← Torna agli articoli

Cosa fare se un'estensione del browser dannosa ha rubato le tue criptovalute: guida completa al recupero

9 luglio 2026 12 min di lettura Guida al recupero
Recupero estensione browser dannosa

Risposta rapida

Se un'estensione del browser dannosa ha svuotato il tuo portafoglio crypto:

Vai immediatamente offline, rimuovi l'estensione, revoca tutte le approvazioni dei contratti intelligenti da un dispositivo pulito e trasferisci i fondi rimanenti su un nuovo portafoglio generato su hardware non compromesso. Poi documenta ogni hash di transazione e presenta un rapporto all'IC3 dell'FBI (ic3.gov) e alla tua autorità nazionale di cybercriminalità entro 24 ore. Il ripristino diretto della blockchain non è possibile, ma se i fondi rubati hanno raggiunto un exchange centralizzato, una rapida richiesta di blocco da parte delle forze dell'ordine - o un investigatore blockchain professionale che agisce per tuo conto - potrebbe intercettarli prima che vengano riciclati. La velocità è la variabile più importante in quanto è possibile recuperare.

Come appare questa truffa

Le estensioni del browser dannose sono uno dei vettori di furto di crypto più pericolosi attualmente attivi. A differenza delle email di phishing che richiedono un clic su un link ingannevole, un'estensione dannosa si nasconde silenziosamente nel browser con accesso privilegiato a ogni pagina visitata - inclusa l'interfaccia del portafoglio, il dashboard dell'exchange e gli appunti.

Il rapporto Chainalysis 2025 sui drainer ha identificato i drainer basati su estensioni del browser come componente centrale dell'ecosistema di furto professionale, che aveva già estratto oltre 2,17 miliardi di dollari nella prima metà del 2025. Il rapporto IOCTA 2025 di Europol ha individuato negli infostealer distribuiti tramite estensioni del browser dannose il principale metodo per compromettere gli account crypto, citando la famiglia di malware StealC.

Metodi di distribuzione comuni

Cosa fa effettivamente l'estensione

Una volta attiva, un'estensione dannosa può: intercettare le richieste di firma del portafoglio, leggere e sovrascrivere il contenuto degli appunti, raccogliere token di sessione per impersonarti sugli exchange, catturare le sequenze di tasti e iniettare JavaScript in qualsiasi pagina.

TRM Labs ha riportato che il 76% dei fondi rubati nei principali attacchi era fluito attraverso compromissioni a livello di infrastruttura. Il Rapporto IC3 2024 dell'FBI ha documentato 9,3 miliardi di dollari di perdite per frodi crypto. Il rapporto IC3 2025 ha portato quella cifra a oltre 11 miliardi.

Perché le persone ci cadono

Sia il Chrome Web Store che il Firefox Add-ons Store utilizzano revisioni automatizzate, ma tali processi non sono infallibili. Gli attaccanti investono in inserzioni convincenti: valutazioni cinque stelle artificiali, screenshot professionali, descrizioni copiate da estensioni legittime. Il team di sicurezza di Mozilla ha rimosso oltre 40 estensioni dannose nel 2025 dopo aver scoperto la tecnica "Extension Hollowing".

Gli attacchi alla supply chain bypassano del tutto la vigilanza dell'utente. La compromissione Chrome di Trust Wallet nel dicembre 2025 ha colpito utenti che avevano installato una vera estensione mesi prima. Le estensioni del browser si aggiornano silenziosamente.

L'aggiornamento mirato 2025 del FATF sugli asset virtuali ha notato che l'aumento delle frodi è in parte dovuto al divario tra la complessità tecnologica e la postura media di sicurezza degli utenti. Gli attaccanti sincronizzano le campagne con eventi di mercato - lanci di token, coniazioni NFT, finestre airdrop - quando l'urgenza sopprime il pensiero critico.

Prime 24 ore: cosa fare immediatamente

Il tempo è critico.

Gli attaccanti di solito instradano i fondi rubati attraverso protocolli di scambio decentralizzati e mixer entro pochi minuti dal furto. Ogni ora di ritardo riduce la probabilità di un blocco presso un exchange destinatario.

