Categoria: Guida al recupero  |  Aggiornato:

Cosa fare se sei caduto in una truffa di avvelenamento degli indirizzi: guida completa al recupero

Risposta rapida: cosa fare adesso

Se hai appena inviato criptovalute all'indirizzo di un attaccante perché hai copiato un indirizzo simile dalla tua cronologia transazioni, interrompi immediatamente qualsiasi attività: non spostare altri fondi, scatta screenshot con timestamp di ogni transazione coinvolta, annota l'intero indirizzo dell'attaccante e l'hash della transazione, poi contatta il team antifrode dell'exchange ricevente e presenta una segnalazione all'IC3 dell'FBI (ic3.gov) entro la prima ora. La velocità è fondamentale perché le transazioni blockchain sono irreversibili una volta confermate, ma il recupero dei fondi è ancora possibile tramite tracciamento on-chain, cooperazione degli exchange e forensica blockchain professionale, soprattutto se i tuoi fondi non sono ancora passati attraverso un mixer.

Come appare questa truffa

L'avvelenamento degli indirizzi è una delle truffe tecnicamente più sofisticate nel mondo crypto, perché non richiede malware, nessuna ingegneria sociale e nessun phishing delle password. L'attaccante studia la tua cronologia on-chain, individua un indirizzo con cui interagisci regolarmente, poi genera un indirizzo simile che condivide gli stessi quattro-sei caratteri iniziali e finali dell'indirizzo reale. Invia quindi un trasferimento di valore minimo o nullo da quell'indirizzo simile al tuo wallet, intasando deliberatamente la tua cronologia transazioni con un esca convincente.

La prossima volta che vuoi inviare fondi a quello stesso contatto, apri la cronologia, individui quello che sembra l'indirizzo corretto, lo copi e lo incolli nel campo destinatario. Quando ti accorgi che qualcosa non va, i fondi sono già nel wallet dell'attaccante. Ricercatori della Carnegie Mellon University, presentando alla conferenza USENIX Security 2025, hanno documentato oltre 270 milioni di tentativi di attacco on-chain in una finestra di studio di due anni, riscontrando almeno 17 milioni di wallet presi di mira e 6.633 incidenti con perdite confermate per un totale di almeno 83,8 milioni di dollari in perdite verificate.

Gli attaccanti utilizzano tre principali tipologie di trasferimento avvelenato. Un trasferimento di valore minimo invia una frazione del token nativo. Un trasferimento a valore zero sfrutta certi contratti token che consentono trasferimenti di zero token, con un costo quasi nullo in gas per l'attaccante. Un trasferimento di token contraffatti distribuisce un falso token ERC-20 che imita uno legittimo (USDC, WBTC) ma è privo di valore, inserendo l'indirizzo esca nella tua cronologia.

Perdite reali su larga scala

Nel maggio 2024, un whale trader ha perso circa 68-72 milioni di dollari in WBTC in una singola transazione di avvelenamento degli indirizzi. Circa il 90% di quei fondi è stato infine recuperato grazie a prove forensi e trattative con l'attaccante. Nel dicembre 2025, un altro trader ha perso 50 milioni di dollari in un attacco simile. Nel gennaio 2026, gli analisti di Citi hanno segnalato un'impennata di transazioni Ethereum inferiori a 1 dollaro come una campagna di avvelenamento degli indirizzi di massa. La blockchain TRON è stata particolarmente colpita a causa del suo modello di banda gratuita, che rende i trasferimenti di avvelenamento in blocco quasi gratuiti per gli attaccanti.

Perché le persone ci cascano

L'attacco sfrutta una specifica debolezza UX comune a quasi tutti i wallet crypto: il troncamento degli indirizzi. Le interfacce dei wallet visualizzano gli indirizzi lunghi in formato abbreviato, mostrando in genere solo i primi sei e gli ultimi quattro caratteri. Un indirizzo reale e quello simile dell'attaccante potrebbero apparire identici nel menu a tendina. Solo la lettura di tutti i 40 e più caratteri esadecimali rivelerebbe la differenza, e quasi nessuno lo fa ogni volta.

Generare un indirizzo vanity corrispondente richiedeva in passato risorse di calcolo considerevoli, il che limitava questi attacchi a obiettivi di alto valore. Oggi, strumenti di generazione di indirizzi vanity accelerati da GPU possono produrre migliaia di candidati con corrispondenza parziale al secondo a basso costo, consentendo campagne di massa. Il costo per tentativo di attacco è ora così basso che avvelenare milioni di wallet per una manciata di successi è economicamente conveniente per l'attaccante.

