Sicurezza

Avviso di sicurezza Web3: scenari comuni di furto di asset

Nuovo utente

2025-06-03 | 5m

Panoramica

● Situazioni comuni che possono portare alla perdita di asset

● Le misure protettive di Bitget per proteggere i fondi degli utenti

Il Web3 apre le porte alla libertà finanziaria e all'innovazione, ma introduce anche nuovi rischi per la sicurezza. Questo articolo illustra i modi più comuni in cui gli utenti sono vittime di furti di asset, dalle fughe di chiavi private e approvazioni di firme dannose, fino alle frodi sui trasferimenti e altri attacchi. Di seguito condividiamo casi di studio reali e forniamo una panoramica delle misure di sicurezza di Bitget, con l'obiettivo di fornire agli utenti le conoscenze necessarie per proteggere al meglio i loro asset digitali nell'ecosistema blockchain.

Seed phrase o fughe di chiavi private

Furto tramite portafogli falsi

Gli aggressori spesso si spacciano per membri ufficiali del team o amministratori su piattaforme come Telegram o Discord. Inviano e-mail di phishing o condividono link falsi per scaricare portafogli, spesso camuffati da “aggiornamenti di sicurezza” da parte di nomi fidati come MetaMask o Trust Wallet. Alcuni pubblicano persino annunci sui motori di ricerca per indirizzare gli utenti verso siti di phishing. Dopo che le vittime installano queste false app e inseriscono le loro seed phrase o chiavi private, le informazioni vengono immediatamente inviate ai server controllati dai truffatori.

Furto tramite malware che prende di mira gli appunti

Queste app dannose spesso appaiono come strumenti innocui, come scanner di QR code, file manager, giochi craccati, tracker dei prezzi delle crypto o verificatori di airdrop. Una volta installate, le app richiedono l'accesso agli appunti e ne monitorano continuamente il contenuto. Se gli utenti copiano dati sensibili come seed phrase o chiavi private (in genere durante il backup o il trasferimento), queste app catturano istantaneamente le informazioni e le inviano ai server dei truffatori.

Frodi legate alle firme o alle autorizzazioni

Truffe eth_sign

eth_sign è un metodo di firma basilare di Ethereum che consente agli utenti di firmare dati arbitrari. Il problema è che gli utenti vedono solo una stringa illeggibile di codice esadecimale, quindi spesso non hanno idea di cosa stiano effettivamente firmando. I truffatori sfruttano questo aspetto inducendo gli utenti a firmare approvazioni dannose, a volte persino concedendo l'accesso completo ai propri asset.

Phishing della firma Permit2

Permit2, un protocollo di approvazione dei token sviluppato da Uniswap Labs, pur essendo sicuro, è stato sfruttato in attacchi di phishing. I malintenzionati inducono gli utenti a firmare autorizzazioni Permit2 con il pretesto della verifica del portafoglio o delle richieste di airdrop. Dopo la firma, il truffatore può spostare i token dell'utente senza bisogno di ulteriori autorizzazioni.

Truffe legate alle autorizzazioni dei token

Alcuni siti web malevoli convincono gli utenti a concedere autorizzazioni dei token a uno smart contract, consentendo al sito di manipolare i loro saldi. Questi siti sono spesso piattaforme DeFi o NFT legittime e richiedono l'autorizzazione dell'utente per partecipare. I truffatori creano urgenza attraverso false offerte o promozioni a tempo limitato per abbassare le difese degli utenti. Una volta autorizzati, possono prelevare i token della vittima senza ulteriore conferma.

Truffe legate alle autorizzazioni di NFT

Alcuni siti malevoli chiedono agli utenti di concedere le autorizzazioni setApprovalForAll sui propri NFT. Se avviene l'autorizzazione, il malintenzionato ottiene il pieno controllo della collezione NFT dell'utente e può trasferire gli asset in qualsiasi momento senza ulteriori azioni.

