Il permesso che non sapevi di aver dato
Ho trascorso 25 anni in IBM costruendo sistemi che elaboravano milioni di transazioni al giorno. Sistemi bancari. Piattaforme assicurative. Reti logistiche. In tutti questi anni, un principio non è mai cambiato: il fallimento più pericoloso della sicurezza non è un’effrazione. È una porta lasciata aperta dal proprietario dell'edificio.
Questo principio si applica alla criptovaluta nel 2026 più di quanto non sia mai stato applicato all’IT aziendale.
Negli ultimi mesi un numero crescente di persone è entrato OneMiners sedi a Praga e New York con lo stesso problema. Hanno collegato il loro portafoglio a un sito web. Hanno approvato una transazione. Non capivano cosa approvavano. E quando si sono resi conto che qualcosa non andava, i loro beni si erano spostati, non perché qualcuno avesse violato il loro portafoglio, ma perché avevano inconsapevolmente dato il permesso per tale spostamento.
Non si tratta di un guasto tecnico. È una lacuna informativa. E le lacune informative sono risolvibili.
Come funzionano effettivamente le approvazioni del portafoglio
Lascia che te lo spieghi nel modo in cui spiegherei l'architettura di un sistema a un ingegnere junior: in modo chiaro, senza scorciatoie e senza dare per scontato che tu lo sappia già.
Quando usi un portafoglio di criptovaluta, hai a chiave privata. Considerala come la chiave principale di un edificio. Ogni porta, ogni stanza, ogni cassaforte: una chiave le apre tutte. Finché hai questa chiave e nessun altro ne ha una copia, il tuo edificio è sicuro.
Ora, è qui che la cosa diventa interessante.
Alcune applicazioni – scambi decentralizzati, piattaforme token, protocolli DeFi – chiedono al tuo portafoglio di “approvare” un’interazione. In apparenza, sembra una routine. Viene visualizzato un piccolo popup. Fai clic su "Conferma". Sembra di accettare termini e condizioni.
Ma quello che potresti effettivamente fare è consegnare a qualcuno una copia della chiave di una stanza specifica. Non la tua chiave principale, ma una chiave che dice: "Puoi entrare in questa stanza e prendere ciò che trovi, in qualsiasi momento, senza chiedermelo più."
| Quello che vedi | Cosa può effettivamente fare |
|---|---|
| "Approva l'accesso al token" | Concede il permesso illimitato per spostare un token specifico dal tuo portafoglio |
| "Conferma transazione" | Potrebbe includere l'approvazione nascosta per transazioni future che non hai avviato |
| "Connetti portafoglio" | Generalmente sicuro, ma combinato con un’approvazione apre la porta |
| "Richiedi token gratuiti" | Potrebbe essere necessaria un'approvazione che conceda l'accesso alle tue risorse esistenti |
L'intuizione chiave: Non stai inviando fondi. Stai concedendo il permesso a qualcun altro di spostarli in un secondo momento. La perdita non avviene immediatamente: avviene quando la parte che hai approvato decide di agire.
Nell'IT aziendale la chiamiamo "autorizzazione permanente". È l'autorizzazione più controllata e più limitata in qualsiasi sistema che abbia mai creato. Nelle criptovalute, chiunque può richiederne uno con un singolo popup.
Come gli schemi ingannevoli utilizzano questo meccanismo
Non userò un linguaggio drammatico. Descriverò i meccanismi nello stesso modo in cui descriverei una vulnerabilità del sistema in una revisione dell'architettura: in modo concreto e con dettagli sufficienti per poterla riconoscere.
Il modello tipico
- L'esca. Scopri un nuovo token, un "airdrop gratuito" o un'opportunità di investimento. Arriva attraverso i social media, un'app di messaggistica o talvolta appare direttamente nel tuo portafoglio un token che non hai mai acquistato.
- L'urgenza. Il messaggio include la pressione temporale: "Richiedi entro 24 ore". "Assegnazione limitata." "Il prezzo aumenta domani." In 25 anni di lavoro aziendale, non ho mai visto un sistema legittimo che richiedesse di prendere una decisione sulla sicurezza in meno di un'ora.
