“Sta diventando sempre più difficile dimostrare di essere davvero sé stessi.” Questa osservazione, condivisa da Federico Variola, CEO di Phemex, riassume una preoccupazione crescente in tutto il settore crypto – una questione che va ben oltre gli smart contract o i bug delle infrastrutture.
Durante una recente tavola rotonda insieme a Ian Rogers, Chief Experience Officer di Ledger, e Dmitry Budorin, co-fondatore e CEO della società di cybersecurity Hacken, Variola ha spiegato come le minacce alla sicurezza crypto si manifestino concretamente. L’AI cambia gli strumenti, ma il punto debole restano sempre le persone: come comunicano tra loro, quanto agiscono rapidamente, e come decidono di fidarsi degli altri.
Molto di tutto ciò dipende dai comportamenti quotidiani. Attraverso exchange e wallet, c’è una comprensione condivisa che siano proprio le abitudini di routine a determinare il modo in cui avvengono gli incidenti. Per Federico Variola, questo si traduce direttamente nel modo in cui gli exchange progettano i processi, introducono ostacoli, e gestiscono l’interazione degli utenti con wallet, piattaforme social e identità on-chain.
Più valore, obiettivi più ambiziosi
All’inizio della discussione, Federico ha affrontato una domanda che l’industria si pone continuamente: il settore crypto sta peggiorando nella sicurezza, o sono semplicemente gli attaccanti a diventare più abili?
“Si può dire probabilmente che quest’anno sia l’anno peggiore per i crimini informatici, e che il prossimo sarà ancora peggiore. E questo non perché peggioriamo nella sicurezza, ma perché c’è un valore maggiore. Quando il valore aumenta, il bottino a disposizione diventa più grande. E quando il bottino si fa più consistente, aumenta il numero di persone che cercano di appropriarsene.”
Man mano che il settore crypto cresce, crescono anche gli incentivi per gli attaccanti. Variola afferma che questo crea uno squilibrio costante, con le capacità di attacco che spesso si sviluppano più rapidamente delle protezioni, specialmente durante le bull run.
“Probabilmente siamo in questo periodo intermedio, in cui le capacità crescono più velocemente delle difese. E ad ogni bull run, persone molto razionali ti spiegano in dettaglio perché dovresti prendere scorciatoie sulla sicurezza, o sull’auto-custodia, o su entrambe, e finisce sempre nello stesso modo.”
Rogers ha condiviso un esempio semplice per sottolineare il concetto. Anche persone molto esperte nel settore crypto, compresi coloro che collaborano strettamente allo sviluppo di wallet, sono state vittime di link ingannevoli condivisi su piattaforme come Discord o nei wallet via browser. Il suo punto era che l’esperienza aiuta, ma non elimina la necessità di essere sempre attenti.
Quando l’identità diventa il punto debole
Dove Variola vede il cambiamento più grande è nelle modalità di attacco.
“Questi attori hanno grandi risorse economiche, a volte sono stati stessi, e si muovono a una velocità difficile da raggiungere. Allo stesso tempo, gli strumenti che tutti usiamo, come AI e automazione, sono armi a doppio taglio. Se possiamo usare noi queste tecnologie, possono farlo anche gli attaccanti. Gli attacchi sociali diventano più complessi. Alcuni hanno preso le mie sembianze e le hanno usate in videochiamate per provare a truffare investitori o partner commerciali.”
Ian Rogers ha condiviso lo stesso punto di vista dal punto di vista degli hardware wallet, sottolineando che oggi molti attacchi si basano più su elementi psicologici che tecnologici. Per Variola, questo rispecchia ciò che gli exchange vedono nella pratica: convincere le persone spesso è più semplice che violare i sistemi.
Come ha spiegato Rogers durante il panel, “può succedere a chiunque di noi”. Anche tra i team nativi crypto, la combinazione di familiarità, urgenza e social engineering ben costruito è spesso sufficiente a bypassare pratiche di sicurezza altrimenti solide.