Entrano in gioco anche forti fattori psicologici. Chi sposta crypto regolarmente sviluppa un'abitudine nel flusso di lavoro: vai alla cronologia, copia un indirizzo recente, incolla e invia. Quel flusso è rapido e privo di attrito, ed è esattamente su questo che contano gli attaccanti. La truffa non richiede alcuna interazione, nessun messaggio urgente, nessun sito falso. Attende passivamente nella cronologia transazioni il momento in cui ci si affida all'abitudine invece che alla verifica. Anche trader esperti, non solo i principianti, sono rimasti vittime, perché l'attacco prende di mira un modello di comportamento universale piuttosto che una mancanza di conoscenza.

Prime 24 ore: cosa fare subito

Il primo giorno dopo aver scoperto di aver inviato fondi a un indirizzo avvelenato è la finestra con la maggiore leva per il recupero. Le azioni seguenti sono ordinate per priorità. Non saltare passaggi né eseguirli fuori sequenza.

  1. Interrompi immediatamente tutte le transazioni. Non inviare altri fondi dal wallet interessato. Se hai altri asset nello stesso wallet, valuta di spostarli a un indirizzo nuovo - ma verifica ogni carattere dell'indirizzo di destinazione prima di farlo.
  2. Cattura screenshot e registrazioni video ad alta risoluzione. Documenta la cronologia delle transazioni mostrando il trasferimento avvelenato accanto alle transazioni reali. Fotografa l'interfaccia del wallet e la voce del block explorer per la transazione malevola. Marca tutto con il timestamp.
  3. Registra l'indirizzo completo dell'attaccante e l'hash della transazione. Apri la transazione su un block explorer e copia l'indirizzo completo dell'attaccante per intero. Salva l'hash della transazione. Annota il numero del blocco, il timestamp e l'importo esatto inviato.
  4. Traccia i fondi su un block explorer. Segui l'indirizzo dell'attaccante in avanti per vedere dove si sono spostati i tuoi fondi. Annota eventuali indirizzi riceventi e se i fondi sono stati suddivisi in importi più piccoli.
  5. Contatta il team antifrode dell'exchange ricevente. Se riesci a identificare un exchange centralizzato (Binance, Coinbase, Kraken, OKX, ecc.) nel flusso dei fondi, contatta immediatamente il loro dipartimento antifrode o di compliance. Ogni ora di attesa riduce la probabilità di un blocco.
  6. Presenta una segnalazione all'IC3 dell'FBI. Vai su ic3.gov e presenta una denuncia per crimini informatici. Presenta segnalazione anche alla tua autorità nazionale per i crimini finanziari e alla polizia locale.
  7. Consulta uno specialista di forensica blockchain. Gli investigatori professionisti hanno accesso a strumenti di tracciamento commerciali (Chainalysis, TRM Labs, Elliptic). Contatta un'azienda entro 24 ore se la tua perdita supera alcune migliaia di dollari.

Tieni un registro aggiornato di ogni azione che intraprendi, di ogni persona che contatti e di ogni risposta che ricevi. Questa documentazione forma una catena di custodia legale che potrebbe essere richiesta da tribunali o curatori fallimentari se seguono procedimenti formali di recupero.

Cosa NON fare

Il panico e l'urgenza spingono le vittime verso decisioni che compromettono attivamente le loro possibilità di recupero. I seguenti sono gli errori più comuni, e ognuno può chiudere permanentemente porte che altrimenti rimarrebbero aperte.

Non tentare di contattare l'attaccante da solo

Alcune vittime inviano messaggi all'indirizzo dell'attaccante. In rari casi - come nel recupero del whale WBTC del 2024 - la trattativa ha avuto successo, ma è stata condotta da professionisti con leva legale. Il contatto non assistito in genere allerta l'attaccante a spostare i fondi più rapidamente.

Non assumere un "servizio di recupero" trovato online

Internet è saturo di falsi agenti di recupero che prendono di mira le vittime di avvelenamento degli indirizzi. Monitorano forum e social media alla ricerca di vittime e le avvicinano con false promesse di recupero garantito. Pagarli aggiunge un secondo furto alle tue perdite.

Non spostare fondi senza verificare completamente gli indirizzi

Nel panico della scoperta, alcune vittime copiano una destinazione "sicura" dalla loro cronologia e cadono in un secondo indirizzo avvelenato. Prima di spostare qualsiasi cosa, verifica manualmente ogni carattere della destinazione o usa la schermata di verifica di un hardware wallet.

Non ritardare la segnalazione

Gli exchange possono bloccare solo i conti che detengono ancora fondi. Se l'attaccante preleva prima che tu segnali, quella finestra si chiude definitivamente. I dati di recupero mostrano costantemente che le segnalazioni più rapide portano a risultati migliori.

