Oltre il "teatro della sicurezza": la sicurezza dei portafogli crypto entra nell'era della verificabilità

By: blockbeats|2026/03/29 22:11:42

Source: OKX

Entro il 2025, il Web3 entrerà in una nuova fase di "utilizzo su scala più ampia e frequente", e i portafogli accelereranno la loro evoluzione da "strumento di archiviazione monete" a sistema operativo per le transazioni. La società di ricerca Fortune Business Insights stima che il mercato dei portafogli di criptovalute raggiungerà circa 12,2 miliardi di dollari nel 2025 e potrebbe crescere fino a 98,57 miliardi di dollari entro il 2034.

L'espansione lato utente è evidente: a16z crypto ha stimato nel rapporto "State of Crypto 2025" che ci sono circa 40-70 milioni di utenti crypto attivi, con circa 716 milioni di detentori di asset crypto che "detengono asset ma potrebbero non essere necessariamente attivi on-chain"; il rapporto di Crypto.com Research afferma anche che i detentori globali di crypto sono aumentati da 681 milioni nella prima metà del 2025 a 708 milioni.

Il rovescio della medaglia dell'aumento della scala e del tasso di penetrazione è l'amplificazione simultanea dei rischi di sicurezza. Non si tratta più solo di sapere se lo smart contract ha vulnerabilità, ma di intercettare i rischi nei punti critici dell'utente, come cliccare su link, connettere portafogli, firmare autorizzazioni e processare transazioni.

Nel mondo on-chain, la "superficie di attacco" spesso si estende oltre le vulnerabilità degli smart contract ed è più comunemente legata a phishing, domini falsi, impersonificazione del servizio clienti e frodi di autorizzazione come "rischi pre-transazione". Ad esempio, Chainalysis definisce i "crypto drainers" come strumenti che non rubano le password, ma ingannano gli utenti per connettere i loro portafogli e approvare autorizzazioni dannose. I dati pubblici mostrano che nel 2024, le perdite legate a questi strumenti si sono avvicinate alla soglia dei 500 milioni di dollari.

Pertanto, migliorare la sicurezza dei portafogli Web3 non si concentrerà più solo sulle vulnerabilità degli smart contract, ma dovrà prestare ulteriore attenzione a come intercettare proattivamente i rischi nei punti chiave del comportamento dell'utente, nota come "sicurezza pre-transazione".

In tale contesto industriale, la "sicurezza" sta diventando sempre più difficile da affrontare con un semplice slogan, ma assomiglia piuttosto a una capacità di governance che richiede una validazione continua: verificabilità, tracciabilità e divulgazione tempestiva stanno diventando criteri importanti per gli utenti nella scelta di un portafoglio.

Dalle "dichiarazioni di sicurezza" a una "lista di capacità di sicurezza comprensibili"

Per molto tempo, quando i progetti di portafogli discutevano di sicurezza, la retorica comune includeva "abbiamo effettuato audit", "abbiamo un whitepaper" e "ci concentriamo molto sulla gestione del rischio". Tuttavia, con l'industrializzazione delle truffe e del phishing, questa "dichiarazione di sicurezza" sta perdendo la sua persuasività. Il momento in cui gli utenti incontrano problemi accade spesso durante interazioni molto brevi come la firma di autorizzazioni. I "crypto drainers" descritti da Chainalysis sono un percorso tipico: gli attaccanti si travestono da pagine legittime, guidano gli utenti a completare l'autorizzazione e poi svuotano gli asset.

I dati pubblici stanno spingendo la narrazione del settore verso la "comprensibilità". Security Week, citando le statistiche di Scam Sniffer, ha riferito che nel 2024, quasi 500 milioni di dollari di perdite sono stati causati da strumenti di svuotamento portafogli, con oltre 332.000 vittime. Questi eventi non richiedono agli attaccanti di violare sistemi complessi, ma si basano sul fatto che gli utenti non comprendono i rischi durante le interazioni. D'altra parte, Chainalysis, nella sua divulgazione del 2025, ha stimato che nel 2024, le entrate da truffe on-chain erano di almeno 9,9 miliardi di dollari. Quando il rischio principale deriva dal "gap di leggibilità lato utente", i produttori di portafogli devono spostare la sicurezza dall'ingegneria backend all'espressione front-facing.