- L'approvazione. Verrai indirizzato a un sito Web dall'aspetto professionale. Ti chiede di collegare il tuo portafoglio e approvare una transazione. Sepolta nei dettagli c'è un'autorizzazione che garantisce accesso illimitato ai tuoi token.
- L'estrazione. Ore, giorni o talvolta settimane dopo, la parte approvata utilizza l'autorizzazione permanente per spostare i tuoi beni. La transazione è confermata sulla blockchain e irreversibile.
Perché funziona: Non si tratta di intelligenza. Ho visto dottorandi in informatica commettere questo errore. L'interfaccia di approvazione nella maggior parte dei portafogli non è stata progettata per essere chiara: è stata progettata per la funzione. Le informazioni sono tecnicamente presenti, ma richiedono esperienza per essere interpretate. Questo è un fallimento della progettazione, non un errore dell'utente.
Segnali di pericolo: la lista di controllo
Nella sicurezza aziendale, utilizziamo liste di controllo. Non perché le persone siano negligenti, perché anche le persone attente traggono vantaggio da una revisione strutturata prima di prendere una decisione. Ecco il tuo.
Prima di approvare qualsiasi cosa, controlla questi
- Linguaggio d'urgenza — "Agisci adesso", "per un tempo limitato", "scade tra 24 ore". I protocolli legittimi non scadono dall’oggi al domani.
- Richieste di segretezza — "Non condividere questa opportunità." Le piattaforme legittime vogliono utenti. Non sussurrano.
- Gettoni sconosciuti nel tuo portafoglio — I token che non hai acquistato e che appaiono nel tuo portafoglio non sono regali. Sono esche progettate per condurti a un sito di approvazione dannoso.
- Descrizioni vaghe dell'approvazione — Se il popup del portafoglio non indica chiaramente cosa stai approvando e per quanto, fermati.
- Nessuna spiegazione chiara di ciò che fa l'approvazione — Un protocollo legittimo spiegherà cosa stai approvando e perché. Se manca la spiegazione, trattala come un avvertimento.
- Importi di approvazione di token illimitati — Se l'approvazione supera quanto richiesto dalla transazione o risulta "illimitata", si tratta di un rischio significativo.
- Il sito web non è familiare — Controlla l'URL carattere per carattere. I siti fraudolenti spesso differiscono per una sola lettera.
La regola dei due minuti: Se non puoi spiegare a qualcun altro, in un linguaggio semplice, cosa comporta un'approvazione e perché la stai concedendo, non approvarlo. Chiudi il browser. Allontanati. La blockchain sarà ancora lì domani.
Cosa fare se hai approvato qualcosa che non dovresti avere
La velocità qui conta. Niente panico: velocità.
Passi immediati
- Non approvare transazioni aggiuntive. Se un sito richiede una seconda approvazione per "correggere" o "annullare" la prima, è probabile che si tratti di un'altra richiesta dannosa.
- Controlla le tue approvazioni attive. Strumenti come revoke.cash o il controllo dell'approvazione dei token di Etherscan ti consentono di rivedere e revocare le autorizzazioni permanenti.
- Revocare immediatamente le approvazioni sospette. Ciò costa una piccola tariffa di rete ma rimuove l'autorizzazione permanente. Se il malintenzionato non ha ancora agito, la revoca impedisce future estrazioni.
- Sposta le risorse rimanenti in un nuovo portafoglio. In caso di dubbi, trasferisci le tue risorse rimanenti su un nuovo portafoglio che non ha mai interagito con il sito sospetto.
- Documenta tutto. Schermate del sito, hash delle transazioni e dettagli di approvazione. Queste informazioni sono utili per segnalare e comprendere cosa è successo.
Migliori pratiche: costruire abitudini di sicurezza a lungo termine
La sicurezza non è un’azione una tantum. È un sistema. In 25 anni in IBM, le organizzazioni che sono rimaste al sicuro non erano quelle con i migliori firewall: erano quelle con le migliori abitudini.