  1. Disconnetti immediatamente il browser da internet. Vai offline disattivando il Wi-Fi e scollegando l'ethernet. Questo interrompe qualsiasi dirottamento di sessione o esfiltrazione di dati in corso.
  2. Rimuovi l'estensione dannosa ed esegui una scansione completa per malware. Apri il gestore di estensioni del browser, identifica e rimuovi l'estensione sospetta. Poi esegui una scansione completa con uno strumento di sicurezza affidabile.
  3. Revoca tutte le autorizzazioni del portafoglio da un dispositivo pulito. Usa un dispositivo separato non compromesso per connetterti agli strumenti di revoca come Revoke.cash o il verificatore di approvazioni token di Etherscan.
  4. Trasferisci i fondi rimanenti su un portafoglio completamente nuovo. Genera un nuovo portafoglio su un dispositivo pulito - idealmente un hardware wallet. Trasferisci tutto ciò che rimane e considera il portafoglio compromesso come definitivamente bruciato.
  5. Documenta tutto prima di cambiare qualsiasi altra cosa. Fai screenshot dell'elenco completo delle estensioni, della pagina dei permessi dell'estensione, di qualsiasi email di conferma dell'installazione e di tutti gli hash delle transazioni.
  6. Presenta una denuncia alle forze dell'ordine. Presenta una segnalazione all'Internet Crime Complaint Center dell'FBI (ic3.gov) e alla tua unità nazionale di cybercriminalità.
  7. Notifica qualsiasi exchange dove sono arrivati i fondi rubati. Usa un block explorer per tracciare dove sono andati i fondi. Se hanno raggiunto un exchange centralizzato, contatta immediatamente il suo team antifrode.
  8. Preserva tutti i dispositivi - non cancellare ancora nulla. Esegui backup su un disco esterno crittografato e mettili da parte.

Cosa NON fare

Evita questi errori - sono comuni e peggiorano le cose.

  • Non cercare "servizi di recupero crypto" online. La grande maggioranza sono truffe secondarie.
  • Non cancellare immediatamente il tuo dispositivo. Distruggeresti le prove forensi.
  • Non reinstallare la stessa estensione da un link diverso. Gli attaccanti listano più cloni.
  • Non riutilizzare l'indirizzo del portafoglio compromesso.
  • Non pagare commissioni anticipate a chiunque prometta il recupero. Nessuna commissione inverte una transazione blockchain.
  • Non condividere mai la tua frase seed o chiave privata. Nessun investigatore legittimo ne ha bisogno.

Come appare il recupero reale

Le transazioni blockchain sono immutabili. Non esiste un pulsante annulla. Ma il recupero esiste su uno spettro.

Se i fondi hanno raggiunto un exchange centralizzato - il percorso con maggiore probabilità - quell'exchange detiene dati KYC sull'account destinatario. Una richiesta di blocco delle forze dell'ordine, supportata da una traccia blockchain professionale, può portare al blocco degli asset prima del prelievo.

Se i fondi sono transitati attraverso un DEX o un bridge, il recupero è più difficile ma non impossibile. Investigatori professionisti con accesso a piattaforme di analisi commerciali (Chainalysis Reactor, TRM Forensics, Elliptic Navigator) possono tracciare flussi invisibili ai block explorer gratuiti.

Se i fondi sono transitati attraverso un mixer o un protocollo privacy, la probabilità di recupero cala significativamente.

Security Week ha documentato 494 milioni di dollari di furti tramite drainer da 332.000 vittime nel 2024. Il recupero totale di tutti gli asset non è la norma.

Quando coinvolgere un investigatore professionista

In molti casi di furto tramite estensione del browser, coinvolgere un investigatore blockchain professionale entro le prime 48 ore è la differenza tra una pista tracciabile e fondi passati attraverso mixer.

Un investigatore legittimo inizia con una traccia blockchain - mappando i fondi rubati attraverso ogni indirizzo intermedio, etichettando le entità conosciute, identificando i potenziali punti di uscita. Recoveris è specializzata in questo processo per casi di furto crypto attraverso le giurisdizioni.

Segnali di allarme delle truffe di recupero

La seconda truffa è spesso maggiore della prima.

Le vittime di furti di crypto sono target specifici perché si sa che detengono crypto e sono in uno stato disperato ed emotivamente compromesso.

Il rapporto IC3 del FBI 2025 ha evidenziato la frode al recupero come una delle sottocategorie a crescita più rapida della criminalità crypto.

Segnali di allarme da cercare immediatamente

Come verificare un'azienda legittima

Chiedi i dettagli di registrazione dell'azienda e verificali con il registro nazionale. Cerca i principali indipendentemente. Aziende come Recoveris pubblicano la loro metodologia e possono essere verificate attraverso i registri pubblici delle imprese in Svizzera.

Un'estensione del browser ha svuotato il tuo portafoglio?

I nostri investigatori tracciano le criptovalute rubate attraverso le catene, preparano pacchetti per le forze dell'ordine e coordinano le richieste di blocco presso gli exchange. Ottieni una valutazione gratuita del tuo caso.

