Le chiavi private, non gli smart contract, hanno causato il 40% dei 16 miliardi di dollari persi nelle criptovalute: ecco cosa si sta facendo

La maggior parte delle infrastrutture progettate per la blockchain è nata su un modello a singola utenza e singola chiave privata: una sola private key controlla tutto e, se viene persa o sottratta, gli asset sono perduti all’istante. Questo approccio contrasta con i principi di sicurezza su cui si basa da decenni la finanza tradizionale, come la doppia approvazione, la separazione dei compiti e più livelli di difesa.

Wu ha dichiarato:

“La maggior parte delle infrastrutture blockchain è stata originariamente costruita per un modello a singolo utente e singola chiave: una chiave privata controlla tutto e, se quella chiave viene persa o rubata, tutti gli asset scompaiono istantaneamente. Questo va contro i principi di sicurezza fondamentali su cui la finanza tradizionale ha fatto affidamento per decenni: più persone che approvano, separazione delle responsabilità e diversi strati di difesa.”

Wu ha aggiunto che la superficie d’attacco — ovvero il numero di vie attraverso cui può essere lanciato un attacco — si è ampliata in modo significativo. Sono diventati potenziali punti d’ingresso i sistemi cloud, gli strumenti di terze parti, gli account sui social media e le persone che li gestiscono.

In pratica, un’infrastruttura costruita per rivoluzionare la finanza globale oggi presenta in molti casi una sicurezza inferiore a quella di un normale account di posta elettronica.

Wu e Fan hanno indicato come esempio emblematico della crescita della superficie d’attacco l’hackeraggio di Bybit del febbraio 2025: gli aggressori hanno compromesso la supply chain del software di uno strumento sviluppato da terzi, riuscendo a iniettare codice malevolo nell’interfaccia web del wallet e inducendo dirigenti a firmare inconsapevolmente il trasferimento di 1,5 miliardi di dollari in Ethereum.

Le soluzioni in campo

Di fronte a questi rischi, l’industria sta introducendo misure per mitigare la vulnerabilità legata alla singola chiave, ma l’adozione non è uniforme. Alcune soluzioni emergenti offrono protezioni più robuste se integrate correttamente a livello di protocollo.

Wu ha dichiarato:

“Ci sono progressi su molti fronti: MPC (calcolo multipartito) per i wallet, account abstraction con social recovery, il login basato su passkey, l’imposizione di hardware wallet e procedure operative standard (SOP) per una corretta gestione delle chiavi.”

Wu ha aggiunto:

“Il problema è che queste funzionalità vengono spesso aggiunte come opzioni facoltative, invece di essere progettate fin dall’inizio a livello di protocollo. La maggior parte delle catene continua a trattare la sicurezza come una caratteristica da applicare a posteriori, non come un principio di design fondamentale.”

Per comprendere le implicazioni pratiche, è utile chiarire alcuni dei termini citati: il MPC permette di dividere la responsabilità di una chiave tra più parti senza che alcuna di esse possa ricostruire da sola la chiave completa; l’account abstraction introduce logiche più flessibili per la gestione degli account, inclusa la possibilità di social recovery per recuperare l’accesso; le passkey semplificano l’autenticazione riducendo la dipendenza dalle password; gli hardware wallet isolano le chiavi private su dispositivi fisici; infine, le SOP (procedure operative standard) sono essenziali per la corretta governance delle chiavi e per ridurre gli errori umani.

L’adozione diffusa di questi strumenti richiede però investimenti in sviluppo, aggiornamenti dei protocolli e formazione del personale. Inoltre, la standardizzazione a livello normativo potrebbe accelerare l’adozione, imponendo requisiti minimi di custodia e di controllo degli accessi, soprattutto per gli operatori che gestiscono fondi di terzi.

Per le istituzioni finanziarie e gli investitori professionali la questione è cruciale: senza garanzie robuste di custodia e procedure controllate, il rischio operativo rimane elevato e ostacola l’ingresso massiccio dei capitali istituzionali nel settore crypto. Contemporaneamente, una maggiore sicurezza infrastrutturale potrebbe favorire lo sviluppo di prodotti assicurativi e di servizi di custodia più competitivi.

Infine, l’evoluzione delle pratiche di sicurezza avrà ricadute sul mercato: una riduzione degli incidenti legati alla gestione delle chiavi può aumentare la fiducia degli investitori retail e istituzionali, mentre la persistenza di approcci fragili potrebbe determinare ulteriori ondate di consolidamento tra provider di wallet e custodi.

In sintesi

• L’adozione diffusa di soluzioni come MPC, account abstraction e hardware wallet ridurrà il rischio operativo e può attrarre capitali istituzionali verso il mercato crypto in Italia, incrementando la domanda di servizi di custodia regolamentati.
• Per gli investitori italiani, l’aumento dei costi di compliance e implementazione della sicurezza potrebbe tradursi in una maggiore concentrazione del mercato su operatori in grado di offrire garanzie tecniche e assicurative superiori.
• La standardizzazione normativa sulle pratiche di gestione delle chiavi e sulla supply chain del software potrebbe migliorare la resilienza del settore, ma richiederà tempo e coordinamento tra sviluppatori, exchange e autorità di vigilanza.
• Un miglioramento strutturale della sicurezza favorirà lo sviluppo di prodotti finanziari più sofisticati collegati alle crypto, con potenziali effetti di diversificazione per i portafogli degli investitori italiani.