Cosa fare se sei caduto in una truffa drainer di wallet o phishing di approvazione: guida completa al recupero
Hai collegato il tuo wallet a quello che sembrava un sito legittimo, hai firmato una transazione e in pochi secondi i tuoi token erano spariti. I wallet drainer e gli attacchi di approval phishing sono tra le truffe crypto tecnicamente più sofisticate in circolazione oggi. Nel 2024 hanno prosciugato circa 494 milioni di dollari da oltre 332.000 wallet. Anche con l'aumento delle difese e il significativo calo delle perdite nel 2025, sono stati comunque rubati oltre 83 milioni di dollari a più di 106.000 vittime. Questa guida spiega esattamente cosa è successo, cosa dovresti fare adesso e come appare realisticamente il recupero.
1. Risposta rapida: il primo passo più importante
⚡ Se sei stato appena drenato:
Apri immediatamente un controllore di approvazioni token come revoke.cash o Etherscan Approvals, collega il wallet compromesso e revoca ogni approvazione verso indirizzi sconosciuti. Questo non recupera i fondi già rubati, ma impedisce a un drainer attivo di svuotare i token rimanenti. Agisci entro pochi minuti.
Una volta revocate le approvazioni, smetti di usare il wallet compromesso per qualsiasi scopo tranne la documentazione. Non firmare nuove transazioni finché non capisci cosa è successo.
2. Come appare questa truffa
Un attacco wallet drainer sfrutta la funzione approve integrata in Ethereum e nelle blockchain compatibili. Questa funzione consente a un indirizzo di terze parti di spostare token dal tuo wallet senza bisogno di una transazione separata ogni volta. Gli attaccanti l'hanno trasformata in un'arma.
Punti di accesso comuni:
- Siti falsi di mint NFT e cloni DeFi
- Firme Permit e Permit2 (38% delle perdite negli incidenti del 2025 superiori a 1 milione di dollari)
- Account Discord e Twitter compromessi
- Pagine di claim airdrop
- Deleghe malevole EIP-7702 (post-agosto 2025)
In tutte le varianti, la vittima firma un permesso. Il backend dell'attaccante richiama la funzione approvata in pochi millisecondi. Chainalysis ha documentato 374 milioni di dollari rubati nel 2023, 494 milioni da 332.000 wallet nel 2024. Scam Sniffer nel 2025 ha registrato 83,85 milioni di dollari da 106.106 vittime.
3. Perché le persone ci cascano
Questi attacchi hanno successo perché sono progettati per eludere le normali difese. Quattro fattori chiave:
- La finestra di dialogo per l'approvazione appare identica alle legittime interazioni DeFi
- Urgenza artificiale (timer con conto alla rovescia, scarsità creata ad arte)
- Account fidati compromessi (Discord/Twitter verificati)
- Le firme Permit sembrano login — sono gasless e visivamente identiche a un accesso standard
L'IOCTA 2025 di Europol documenta come l'infrastruttura di phishing utilizzi domini lookalike dall'aspetto professionale per ingannare anche gli utenti più esperti.
4. Prime 24 ore: cosa fare immediatamente
La velocità è determinante. Segui questi passaggi nell'ordine indicato:
- Revoca immediatamente tutte le approvazioni di token. Vai su revoke.cash o Etherscan. È richiesta una piccola commissione gas. Non recupera i fondi rubati ma ferma ulteriori drenaggi.
- Conserva tutte le prove. Screenshot dell'URL del sito truffa, transazioni del wallet, comunicazioni correlate. Registra i timestamp esatti. Non svuotare la cronologia del browser.
- Copia l'indirizzo del wallet dell'attaccante e gli hash delle transazioni dal block explorer.
- Smetti di usare il wallet compromesso. Trattalo come permanentemente compromesso. Sposta i fondi rimanenti solo su un wallet appena creato.
- Presenta un rapporto alla Polizia Postale o al CNAIPIC (Italia). Conserva il numero di riferimento.
- Notifica gli exchange pertinenti se la traccia blockchain mostra fondi su un indirizzo di deposito centralizzato.
- Contatta un investigatore blockchain professionale se l'importo rubato è significativo. Il coinvolgimento precoce — entro 24-48 ore — preserva le opzioni di tracciamento.
⚠️ Importante
Non aspettare che l'attaccante restituisca i fondi. Gli operatori di drainer non restituiscono mai i fondi. Ogni ora di ritardo riduce le possibilità di un congelamento efficace.
5. Cosa NON fare
Diverse reazioni istintive peggiorano la situazione:
- Non inviare ETH per recuperare i token rimanenti. I bot drainer spazzano via l'ETH in entrata istantaneamente.
- Non pubblicare il tuo indirizzo wallet pubblicamente. Attira servizi di recupero falsi in pochi minuti.
- Non interagire con chi ti contatta per primo. I legittimi investigatori non fanno sollecitazioni via DM.
- Non pagare alcuna commissione anticipata di recupero.
- Non interagire con token inviati al tuo wallet dopo il drenaggio.
- Non presumere che non si possa fare nulla. Ogni movimento di fondi rubati è registrato permanentemente sulla blockchain.
6. Come appare davvero il recupero
Le transazioni blockchain sono irreversibili. Ciò che è possibile è il tracciamento forense combinato con la cooperazione degli exchange e il coordinamento delle forze dell'ordine.
Tracciamento forense
Tutte le transazioni blockchain sono registrate su un registro pubblico e immutabile. La guida FATF del novembre 2025 sottolinea che i registri blockchain forniscono tracciabilità in tempo reale. Un investigatore professionista mappa il cluster di wallet dell'attaccante, identifica gli indirizzi di deposito degli exchange e documenta la catena di custodia.