Ottieni aiuto per il tuo caso

Non sei sicuro di essere stato preso di mira?

Fai la nostra valutazione della sicurezza crypto di 2 minuti per identificare i rischi nella tua configurazione attuale prima che diventino un problema.

Fai la valutazione gratuita

Riferimenti

  1. 1.FBI/IC3 - Rapporto sui crimini informatici 2024. ic3.gov
  2. 2.FBI/IC3 - Rapporto sui crimini informatici 2025. ic3.gov
  3. 3.Chainalysis - Rapporto sui Crypto Drainer. chainalysis.com
  4. 4.TRM Labs - Drainware: Purtroppo in arrivo vicino a un portafoglio di criptovalute. trmlabs.com
  5. 5.Europol - IOCTA 2025: Ruba, Vendi, Ripeti. europol.europa.eu
  6. 6.FATF - Sesto aggiornamento mirato sugli asset virtuali e VASP (2025). fatf-gafi.org
  7. 7.Mozilla - Truffe ai portafogli crypto: Sventare una nuova minaccia (maggio 2025). blog.mozilla.org
  8. 8.The Hacker News - Hack dell'estensione Chrome Trust Wallet (dicembre 2025). thehackernews.com
  9. 9.SlowMist - Come un'estensione dannosa ha rubato un milione di dollari (giugno 2024). slowmist.medium.com
  10. 10.TRM Labs - Un anno record per la cybercriminalità. trmlabs.com
  11. 11.Security Week - Malware drainer usato per rubare 500 milioni di dollari. securityweek.com
  12. 12.Bleeping Computer - Decine di false estensioni wallet nel Firefox Store (luglio 2025). bleepingcomputer.com

Domande frequenti

Un'estensione del browser dannosa può rubare criptovalute senza che io faccia clic su nulla?

Sì. Una volta installata, un'estensione dannosa funziona con privilegi di background persistenti. Può silenziosamente sostituire gli indirizzi di portafoglio negli appunti, intercettare le richieste di firma, leggere i cookie di sessione attivi per gli exchange a cui sei connesso e iniettare codice nelle pagine visitate - tutto senza alcuna interazione visibile. L'indagine SlowMist sull'estensione AGGR ha rilevato che il modulo di dirottamento dei cookie operava interamente in background, consentendo un furto da 1 milione di dollari senza che la vittima approvasse una transazione sospetta.

L'estensione proveniva dal Chrome Web Store: è davvero possibile?

Sì, ed è successo ripetutamente. Nel dicembre 2025, una legittima estensione Chrome di Trust Wallet è stata compromessa tramite la sua infrastruttura di distribuzione. L'aggiornamento che ha rubato 8,5 milioni di dollari a 2.520 portafogli è passato attraverso il meccanismo ufficiale di aggiornamento dello store. Mozilla ha anche rimosso oltre 40 estensioni dannose nel 2025. L'installazione da un negozio ufficiale non è una garanzia di sicurezza.

Non ho mai inserito la mia frase seed nel browser: un'estensione può comunque svuotare il mio portafoglio?

Sì. Il furto di cookie di sessione consente a un attaccante di impersonarti sugli exchange a cui sei già connesso. Il dirottamento degli appunti reindirizza le transazioni in uscita. L'iniezione di transazioni modifica gli indirizzi di destinazione nelle richieste di firma. Il fatto che la tua frase seed non sia nel browser non ti protegge se è installata un'estensione dannosa.

Quanto tempo ho per agire prima che i fondi diventino irrecuperabili?

La finestra realistica per l'intervento a livello di exchange è di ore, non giorni. Le operazioni di drainer professionali di solito instradano e bridgano i fondi entro 15-30 minuti dal furto iniziale. Anche così, alcuni account destinatari rimangono dormienti per giorni prima che l'attaccante prelevi fiat. Presentare immediatamente un rapporto formale crea un registro che può attivare un blocco anche giorni dopo se i fondi non sono ancora stati incassati.

Esiste un modo per recuperare criptovalute rubate da un'estensione del browser?

Un recupero parziale o totale è possibile in circostanze specifiche. Il caso migliore è quello di fondi trasferiti a un indirizzo di deposito di un exchange centralizzato - le forze dell'ordine o un investigatore professionale con relazioni con gli exchange possono richiedere un blocco prima che l'attaccante prelevi. Per i fondi transitati attraverso protocolli decentralizzati o mixer, la probabilità di recupero diminuisce, ma la blockchain forensics può comunque stabilire un caso documentato.