Di conseguenza, sempre più portafogli nel settore stanno iniziando a "produttivizzare" le loro capacità di sicurezza: non ti dicono più solo "siamo sicuri", ma scompongono le azioni protettive in una lista che gli utenti possono comprendere—come quali token verranno segnalati come ad alto rischio, quali transazioni attiveranno avvisi, quali indirizzi o DApps verranno bloccati. L'essenza di questo cambiamento è trasformare la sicurezza da una "narrazione di qualifica" a una "narrazione di interazione".

Seguendo questa tendenza, la pagina del Centro Sicurezza del portafoglio OKX appena lanciata e aggiornata fornisce un esempio più tipico di "espressione in formato lista". La pagina delinea esplicitamente tre "difese in prima linea" rivolte agli utenti: rilevamento del rischio token, monitoraggio delle transazioni e screening degli indirizzi, spiegando le loro funzioni in frasi semplici. Il vantaggio di questo approccio è che anche se gli utenti non comprendono la terminologia di sicurezza, possono rapidamente relazionarsi all'azione che stanno compiendo.

Oltre il

Clicca per visitare: Rapporto di audit della pagina di sicurezza del portafoglio OKX

Ancora più importante, "comprensibilità" non significa "parlare da soli". Sulla stessa pagina, il portafoglio OKX fornisce anche un link ai "rapporti di audit", collegando la "lista di capacità" con la "verifica di terze parti". Inoltre, la raccolta di rapporti di audit nel suo centro assistenza elabora ulteriormente l'ambito dell'audit, il numero di problemi trovati e lo stato delle riparazioni, consentendo agli utenti di passare dalla "comprensione delle capacità" alla "verifica delle prove" quando necessario.

Questo tipo di transizione da "dichiarazione di sicurezza" a "lista di controllo comprensibile" non serve a far sembrare la sicurezza più grandiosa, ma a renderla più azionabile: poiché la frode si basa sempre più sull'inganno, la capacità di un portafoglio di posizionare avvisi di rischio nei punti di interazione e spiegare "dove risiede il pericolo, perché è pericoloso e cosa dovresti fare" sta diventando parte della capacità di sicurezza.

Informazioni di audit "pubblicamente verificabili": trasformare l'approvazione di terze parti da "collegamento" a "catena di prove verificabili"

Nel settore dei portafogli, gli audit hanno affrontato per lungo tempo un problema pratico: molte informazioni sono sparse, rendendo difficile per gli utenti comuni capire rapidamente chi ha effettuato l'audit, cosa è stato controllato, se i problemi sono stati risolti e quando è stato aggiornato l'ultima volta. Questa volta, l'azione più importante del portafoglio OKX è consolidare i rapporti di audit di terze parti pubblicamente disponibili in un portale unificato, indicando direttamente sulla pagina la data di pubblicazione e aggiornamento, consentendo agli utenti di determinare rapidamente che non si tratta solo di una vetrina una tantum, ma di una finestra di divulgazione informativa attivamente mantenuta.

Dalle voci visualizzate pubblicamente in questa pagina, l'ambito della divulgazione non si è concentrato solo sul tradizionale obiettivo di audit degli "smart contract". Prendendo l'esempio di CertiK del 23 maggio 2024, il contenuto dell'audit copre chiaramente i percorsi di codice chiave su mobile e frontend: inclusi componenti iOS/Android, componenti UI ReactJS, controller JS che interagiscono con il keyring e molteplici moduli SDK del portafoglio, fornendo anche la metodologia di audit.

Nella stessa pagina, la voce di SlowMist è più vicina al "nuovo paradigma" dell'evoluzione dei portafogli: oggetti auditabili come conti smart contract AA, portafogli senza chiave MPC, moduli di transazione Ordinals sono tutti elencati; inoltre, le informazioni di audit sul modulo di sicurezza della chiave privata sono presentate separatamente, affermando direttamente che "le chiavi private o le frasi mnemoniche sono memorizzate solo sul dispositivo dell'utente e non vengono trasmesse a server esterni", rispondendo alle preoccupazioni principali dell'utente sulla sicurezza delle chiavi.

