conferma ogni volta, specialmente per i trasferimenti di grandi importi.
Funzionalità della rubrica e contatti salvati
Quando salvi un indirizzo verificato con un nome riconoscibile e lo selezioni dalla rubrica invece che dalla cronologia delle transazioni, elimini il vettore principale che gli attacchi di avvelenamento sfruttano [13][12].
Per gli exchange centralizzati, attiva la whitelist degli indirizzi di prelievo con conferma via email o 2FA. Questa è una delle impostazioni di sicurezza più sottoutilizzate nel mondo cripto [13].
Block explorer e tagging del rischio
Prima di inviare a un indirizzo sconosciuto, incollalo su Etherscan o un block explorer comparabile e verifica se è stato segnalato per campagne di avvelenamento [1][4].
Se hai inviato fondi a un indirizzo avvelenato: passi immediati
Si tratta di una situazione grave e urgente. Le transazioni blockchain sono irreversibili - nessun pulsante annulla, nessun ufficio antifrode, nessun chargeback. Come rispondi nelle prime ore può influire concretamente su quale recupero sia possibile [11][8].
Fase 1: documentare tutto immediatamente
Fai screenshot di: la transazione che mostra l'indirizzo di destinazione, l'hash della transazione, il timestamp e l'importo. Questa documentazione è essenziale per qualsiasi denuncia alle forze dell'ordine o per il coinvolgimento di analisti blockchain [8][9].
Fase 2: tracciare i fondi on-chain immediatamente
Utilizza un block explorer (Etherscan, Tronscan, BscScan) per tracciare immediatamente dove sono andati i fondi dopo la ricezione da parte dell'attaccante. Se i fondi arrivano su un exchange centralizzato, contatta immediatamente il team di compliance con l'hash della transazione [11][8].
La finestra di congelamento in borsa
Se identifichi che i fondi rubati si stanno dirigendo verso un exchange importante - Binance, Coinbase, Kraken, OKX - contatta immediatamente il team di sicurezza. Includi: indirizzo mittente, indirizzo destinatario, hash della transazione, orario, importo e una breve spiegazione. Ogni minuto conta.
Fase 3: contattare società di analisi blockchain
Per perdite superiori a 50.000 dollari, potrebbe valere la pena coinvolgere direttamente Chainalysis, TRM Labs o Elliptic per tracciare i fondi e produrre un report di attribuzione [1][4][5].
Fase 4: presentare denunce alle forze dell'ordine
Negli Stati Uniti, presenta un reclamo all'FBI IC3 su ic3.gov [8][9]. Nell'UE, denuncia alla tua unità nazionale per la criminalità informatica. L'EC3 di Europol coordina le indagini transfrontaliere [8].
Fase 5: consultare un avvocato per perdite importanti
Per perdite superiori a 100.000 dollari, considera di rivolgerti a un consulente legale con esperienza nel recupero di asset digitali. Esistono opzioni legali che vanno esplorate tempestivamente [11][8].
Mantieni aspettative realistiche: la maggior parte delle vittime recupera poco o nulla. Una risposta rapida e sistematica ti offre le migliori probabilità disponibili [11].
Il tuo portafoglio è stato preso di mira?
Recoveris fornisce servizi di indagine on-chain e recupero di asset digitali per le vittime di avvelenamento degli indirizzi e frodi cripto correlate.
Richiedi una valutazione del casoQuanto hai perso? Scoprilo con il nostro valutatore
Usa il nostro strumento di autovalutazione per capire le tue opzioni di recupero.
Inizia la valutazione gratuitaRiferimenti
- 1.Address Poisoning Scam — Chainalysis, 2024. link
- 2.2025 Crypto Crime Report — Chainalysis, 2025. link
- 3.2025 Crypto Crime Mid-Year Update — Chainalysis, 2025. link
- 4.Understanding Address Poisoning on the TRON Blockchain — TRM Labs, 2024. link
- 5.2025 Crypto Crime Report — TRM Labs, 2025. link
- 6.USENIX Security 25: Address Poisoning Research (Tsuchiya & Christin, CMU) — USENIX Security Symposium, 2025. link
- 7.CyLab Crypto Phishing Research — CMU CyLab, 2026. link
- 8.2025 Internet Crime Report — FBI IC3, 2025. link
- 9.Cryptocurrency and AI Scams Bilk Americans of Billions — FBI, 2025. link
- 10.Crypto Trader Loses $50 Million in Address Poisoning Attack — The Block, 2024. link
- 11.Victim of $71 Million Address Poisoning Attack Recovers Funds — The Block, 2024. link
- 12.Introducing Address Poisoning Protection on Trust Wallet — Trust Wallet, 2024. link
- 13.What Are Address Poisoning Attacks and How to Avoid Them — Trezor, 2024. link
Domande frequenti
Come faccio a sapere se il mio portafoglio è già stato preso di mira dall'avvelenamento degli indirizzi?
Cerca transazioni di piccolo valore nella tua cronologia - importi di 0 dollari, frazioni di centesimo o importi dust - da indirizzi sconosciuti. Se qualcuno di questi somiglia da vicino agli indirizzi a cui invii regolarmente, il tuo portafoglio è stato preso di mira. Incolla ogni indirizzo sospetto su Etherscan e verifica la presenza di segnalazioni di rischio. La presenza di un tentativo di avvelenamento non significa che tu abbia perso fondi.
L'avvelenamento degli indirizzi può funzionare su Bitcoin?
Sì. Anche gli indirizzi Bitcoin possono essere presi di mira con la generazione di indirizzi vanity, sebbene l'attacco sia in qualche modo meno comune. La struttura delle commissioni di Bitcoin rende le transazioni spam più costose. Gli utenti Bitcoin non sono immuni, specialmente quelli che effettuano transazioni regolari di grandi importi. Si applicano le stesse regole di verifica.
Un hardware wallet mi protegge completamente dall'avvelenamento degli indirizzi?
Un hardware wallet fornisce un livello di protezione fondamentale mostrando l'indirizzo di destinazione completo sulla schermata propria del dispositivo. Tuttavia, questo funziona solo se confronti attivamente l'indirizzo sulla schermata dell'hardware wallet con la destinazione verificata prima di confermare. Se premi conferma senza controllare la schermata del dispositivo, l'hardware wallet non offre alcuna protezione aggiuntiva.
Esiste un modo per recuperare i fondi persi a causa dell'avvelenamento degli indirizzi?
Il recupero è possibile ma raro. Le opportunità di recupero si restringono rapidamente se i fondi rubati passano attraverso operazioni di mixing o bridging entro la prima ora. I percorsi più realistici: (1) i fondi arrivano su un exchange centralizzato e vengono congelati, (2) le forze dell'ordine intervengono sulla base dei rapporti IC3, (3) le aziende di analisi blockchain identificano l'attaccante. Agisci rapidamente per perdite superiori a 50.000 dollari.
Gli utenti DEX sono più a rischio di quelli degli exchange centralizzati?
Gli utenti DeFi e DEX tendono a effettuare transazioni più frequentemente e a interagire con una gamma più ampia di indirizzi, aumentando l'esposizione. Gli utenti degli exchange centralizzati spesso interagiscono principalmente con un singolo indirizzo di prelievo che possono inserire in whitelist. La vulnerabilità fondamentale è la stessa: se copi un indirizzo dalla cronologia delle transazioni senza verificarlo, sei esposto.