Address poisoning: una delle minacce più pericolose per gli utenti del web 3
15 ottobre, 2025
8 min
La filosofia alla base del mondo del Web 3, rappresentata in maniera pratica dal concetto di decentralizzazione e disintermediazione, prevede che l’utente sia l’unico responsabile della custodia e gestione dei propri fondi.
Proprio per questo, la sicurezza è da sempre uno dei temi più importanti e delicati di cui ci occupiamo nell’academy di Young Platform, cercando di offrire una serie di strumenti per permettere ai nostri utenti di navigare in totale sicurezza all’interno di questo mondo.
In questo approfondimento, spiegheremo cos’è l’Address Poisoning, come funziona il suo meccanismo di attacco e quali strategie concrete si possono adottare per difendersi da una delle minacce più subdole e diffuse per gli utenti che operano con le criptovalute.
Cos’è l’address poisoning e come funziona
Cos’è l’address poisoning? L’Address Poisoning, letteralmente “avvelenamento dell’indirizzo”, è una sofisticata truffa di ingegneria sociale che mira a intercettare le transazioni di criptovalute tra due o più utenti.
L’obiettivo è indurre l’utente a inviare i propri fondi a un indirizzo sbagliato, che è ovviamente controllato dall’attaccante.
Per raggiungere tale obiettivo, l’attaccante cerca di sfruttare la nostra comune abitudine di copiare e incollare gli indirizzi dalla cronologia delle transazioni e di controllare solo la parte iniziale e finale per verificarne l’autenticità.
Data la sua facilità di diffusione, il completo anonimato dell’aggressore e la difficoltà di riconoscimento da parte degli utenti, l’Address Poisoning è ad oggi uno degli attacchi più comuni all’interno del mondo Web3.
Dati e diffusione: la portata della minaccia
L’Address Poisoning, pur essendo un attacco a basso costo per l’aggressore (che spende solo le gas fee per la transazione velenosa), può avere un impatto finanziario devastante per la vittima di questo attacco.
Ricerche recenti condotte sulle principali blockchain hanno rivelato la vasta portata di questi attacchi:
- Volume degli attacchi: in un periodo di circa due anni, sono stati identificati oltre 270 milioni di tentativi di Address Poisoning, prendendo di mira milioni di portafogli di vittime.
- Blockchain più colpite: la prevalenza degli attacchi è particolarmente alta sulle chain che presentano commissioni di transazione (fee) più basse. Questo rende l’attacco economico da eseguire su vasta scala, amplificando il fenomeno.
- Perdite finanziarie: le perdite confermate a livello globale dovute a questa truffa superano gli $83 milioni, con alcune analisi che stimano un danno complessivo potenziale fino a $144 milioni, posizionando così l’Address Poisoning tra gli attacchi più redditizi nel panorama crittografico.
Target: gli aggressori si concentrano principalmente su utenti con saldi elevati o su coloro che effettuano transazioni frequenti, aumentando così la probabilità statistica di successo dell’attacco.
Questi dati allarmanti impongono agli utenti la necessità di studiare e adottare contromisure adeguate. L’attacco, infatti, sfrutta abilmente la distrazione nella gestione degli indirizzi dei wallet digitali, rendendo la vigilanza personale la difesa più efficace.
Meccanismo di attacco: spoofing
Tecnicamente, l’Address Poisoning è un attacco che rientra a pieno titolo nella categoria dello spoofing ad alta precisione.
Ma cos’è esattamente lo spoofing? È una tecnica di ingegneria sociale con cui l’aggressore falsifica le proprie credenziali o la propria identità — in questo caso, l’indirizzo del mittente — per apparire come un’entità fidata. Nel contesto dell’Address Poisoning, l’attacco si concentra sull’inganno visivo all’interno della cronologia delle transazioni della vittima, ricreando un indirizzo fittizio al quale l’utente invierà i fondi, credendo di inviarli a un indirizzo a lui già noto.
Il processo operativo completo alla base dell’Address Poisoning può essere descritto come segue:
- Identificazione del bersaglio: l’attaccante prima monitora le transazioni recenti della vittima e identifica un indirizzo legittimo e frequente (ad esempio, un exchange o un altro proprio portafoglio della vittima).
- Generazione dell’indirizzo fittizio (Vanity Address): utilizzando specifici software, l’aggressore crea un nuovo portafoglio di sua proprietà. Questi strumenti generano chiavi private in modo brute force fino a quando l’indirizzo pubblico risultante non condivide una sequenza specifica di caratteri con l’indirizzo legittimo, concentrandosi sui primi e gli ultimi caratteri. Ad esempio, se l’indirizzo corretto è 0xDeaD…fACe, l’attaccante mira a crearne uno suo come 0xDeaB…faCe.