Il valore di questa "visualizzazione centralizzata" non risiede solo nell'avere informazioni più complete, ma, cosa ancora più importante, nel legare le "nuove capacità" con la "verificabilità" nello stesso punto di ingresso: poiché il settore dei portafogli si muove sempre più verso architetture complesse come AA e MPC, ciò di cui gli utenti hanno più bisogno non è solo una dichiarazione che dice "siamo molto sicuri", ma prove che possono essere rapidamente verificate.

Inoltre, secondo OKX Wallet, dopo questo aggiornamento, i nuovi rapporti di audit e le informazioni correlate possono essere aggiornati direttamente tramite configurazione senza la necessità di una nuova versione. Se questo meccanismo può operare stabilmente a lungo termine, accorcia efficacemente il percorso "verificabile esternamente", risparmiando non solo costi di sviluppo e rilascio.

Per gli utenti, questo significa che quando viene aggiunto o completato un audit, l'ingresso pubblico può riflettere più rapidamente lo "stato più recente", riducendo l'incertezza. Per gli osservatori terzi, è più facile formare una cronologia tracciabile. Questo trasforma l'"approvazione di terze parti" in una catena di prove continuamente verificabile, piuttosto che in una visualizzazione una tantum di un PDF.

Questo articolo è un contributo inviato e non rappresenta le opinioni di BlockBeats.

Prezzo di --

Potrebbe interessarti anche

Trovato un "meme coin" che è salito alle stelle in pochi giorni. Qualche consiglio?

Nella comunità cinese, è gradualmente emerso un vero e proprio "occultismo crypto".

TAO è Elon Musk, che ha investito in OpenAI, mentre Subnet è Sam Altman

La maggior parte del capitale investito in TAO finirà per finanziare attività di sviluppo che non generano alcun valore per i possessori dei token.

L'era della "distribuzione di massa di token" sulle blockchain pubbliche volge al termine

Il mercato sta diventando sempre più intelligente e sta abbandonando gli ecosistemi che si basano esclusivamente sui finanziamenti per sostenere attività fittizie. Oggi vengono premiati il volume d'affari effettivo, gli utenti reali e i ricavi reali.

Un'impennata di 50 volte, con un FDV che supera i 10 miliardi di USD, perché RaveDAO?

Cos'è esattamente RaveDAO? Perché Rave è in grado di crescere così tanto?

L'aragosta è ormai un ricordo del passato? Alla scoperta degli strumenti Hermes Agent che moltiplicano la tua produttività per 100

Più lo usi, più diventa intelligente: cosa rende speciale Hermes, la piattaforma verso cui si sono orientati gli sviluppatori?

Un miliardo di DOT sono stati creati dal nulla, ma l'hacker ha guadagnato solo 230.000 dollari.

La liquidità ha salvato la vita a Polkadot.

Dopo il blocco dello Stretto di Hormuz, quando finirà la guerra?

Gli Stati Uniti hanno tolto all'Iran la sua carta più importante, ma hanno anche perso la strada per porre fine alla guerra.

Prima di utilizzare X Chat, il "WeChat occidentale" di Musk, è necessario comprendere queste tre domande

X Chat sarà disponibile per il download sull'App Store questo venerdì. I media hanno già trattato l'elenco delle funzionalità, tra cui messaggi autodistruggenti, prevenzione degli screenshot, chat di gruppo fino a 481 persone, integrazione con Grok e registrazione senza numero di telefono, definendola la "WeChat occidentale". Tuttavia, ci sono tre questioni che sono state affrontate solo marginalmente nei vari rapporti.

C'è una frase sulla pagina di aiuto ufficiale di X che è ancora lì: "Se dipendenti malintenzionati o la stessa X dovessero far sì che conversazioni crittografate vengano divulgate tramite procedimenti legali, sia il mittente che il destinatario ne sarebbero completamente all'oscuro."

Prima domanda: Questa crittografia è la stessa utilizzata da Signal?

No. La differenza sta nel luogo in cui vengono conservate le chiavi.