Le abitudini che contano
- Usa portafogli separati. Tieni un portafoglio "caldo" con piccole quantità per l'uso quotidiano. Mantieni le tue partecipazioni principali in un portafoglio che non si collega mai a siti sconosciuti. Pensa al conto corrente rispetto al conto di risparmio.
- Rivedi le autorizzazioni mensilmente. Controlla le tue approvazioni attive su revoke.cash. Revoca tutto ciò che non ti serve più. I permessi di permanenza sono porte aperte di cui ti sei dimenticato.
- Verificare prima di connettersi. Digita tu stesso gli indirizzi o utilizza i segnalibri. Non fare clic su collegamenti da messaggi o social media.
- Utilizza i portafogli hardware per partecipazioni significative. Conferma fisica per ogni transazione: la differenza tra un edificio con guardia di sicurezza e uno con atrio aperto.
- Rimani informato. Segui risorse educative affidabili come btcfq.com, che fornisce guide chiare e prive di termini tecnici sui fondamenti della criptovaluta.
Quando hai bisogno di qualcuno con cui parlare
Ecco cosa ho imparato in un decennio di lavoro in questo spazio: il momento più pericoloso per chiunque nel mondo delle criptovalute non è quando si imbatte in uno schema ingannevole. È il momento successivo, quando si sentono confusi, insicuri su cosa sia successo e non sanno a chi chiedere.
Internet è pieno di consigli. In parte è buono. Alcuni di essi peggioreranno la situazione. E c'è qualcosa di fondamentalmente diverso nel sedersi di fronte a una persona reale, mostrarle il tuo schermo e dire: "Mi aiutate a capire cosa è successo qui?"
Questa è una delle cose che fa OneMiners veramente diverso.
Entra e parla con la squadra. Che tu non sia sicuro dell'interazione con il portafoglio, desideri che qualcuno riveda una transazione o semplicemente desideri capire come funzionano le autorizzazioni, avere quella conversazione faccia a faccia cambia tutto.
Lo stesso livello di supporto di persona. Porta le tue domande. Porta le tue preoccupazioni. Porta il portatile se vuoi che qualcuno guardi lo schermo con te. Non c'è alcun sostituto per una persona esperta nella stanza.
Il personale di OneMiners non sono solo minatori ed esperti di hardware. Conoscono portafogli, transazioni, approvazioni e il panorama più ampio della sicurezza. Quando cinque clienti si sono presentati con lo stesso tipo di problema in un solo mese, il team ha riconosciuto lo schema e ha iniziato a istruire in modo proattivo i visitatori. Questo è il tipo di risposta che ottieni da persone che hanno davvero a cuore la comunità che servono.
Puoi anche usare asicprofit.com per calcolare la redditività del mining e btcfq.com per approfondire la tua comprensione dei fondamenti di Bitcoin, perché meglio comprendi l'ecosistema, più difficile sarà per chiunque ingannarti.
La visione lunga
Mi occupo di tecnologia da prima che Internet fosse commerciale. Ho visto le tecnologie apparire, sconvolgere, fallire e resistere. La criptovaluta, in particolare il Bitcoin, rientra nella categoria "resistere". L’ho detto nel 2014 e lo ripeto adesso: questa tecnologia rimane.
Ma la tecnologia che resta deve essere affrontata con la stessa disciplina di qualsiasi sistema a lungo termine. Non si costruisce una piattaforma di 25 anni su scorciatoie e decisioni rapide. Lo costruisci sulla comprensione, sulle buone abitudini e sull'avere le persone giuste intorno a te quando sorgono domande.
Lo spazio crittografico non è intrinsecamente pericoloso. Lo è intrinsecamente nuovo. E i nuovi sistemi hanno sempre una curva di apprendimento. Le persone che percorrono con successo quella curva non sono le più tecnicamente brillanti: sono le più metodiche.
Sii metodico. Verifica prima di approvare.
E quando qualcosa non va bene...
entra e parla con qualcuno che l'ha già visto.
Vale la pena proteggere i tuoi beni. Vale la pena costruire la tua fiducia. Ed entrambe le cose sono più facili quando non lo fai da solo.