Non pensare che la blockchain abbia distrutto le tue prove

Tutto ciò che accade su una blockchain pubblica è permanente e pubblicamente verificabile. Le tue prove non sono andate perdute. Gli strumenti forensi professionali possono tracciare i fondi attraverso molteplici passaggi, identificare gli indirizzi di deposito degli exchange e costruire un pacchetto di prove legali.

Come funziona davvero il recupero

Il recupero da un attacco di avvelenamento degli indirizzi è un processo che si sviluppa su diversi binari paralleli, e il risultato dipende da quanto rapidamente ciascun binario viene avviato e da quanto lontano i fondi si sono spostati nella catena di riciclaggio.

Tracciamento forense on-chain

Il primo passo in qualsiasi recupero professionale è il tracciamento: seguire i fondi rubati in avanti attraverso la blockchain per mappare ogni wallet e indirizzo di deposito degli exchange utilizzato dall'attaccante. Gli strumenti di livello commerciale di Chainalysis e TRM Labs possono collegare cluster di wallet apparentemente non connessi, segnalare associazioni con mixer noti e identificare indirizzi di deposito degli exchange dove i fondi possono essere bloccati dalle forze dell'ordine.

Cooperazione degli exchange e blocco degli asset

Se il tracciamento identifica un exchange centralizzato nel flusso dei fondi, il team di recupero presenta una richiesta formale di cooperazione supportata dal pacchetto di prove forensi. Gli exchange sono sempre più disposti a bloccare conti sospetti quando vengono presentate prove credibili. Le variabili critiche sono la velocità, la giurisdizione e la qualità delle prove.

Restituzione negoziata

In una piccola parte dei casi di alto valore, il recupero avviene tramite trattativa diretta con l'attaccante. Il caso WBTC del 2024 è l'esempio più noto: la vittima, sostenuta da una traccia di prove forensi e da un consulente legale, ha offerto una ricompensa per la restituzione volontaria. L'attaccante ha restituito circa 66,8 milioni di dollari. Questo risultato ha richiesto un inquadramento legale professionale e credibili minacce di intervento delle forze dell'ordine.

Il problema dei mixer

Le probabilità di recupero calano bruscamente una volta che i fondi entrano in un mixer come Tornado Cash. Il tracciamento è ancora possibile fino al punto di ingresso nel mixer, ma la probabilità di estrarre fondi specifici dall'altra parte è molto bassa. Le forze dell'ordine in più giurisdizioni hanno perseguito con successo gli operatori di mixer.

Tempistiche realistiche

I blocchi degli exchange possono avvenire in pochi giorni con un buon supporto forense. I procedimenti legali formali richiedono mesi o anni. Le restituzioni negoziate si risolvono tipicamente entro due-quattro settimane. Fissare aspettative realistiche è importante per gestire il processo ed evitare decisioni disperate.

Quando coinvolgere un investigatore professionista

Non ogni caso di avvelenamento degli indirizzi richiede un intervento professionale. Se l'importo perso è modesto e l'indirizzo dell'attaccante non mostra ulteriore attività, il costo di un'indagine professionale potrebbe superare il recupero atteso. Ma per la maggior parte dei casi al di sopra di alcune migliaia di dollari, il calcolo cambia significativamente.

Segnali che giustificano un aiuto professionale

Cosa include un'indagine professionale

Una società di forensica blockchain affidabile condurrà una traccia on-chain approfondita, produrrà un rapporto di indagine professionale con grafici delle transazioni e attribuzione dei wallet, identificherà i punti di esposizione degli exchange e dei servizi, presenterà richieste formali di conservazione legale e coordinerà con le forze dell'ordine. Chiedi specificamente degli strumenti utilizzati (Chainalysis Reactor, TRM Forensics o equivalenti) e dei loro rapporti con i principali team di compliance degli exchange.

Segnali d'allarme delle truffe di recupero

La stessa vulnerabilità che ti ha reso un bersaglio per l'avvelenamento degli indirizzi ti rende anche un bersaglio per le frodi di recupero. I criminali monitorano i forum delle vittime cercando specificamente persone che hanno perso fondi di recente. L'FBI avverte esplicitamente di questa minaccia secondaria. Ecco i segnali di allarme più affidabili:

Se non sei sicuro che un servizio di recupero sia legittimo, segnala i loro dati di contatto alla tua autorità nazionale di protezione dei consumatori e all'IC3 dell'FBI.

Domande frequenti

Si possono recuperare le crypto rubate dopo un avvelenamento degli indirizzi?