Grazie alla crittografia end-to-end di Signal, le chiavi non lasciano mai il tuo dispositivo. Né X, né il tribunale, né alcuna parte esterna detiene le tue chiavi. I server di Signal non dispongono di alcun mezzo per decifrare i tuoi messaggi; anche se venissero richiesti tramite mandato di comparizione, potrebbero fornire solo i timestamp di registrazione e gli orari dell'ultima connessione, come dimostrato dai precedenti verbali di comparizione.

X Chat utilizza il protocollo Juicebox. Questa soluzione divide la chiave in tre parti, ognuna delle quali è memorizzata su tre server gestiti da X. Quando si recupera la chiave tramite un codice PIN, il sistema recupera queste tre parti dai server di X e le ricombina. A prescindere dalla complessità del codice PIN, il vero custode della chiave è X, non l'utente.

Ecco il contesto tecnico della "frase della pagina di aiuto": poiché la chiave si trova sui server di X, X ha la possibilità di rispondere a procedimenti legali all'insaputa dell'utente. Signal non possiede questa funzionalità, non per una questione di policy, ma semplicemente perché non ha la chiave.

L'illustrazione seguente confronta i meccanismi di sicurezza di Signal, WhatsApp, Telegram e X Chat lungo sei dimensioni. X Chat è l'unico dei quattro in cui la piattaforma detiene la chiave e l'unico senza Forward Secrecy.

L'importanza della Forward Secrecy risiede nel fatto che, anche se una chiave viene compromessa in un determinato momento, i messaggi precedenti non possono essere decifrati perché ogni messaggio possiede una chiave univoca. Il protocollo Double Ratchet di Signal aggiorna automaticamente la chiave dopo ogni messaggio, un meccanismo assente in X Chat.

Dopo aver analizzato l'architettura di XChat nel giugno 2025, Matthew Green, professore di crittografia alla Johns Hopkins University, ha commentato: "Se consideriamo XChat come uno schema di crittografia end-to-end, questa sembra una vulnerabilità che compromette seriamente la sicurezza del sistema". In seguito ha aggiunto: "Non mi fiderei di questo sistema più di quanto mi fidi attualmente dei messaggi privati non crittografati".

Dal report di TechCrunch del settembre 2025 alla sua messa in funzione nell'aprile 2026, questa architettura non ha subito modifiche.

In un tweet del 9 febbraio 2026, Musk si è impegnato a sottoporre X Chat a rigorosi test di sicurezza prima del suo lancio sulla piattaforma e a rendere open source tutto il codice.

Alla data di lancio del 17 aprile, non era ancora stata completata alcuna verifica indipendente da parte di terzi, non esisteva un repository di codice ufficiale su GitHub e l'etichetta sulla privacy dell'App Store rivelava che X Chat raccoglieva cinque o più categorie di dati, tra cui posizione, informazioni di contatto e cronologia delle ricerche, contraddicendo direttamente l'affermazione di marketing "Nessuna pubblicità, nessun tracker".

Numero 2: Grok sa cosa ti scambi nei messaggi privati?

Non si tratta di un monitoraggio continuo, ma di un punto di accesso ben definito.

Per ogni messaggio su X Chat, gli utenti possono tenere premuto a lungo e selezionare "Chiedi a Grok". Quando si fa clic su questo pulsante, il messaggio viene inviato a Grok in chiaro, passando dallo stato crittografato a quello non crittografato in questa fase.

Questo design non rappresenta una vulnerabilità, bensì una caratteristica. Tuttavia, l'informativa sulla privacy di X Chat non specifica se questi dati in chiaro verranno utilizzati per l'addestramento del modello Grok o se Grok memorizzerà il contenuto di questa conversazione. Cliccando attivamente su "Chiedi a Grok", gli utenti rimuovono volontariamente la protezione crittografata di quel messaggio.

Esiste anche un problema strutturale: Quanto velocemente questo pulsante passerà dall'essere una "funzione opzionale" a un'"abitudine predefinita"? Quanto più alta è la qualità delle risposte di Grok, tanto più gli utenti si affideranno ad esse, con conseguente aumento della percentuale di messaggi che escono dalla protezione crittografata. La reale robustezza della crittografia di X Chat, nel lungo periodo, dipende non solo dalla progettazione del protocollo Juicebox, ma anche dalla frequenza con cui gli utenti cliccano su "Chiedi a Grok".