Frode nei trasferimenti

Dirottamento dell'indirizzo del portafoglio nelle app di messaggistica

Alcuni truffatori distribuiscono versioni manomesse di app di messaggistica come Telegram attraverso fonti non ufficiali. Queste app modificate contengono un codice dannoso che monitora le chat e sostituisce gli indirizzi dei portafogli crypto condivisi. Quando gli utenti copiano l'indirizzo di un portafoglio da una chat per inviare fondi, potrebbero inconsapevolmente inviarli al portafoglio del truffatore. Nel 2023, oltre 500 utenti hanno perso circa $8 milioni in crypto trasferendo inconsapevolmente fondi tramite una versione manomessa di Telegram.

Phishing dei trasferimenti vuoti

I malintenzionati sfruttano una caratteristica della funzione transferFrom di USDT che consente trasferimenti di valore zero senza richiedere l'approvazione del mittente. Ciò consente loro di avviare operazioni TransferFrom sugli account degli utenti attivi e di inondare lo storico delle transazioni. Poiché alcuni utenti copiano spesso gli indirizzi dei portafogli dallo storico delle transazioni, possono accidentalmente riutilizzare l'indirizzo di un truffatore e inviare fondi al destinatario sbagliato. Secondo SlowMist, solo nella prima metà del 2022 sono stati rubati oltre $20 milioni con questo metodo.

Misure di sicurezza di Bitget

La maggior parte degli asset è custodita in cold wallet

Su Bitget, la maggior parte degli asset digitali è custodita in cold wallet offline a firma multipla (multi-sig). Questo approccio prudente, che consiste nel mantenere i portafogli scollegati da Internet, riduce notevolmente il rischio di attacchi informatici.

Fondo di Protezione

Bitget mantiene un Fondo di Protezione da $700 milioni. Se il tuo account Bitget viene compromesso o i tuoi asset vengono rubati o smarriti (escluse le perdite dovute ad azioni o transazioni personali), puoi presentare una richiesta di risarcimento tramite il Fondo di Protezione di Bitget.

Canale di verifica ufficiale

Per aiutare gli utenti a evitare phishing e truffe, Bitget offre un canale di verifica ufficiale. Puoi utilizzarlo per confermare se un'e-mail, una pagina web o un account di social media provengono realmente da Bitget.

Formazione sulla sicurezza

Bitget condivide regolarmente contenuti educativi per sensibilizzare e aiutare gli utenti a rafforzare le loro conoscenze e pratiche in materia di sicurezza.

Migliori pratiche per gli utenti

Proteggi le tue seed phrase e chiavi private

● Non caricare mai la seed phrase o la chiave privata su cloud storage senza crittografia.

● Evita di copiare per intero la seed phrase o la chiave privata negli appunti, poiché il malware potrebbe catturarla.

● Scarica le app del portafoglio solo da fonti ufficiali e verifica sempre l'editore e la firma del software.

Gestione delle firme e delle autorizzazioni

● Non firmare mai nulla che non comprendi appieno e leggi sempre attentamente i contenuti prima di firmare.

● Imposta un limite minimo di autorizzazioni necessarie per i progetti sconosciuti invece di concedere un accesso illimitato.

● Utilizza strumenti di gestione delle autorizzazioni (ad es. Revoke.cash) per controllare e revocare regolarmente le autorizzazioni non necessarie.

Pratiche di trasferimento sicure

● Prima di effettuare trasferimenti importanti o di grandi dimensioni, prova sempre con una piccola quantità.

● Salva gli indirizzi dei portafogli utilizzati di frequente nella rubrica degli indirizzi.

Considerazioni finali

La protezione degli asset digitali richiede interventi combinati. Sebbene gli exchange come Bitget sviluppino strutture di sicurezza complete, anche gli utenti devono rimanere vigili e informati. La finanza tradizionale ha impiegato secoli per sviluppare pratiche sicure. Allo stesso modo, il Web3 è ancora in evoluzione. Ogni incidente di sicurezza offre lezioni preziose. Bitget continua a investire nella sicurezza della piattaforma e nell'espansione dei contenuti educativi per aiutare gli utenti a migliorare le loro difese. Crediamo che la piattaforma e gli utenti debbano lavorare insieme per creare un ecosistema Web3 davvero sicuro e affidabile, in cui l'innovazione blockchain possa prosperare riducendo al minimo i rischi.