Sì, in una quota significativa di casi - ma la probabilità dipende da quanto rapidamente agisci e da dove vanno i fondi. Quando gli asset rubati raggiungono un exchange centralizzato prima che l'attaccante prelevi, i team di compliance degli exchange possono bloccare il conto se vengono presentate prove forensi credibili. Nel caso WBTC del 2024 sono stati restituiti circa 66,8 milioni di dollari dopo una trattativa professionale. Una volta che i fondi passano attraverso un servizio di mixing come Tornado Cash, le possibilità di recupero calano bruscamente. La velocità nelle prime 24 ore è il singolo fattore più importante che puoi controllare.

Come generano gli attaccanti indirizzi simili al mio?

Gli attaccanti utilizzano software di generazione di indirizzi vanity accelerato da GPU in grado di produrre migliaia di candidati al secondo. Inseriscono i caratteri iniziali e finali dell'indirizzo bersaglio e lasciano girare lo strumento finché non produce un indirizzo completo che condivide quei caratteri. La parte centrale è diversa, ma le interfacce dei wallet non mostrano mai la parte centrale. I ricercatori della CMU hanno documentato come questi strumenti vengano usati su scala in quella che descrivono come una delle più grandi operazioni di phishing crypto mai registrate.

Quali informazioni mi servono prima di contattare un exchange o le autorità?

Prima di contattare chiunque, raccogli: (1) l'indirizzo completo dell'attaccante, (2) l'hash della transazione dell'invio fraudolento, (3) il numero del blocco e il timestamp, (4) l'importo esatto e il token inviato, (5) screenshot ad alta risoluzione della cronologia del tuo wallet, e (6) una breve cronologia scritta degli eventi. Più è completo il tuo rapporto iniziale, più velocemente può iniziare qualsiasi blocco o indagine.

L'avvelenamento degli indirizzi è uguale a un exploit di smart contract o a un hack del wallet?

No. L'avvelenamento degli indirizzi non implica alcuna vulnerabilità nel software del tuo wallet, negli smart contract o nelle chiavi private. Il tuo wallet rimane sicuro per tutta la durata dell'attacco. L'attacco funziona interamente sul comportamento umano: inserisce un indirizzo ingannevole nella tua cronologia transazioni visibile e attende che tu lo copi per errore. Questa distinzione è importante per le richieste assicurative, il trattamento fiscale e le segnalazioni alle forze dell'ordine.

Come posso proteggermi dall'avvelenamento degli indirizzi in futuro?

Diverse pratiche riducono significativamente il rischio. Non copiare mai un indirizzo dalla cronologia transazioni - copia sempre dalla rubrica o dalla comunicazione originale. Verifica almeno i primi dieci e gli ultimi dieci caratteri di qualsiasi indirizzo prima di confermare un invio. Usa un hardware wallet per le transazioni importanti. Trust Wallet ha lanciato il rilevamento automatico dell'avvelenamento nel gennaio 2026. Anche MetaMask e Ledger Live pubblicano guide specifiche per identificare i tentativi di avvelenamento.

Hai perso fondi in una truffa di avvelenamento degli indirizzi?

Recoveris conduce indagini professionali on-chain e tracciamento dei fondi. Ottieni una valutazione iniziale gratuita del tuo caso.

Inizia la tua valutazione di recupero

Metti alla prova la tua preparazione al recupero

Rispondi a 5 domande veloci per scoprire quanta parte del tuo caso è recuperabile e quali prove raccogliere per prime.

Valutazione gratuita 5 minuti Senza impegno
Fai la valutazione

Riferimenti

  1. Chainalysis. "Anatomy of an Address Poisoning Scam." chainalysis.com/blog/address-poisoning-scam/
  2. TRM Labs. "Understanding Address Poisoning on TRON." trmlabs.com/resources/blog/understanding-address-poisoning-on-the-tron-blockchain
  3. Federal Bureau of Investigation. "FBI Warns of Cryptocurrency Token Impersonation Scam." fbi.gov
  4. Federal Bureau of Investigation / Internet Crime Complaint Center. "2025 Internet Crime Report." ic3.gov/AnnualReport/Reports/2025_IC3Report.pdf
  5. Lou, Pengcheng et al. (Carnegie Mellon University). "Blockchain Address Poisoning." USENIX Security '25. arxiv.org/html/2501.16681v1
  6. PYMNTS / Citi Analysts. "Citi Analysts Say Ethereum Transaction Trends Suggest Address Poisoning Scams." Gennaio 2026. pymnts.com
  7. The Block. "Crypto Trader Loses $50 Million in Address Poisoning Attack." Dicembre 2025. theblock.co
  8. The Block. "Victim of $71 Million Address Poisoning Attack Recovers Funds Following Negotiations." theblock.co
  9. MetaMask Support. "Address Poisoning Scams." support.metamask.io
  10. Ledger Academy. "What are address poisoning attacks in crypto and how to avoid them." ledger.com/academy