Cooperazione degli exchange e congelamento degli asset
Quando presentato con un rapporto forense documentato, molti exchange congelano i prelievi in sospeso e cooperano con le forze dell'ordine. La finestra temporale è tipicamente di 24-72 ore dall'incidente: agire in fretta è essenziale.
Forze dell'ordine e contenzioso civile
L'Operazione Spincaster ha congelato fondi in più giurisdizioni. Il patteggiamento del DOJ del dicembre 2025 relativo a uno schema da 263 milioni di dollari dimostra che il perseguimento internazionale è attivo. Per perdite superiori a 50.000 dollari, il contenzioso civile per il recupero degli asset è praticabile.
💡 Nota
I tassi di recupero dipendono da dove sono andati i fondi. I fondi instradati verso exchange regolamentati rappresentano i casi più gestibili. Una valutazione professionale del flusso di fondi è l'unico modo affidabile per saperlo.
7. Quando coinvolgere un investigatore professionista
Non ogni drenaggio di wallet richiede un coinvolgimento forense completo:
- Sopra 10.000€/dollari: Un rapporto forense è probabilmente conveniente.
- Sopra 50.000€/dollari: L'indagine professionale è fortemente consigliabile.
- Qualsiasi perdita dove la catena porta a un indirizzo di exchange centralizzato: Il coinvolgimento precoce può innescare un congelamento.
- Qualsiasi perdita istituzionale o aziendale: Gli obblighi normativi possono richiedere un rapporto formale.
Un investigatore legittimo conduce tracciamenti on-chain, produce un rapporto forense documentato, invia richieste di congelamento agli exchange e coordina con le forze dell'ordine. Addebita il lavoro documentato, non promesse.
8. Segnali d'allarme delle truffe di recupero
La seconda vittimizzazione è dilagante. Segnali d'allarme:
- Ti hanno contattato per primi (sollecitazione non richiesta)
- Garantiscono il recupero
- Chiedono una commissione anticipata
- Ti hanno chiesto la seed phrase o le chiavi private
- Affermano relazioni speciali con exchange o governi
- Il loro sito è stato registrato di recente senza credenziali verificabili
🚨 Attenzione
Se sospetti che un servizio di recupero sia fraudolento, segnalalo alla stessa autorità dove hai presentato il rapporto originale. L'FBI e Europol indagano attivamente sulle frodi di recupero come categoria criminale distinta.
Hai perso fondi in una truffa drainer di wallet o phishing di approvazione?
Recoveris conduce indagini forensi on-chain per tracciare i criptoasset rubati, mappare i portafogli degli attaccanti e coordinarsi con gli exchange e le forze dell'ordine per un eventuale recupero.
Richiedi una consulenza iniziale gratuitaNon sei sicuro di essere stato preso di mira?
Fai il nostro quiz di autovalutazione gratuito per valutare la tua situazione e capire i prossimi passi.
Riferimenti
- 1.Chainalysis. Targeted Approval Phishing Scams See Explosive Growth. 2023. chainalysis.com
- 2.Chainalysis. 2024 Crypto Crime Mid-Year Update Part 2. 2024. chainalysis.com
- 3.Federal Bureau of Investigation, Internet Crime Complaint Center. 2025 Internet Crime Report. 2025. ic3.gov
- 4.TRM Labs. A Record-Breaking Year for Cybercrime. 2025. trmlabs.com
- 5.Financial Action Task Force (FATF). 2025 Targeted Update on Virtual Assets. Novembre 2025. fatf-gafi.org
- 6.Europol. Internet Organised Crime Threat Assessment (IOCTA) 2025. 2025. europol.europa.eu
- 7.Scam Sniffer. 2025 Crypto Phishing Losses Fall 83% to $84 Million. 2026. drops.scamsniffer.io
- 8.Infosecurity Magazine. Scammers Drain $500M in Crypto Wallets. 2025. infosecurity-magazine.com
- 9.United States Department of Justice. Guilty Plea in $263 Million Social Engineering Scheme. Dicembre 2025. justice.gov
9. Domande frequenti
Posso recuperare le crypto rubate in un attacco di phishing di approvazione?
In alcuni casi, sì — ma il recupero non è garantito e dipende da dove sono andati i fondi e da quanto velocemente hai agito. Se i fondi rubati hanno raggiunto un exchange centralizzato prima della tua segnalazione, c'è una possibilità realistica di congelamento. L'indagine forense è il primo passo necessario per valutare le opzioni disponibili.
Revocare un'approvazione di token recupera i miei soldi?
No. Revocare un'approvazione impedisce ulteriori trasferimenti ma non ha alcun effetto sui trasferimenti già completati. È comunque il passo immediato corretto per proteggere i token rimanenti nel wallet.
Ho firmato una firma Permit, non una transazione approve - è diverso?
Il risultato finale è lo stesso, ma il meccanismo differisce. Una firma Permit è un messaggio firmato off-chain, non visibile nella cronologia del wallet finché non viene inviata on-chain. Nel 2025, le firme Permit e Permit2 hanno rappresentato il 38% delle perdite negli incidenti superiori a 1 milione di dollari.
Devo denunciare alla polizia se l'importo è piccolo?
Sì. Anche per importi piccoli, la tua segnalazione contribuisce alle indagini aggregate. L'FBI IC3 e Europol usano i dati dei reclami per mappare i cluster di wallet degli attaccanti e costruire casi contro le reti criminali.
Come faccio a sapere se un servizio di recupero è legittimo?
Le legittime società di blockchain forensics non contattano le vittime non richieste, non garantiscono il recupero e addebitano solo il lavoro documentato. Verifica le credenziali e cerca il nome dell'azienda associato a parole come "truffa" o "reclamo" prima di contattarli.