Numero 3: Perché non esiste una versione per Android?

La versione iniziale di X Chat supporta solo iOS, mentre per la versione Android è indicato semplicemente "presto disponibile" senza una data di rilascio precisa.

Nel mercato globale degli smartphone, Android detiene circa il 73%, mentre iOS detiene circa il 27% (IDC/Statista, 2025). Dei 3,14 miliardi di utenti attivi mensili di WhatsApp, il 73% utilizza Android (secondo Demand Sage). In India, WhatsApp conta 854 milioni di utenti, con una penetrazione di Android superiore al 95%. In Brasile ci sono 148 milioni di utenti, di cui l'81% utilizza Android, e in Indonesia ci sono 112 milioni di utenti, di cui l'87% utilizza Android.

Il predominio di WhatsApp nel mercato globale delle comunicazioni si fonda su Android. Signal, con una base di utenti attivi mensili di circa 85 milioni, si affida principalmente a utenti attenti alla privacy nei paesi in cui Android è predominante.

X Chat ha aggirato questo campo di battaglia, con due possibili interpretazioni. Uno dei problemi è il debito tecnico: X Chat è sviluppato in Rust e ottenere il supporto multipiattaforma non è semplice, quindi dare priorità a iOS potrebbe rappresentare un vincolo ingegneristico. L'altra è una scelta strategica: dato che iOS detiene una quota di mercato di quasi il 55% negli Stati Uniti, e la base di utenti principale di X si trova negli Stati Uniti, dare priorità a iOS significa concentrarsi sulla propria base di utenti principale piuttosto che impegnarsi in una concorrenza diretta con i mercati emergenti dominati da Android e con WhatsApp.

Queste due interpretazioni non si escludono a vicenda e conducono allo stesso risultato: Al suo debutto, X Chat ha rinunciato volontariamente al 73% della base globale di utenti di smartphone.

La "Super App" di Elon Musk

Questa questione è stata descritta da alcuni: X Chat, insieme a X Money e Grok, forma un trio che crea un sistema di dati a circuito chiuso parallelo all'infrastruttura esistente, concettualmente simile all'ecosistema WeChat. Questa valutazione non è nuova, ma con il lancio di X Chat, vale la pena rivedere lo schema.

X Chat genera metadati di comunicazione, incluse informazioni su chi parla con chi, per quanto tempo e con quale frequenza. Questi dati confluiscono nel sistema di identità di X. Parte del contenuto del messaggio passa attraverso la funzione Chiedi a Grok ed entra nella catena di elaborazione di Grok. Le transazioni finanziarie sono gestite da X Money: i test pubblici esterni sono stati completati a marzo, e il servizio è stato aperto al pubblico ad aprile, consentendo trasferimenti peer-to-peer in valuta fiat tramite Visa Direct. Un alto dirigente di Fireblocks ha confermato l'intenzione di rendere operativi i pagamenti in criptovaluta entro la fine dell'anno, forte delle licenze di trasferimento di denaro attualmente detenute in oltre 40 stati degli Stati Uniti.

Ogni funzionalità di WeChat opera all'interno del quadro normativo cinese. Il sistema di Musk opera all'interno dei quadri normativi occidentali, ma egli ricopre anche la carica di capo del Dipartimento per l'efficienza governativa (DOGE). Non si tratta di una replica di WeChat; è una riproposizione della stessa logica in un contesto politico diverso.

La differenza sta nel fatto che WeChat non ha mai affermato esplicitamente di essere "crittografato end-to-end" sulla sua interfaccia principale, mentre X Chat lo fa. Nella percezione dell'utente, la "crittografia end-to-end" significa che nessuno, nemmeno la piattaforma, può visualizzare i messaggi. Il design architettonico di X Chat non soddisfa questa aspettativa dell'utente, ma utilizza questo termine.

X Chat consolida in un'unica azienda le tre linee di dati relative a "chi è questa persona, con chi sta parlando e da dove provengono e dove vanno i suoi soldi".

La frase nella pagina di aiuto non è mai stata solo un insieme di istruzioni tecniche.