← Torna agli articoli

Wallet Drainers: Cosa Sono e Come Evitare il Drenaggio delle tue Criptovalute

La minaccia più distruttiva nell'ecosistema Web3 attuale non richiede la condivisione della frase seed o delle password. I wallet drainers (svuotatori di portafogli) sono sequenze di codice dannoso integrate nei siti web che, con una sola firma da parte tua, automatizzano il trasferimento di tutti gli asset del tuo portafoglio verso indirizzi controllati dagli aggressori.

Secondo recenti rapporti di intelligence di TRM Labs, gli attacchi di phishing nel Web3 hanno sottratto centinaia di milioni di dollari all'anno. Gli esperti di analisi forense blockchain di Recoveris avvertono che questa tendenza ha subito una drastica accelerazione a causa dell'integrazione di truffe basate sull'IA (AI-enabled scams), che generano siti clonati e campagne di ingegneria sociale quasi impossibili da distinguere a occhio nudo.

1. Il meccanismo tecnico dietro un Wallet Drainer

Un attacco di drenaggio del portafoglio non si basa sulla violazione della crittografia sottostante della rete, ma sull'ingannare l'utente affinché autorizzi transazioni dannose sfruttando funzioni legittime degli smart contract. Questi attacchi si dividono in fasi molto specifiche:

• Attrazione iniziale tramite IA: Le vittime vengono indirizzate a un sito web fraudolento tramite campagne di phishing sui social media, annunci a pagamento sui motori di ricerca o airdrop di token falsi. Oggi, gli aggressori utilizzano l'intelligenza artificiale per automatizzare la creazione di profili falsi e clonare interfacce di progetti legittimi in tempo reale.
• Connessione del portafoglio: Il sito web dannoso finge di essere una piattaforma legittima (un exchange decentralizzato, un mercato NFT o un portale per richiedere airdrop). Chiede alla vittima di collegare il proprio portafoglio Web3, come MetaMask, Trust Wallet o Phantom.
• Valutazione degli asset e offuscamento: Subito dopo aver collegato il portafoglio, uno script nascosto scansiona i saldi della vittima. Il drainer dà priorità ai token di maggior valore e agli NFT più liquidi, calcolando le commissioni del gas necessarie per il furto.
• Firma dannosa avanzata: L'utente riceve una richiesta per interagire con la piattaforma sotto false premesse, come "Verifica portafoglio". Cliccando su approva, in realtà sta firmando una transazione critica. Gli aggressori moderni utilizzano metodi come setApprovalForAll, firme eth_sign cieche o abusi dello standard Permit2 per eludere i tradizionali avvisi di sicurezza.
• Esecuzione e svuotamento (Bypass di CREATE2): Una volta concesso il permesso, i contratti automatizzati trasferiscono tutti gli asset. Recentemente, gli analisti di Recoveris hanno rilevato l'uso dell'opcode CREATE2, che consente ai truffatori di generare indirizzi temporanei che evitano le blacklist di sicurezza prima di svuotare i fondi.

2. Evoluzione della minaccia: Drainer-as-a-Service (DaaS)

Il problema del recupero delle criptovalute è diventato più complesso a causa del consolidamento del modello Drainer-as-a-Service (DaaS). Gruppi di sviluppatori malintenzionati affittano la loro infrastruttura di drenaggio ad altri truffatori in cambio di una percentuale dei fondi rubati, generalmente tra il 20% e il 30%.

Questo permette a persone senza conoscenze tecniche avanzate di lanciare campagne di massa. Questi servizi sul dark web includono pannelli di controllo in tempo reale, offuscamento dinamico del codice e moduli di evasione delle estensioni di sicurezza. Quando i fondi vengono rubati, gli aggressori utilizzano spesso mixer o bridge cross-chain per riciclare gli asset, rendendo indispensabile l'intervento di esperti nel tracciamento dei fondi.

3. Come rilevare, neutralizzare e tracciare la minaccia

La difesa contro i wallet drainers richiede uno scetticismo attivo. Tuttavia, se l'attacco è già avvenuto, la metodologia BIMS (Blockchain Intelligence & Monitoring System) utilizzata dai ricercatori di Recoveris consente di mappare le transazioni illecite e coordinarsi con gli exchange per congelare gli asset. Per evitare di arrivare a questo punto, segui queste regole fondamentali:

1. Leggi le firme, non limitarti a cliccare: Prima di confermare qualsiasi transazione, leggi attentamente i permessi. Se un sito web ti chiede di firmare una transazione illeggibile o richiede un accesso illimitato ai tuoi token (Permessi illimitati), fermati immediatamente.
2. Diffida della FOMO e dell'urgenza: Gli aggressori contano sul fatto che tu agisca rapidamente per paura di perdere un'opportunità. Richiedere un airdrop gratuito che scade in pochi minuti è una delle trappole di ingegneria sociale più comuni.
3. Verifica l'URL con rigore forense: Un solo carattere modificato è sufficiente per indirizzarti a un drainer. Utilizza i segnalibri per accedere alle tue piattaforme di finanza decentralizzata (DeFi) e non fidarti mai ciecamente dei risultati sponsorizzati di Google o dei social media.
4. Utilizza estensioni di sicurezza Web3: Strumenti come Pocket Universe o Revoke.cash agiscono come simulatori di transazioni. Queste estensioni intercettano la firma e ti mostrano in un linguaggio chiaro quali asset usciranno dal tuo account.
5. Isola i rischi con portafogli usa e getta (burner wallet): Non collegare mai il portafoglio in cui conservi i tuoi risparmi principali (cold wallet) a nuovi siti web. Utilizza un portafoglio secondario (burner wallet) con fondi minimi per interagire con applicazioni decentralizzate o testare nuovi protocolli.

Proteggere i tuoi asset digitali significa comprendere che la tua firma crittografica ha conseguenze irreversibili. L'educazione preventiva, combinata con il supporto di specialisti in analisi forense blockchain, costituisce la migliore difesa contro l'ecosistema criminale del Web3.