- L’avvelenamento: una volta generato l’indirizzo “esca”, l’attaccante invia la transazione a valore zero all’indirizzo della vittima, facendo così apparire questo wallet nella cronologia della vittima.
4. L’inganno: quando l’utente in futuro consulterà la sua cronologia per recuperare l’indirizzo a cui inviare fondi, troverà l’indirizzo del truffatore (0xDeaB…faCe), visivamente quasi indistinguibile da quello legittimo (0xDeaD…fACe). L’attaccante conta sulla nostra verifica superficiale (solo i primi e gli ultimi caratteri) e sull’eccessivo affidamento sulla cronologia.
Non appena la vittima copia l’indirizzo fraudolento e autorizza la transazione verso quest’ultimo, i fondi vengono trasferiti al portafoglio dell’attaccante, con conseguente perdita definitiva dell’accesso a quest’ultimo, data la natura intrinsecamente irreversibile delle operazioni sulla blockchain.
Come difendersi: strategie essenziali per la sicurezza
L’Address Poisoning si basa sull’errore umano, sfruttando la distrazione o la fiducia eccessiva dell’utente. La difesa più efficace, quindi, consiste nell’adottare un approccio metodico e nell’esercitare la massima attenzione in ogni singola transazione.
Proteggersi da questo tipo di attacco richiede un cambiamento nelle proprie abitudini e un atteggiamento più critico verso la cronologia delle transazioni. Di seguito una breve lista di pratiche fondamentali da seguire prima di approvare qualsiasi operazione tramite i propri wallet digitali:
- Controllare l’intero indirizzo: questa è la regola d’oro. Gli attaccanti spesso creano indirizzi con prefissi e suffissi identici a quelli reali. È quindi fondamentale prendersi il tempo necessario per verificare ogni singola cifra dell’indirizzo di destinazione.
- Evitare il copia-incolla dalla cronologia: uno dei comportamenti più rischiosi è copiare un indirizzo direttamente dalla lista delle transazioni recenti. L’indirizzo di destinazione deve essere sempre ottenuto dalla fonte originale e verificato, come la sezione “Ricevi” del wallet del destinatario.
- Eseguire una transazione di prova per importi elevati: per somme consistenti, è consigliabile inviare prima un importo minimo (ad esempio 1 $) come test. Dopo aver verificato che i fondi siano stati ricevuti correttamente, si può procedere con l’importo principale. Il costo aggiuntivo delle doppie gas fee è un piccolo prezzo da pagare per garantire la sicurezza.
Nota: Anche in questo caso, il controllo dell’intero indirizzo resta un passaggio obbligatorio. Gli attaccanti sono sempre più rapidi e precisi: anche un intervallo di pochi secondi tra una transazione di prova e quella effettiva può rappresentare un rischio. Verificare l’indirizzo prima dell’invio finale è quindi essenziale per assicurare la corretta riuscita dell’operazione.
In alternativa a questo processo di doppia verifica degli indirizzi, è possibile adottare whitelist o rubriche di indirizzi fidati per i contatti più utilizzati:
- L’adozione di whitelist o elenchi di indirizzi verificati: dopo aver verificato un indirizzo una prima volta e averne confermato l’assoluta correttezza, lo si può salvare in modo permanente nella propria rubrica. In questo modo, quando si avvieranno transazioni future, si potrà prelevare l’indirizzo direttamente da questa rubrica sicura, rendendo di fatto le operazioni immuni da qualsiasi tentativo di address poisoning o inganno visivo.
La completa adozione di queste misure di sicurezza dovrebbe essere sufficiente a evitare di cadere vittima di quello che, oggi, rappresenta uno degli attacchi più comuni e insidiosi del settore.
Conclusione: la responsabilità della sicurezza nel web3
La blockchain è un registro immutabile e quasi impossibile da compromettere, ma la mente umana rimane l’anello più debole. Queste truffe sfruttano la fretta e l’eccessivo affidamento alle scorciatoie per indurci a commettere errori costosi e, soprattutto, irreversibili.
L’Address Poisoning è un attacco subdolo, ma è anche altamente prevenibile con la giusta combinazione di attenzione e strumenti adeguati. Abituarsi a verificare l’indirizzo per intero e utilizzare le whitelist non sono semplici raccomandazioni, ma pratiche operative essenziali all’interno di un mondo che mette nelle mani dell’utente finale tutta le responsabilità della propria sicurezza operativa
Nel Web3, la tua sicurezza è nelle tue mani. Non dare nulla per scontato; verifica sempre.
Per approfondire consulta la sezione dedicata alla sicurezza: academy.youngplatform.com/tag/sicurezza-crypto/
Suggerimenti pratici per la tua sicurezza nel mondo crypto: youngplatform.com/security/
Correlati