La realtà dell’exchange: cold, hot e umana
Dal punto di vista di un exchange, Federico è stato attento a distinguere tra garanzie e assunzioni.
“Quello che garantiamo agli utenti deve essere completamente intoccabile, e questo è il cold wallet. È un principio non negoziabile. Le hot wallet, per definizione, presentano un rischio intrinseco perché sono sempre online.”
Durante i periodi di elevata attività di mercato, tali rischi aumentano.
“Quando c’è una bull run, gli utenti si aspettano che le hot wallet siano piene. Muovono fondi velocemente, spesso in grandi quantità, specialmente nelle altcoin. Le richieste degli utenti sono davvero pressanti.”
Questa pressione crea tensione. Gli utenti desiderano velocità e comodità. Tuttavia, la sicurezza richiede spesso un po’ di attrito.
“Devi aggiungere livelli di attrito per tenere al sicuro i fondi, a prescindere da ciò che chiedono gli utenti. In un certo senso, finisci per doverti scontrare un po’ anche con i tuoi stessi utenti.”
È una realtà scomoda per gli exchange, ma secondo Federico è inevitabile se le piattaforme vogliono tutelare davvero gli utenti nel lungo periodo e non solo soddisfarli nell’immediato.
Cosa ti insegna l’esperienza
Durante la tavola rotonda, Variola ha menzionato brevemente un incidente di sicurezza vissuto da Phemex lo scorso anno.
“Una delle lezioni più grandi per noi è stata renderci conto che eravamo un bersaglio più esposto di quanto immaginassimo.”
La lezione principale riguardava le persone.
“Abbiamo sottovalutato quanto siano diffusi gli attacchi di phishing e social engineering, e come questi puntino prima ai livelli più bassi della struttura, come stagisti, designer, persone che non si considerano cruciali per la sicurezza, e da lì risalgono ai ruoli più rilevanti.”
Dmitry Budorin ha offerto un’analogia molto diretta su come funzionano questi attacchi, paragonando il phishing alla pesca. Anche se il pesce non è abbastanza ingenuo da abboccare all’esca di plastica, ha spiegato che bastano attimi di routine o distrazione perché l’attaccante abbia successo. Secondo lui, il pericolo è proprio questa inevitabilità.
Questa mentalità si avvicina molto all’approccio di Variola verso la sicurezza.
“Non basta che ingegneri o dirigenti stiano attenti. Ogni singola persona all’interno dell’organizzazione deve capire i rischi a cui è esposta. Anche l’ultimo stagista deve essere perfettamente consapevole della situazione.”
Budorin è andato oltre, sostenendo che in molti casi l’obiettivo principale non sia affatto un dipendente junior, ma il CEO stesso. Le figure pubbliche, i founder e i dirigenti sono spesso attaccati direttamente, proprio per la loro visibilità e autorità all’interno del settore.
Dopo l’incidente, Phemex ha incrementato le misure di sicurezza in ogni ambito, ma il cambiamento più importante è stato interno.
Strati sociali e strati finanziari non si mescolano
“Le crypto sono un settore molto sociale. NFT, social media, Telegram: tutte queste piattaforme diventano bersagli per gli attaccanti.”
Federico Variola è stato particolarmente critico riguardo alla superficialità con cui si svolgono interazioni sensibili in ambienti che non sono mai stati progettati per la sicurezza.
“Telegram, in particolare, è una delle piattaforme gestite peggio dal punto di vista della sicurezza, ma rappresenta lo standard con cui il settore comunica.”
Ha anche espresso disagio verso i trend in crescita relativi al tracking dei wallet e all’attribuzione pubblica.
“Non mi piace questa tendenza a tracciare i wallet riconducendoli a persone specifiche. Sembra davvero anti-crypto. Ma la realtà è che più hai successo in questo settore, più diventi un bersaglio e maggiori sono le risorse da destinare alla tua protezione.”
La decentralizzazione cambia l’economia degli attacchi
Guardando al futuro, Variola considera la decentralizzazione e la self-custody come parte di un più ampio cambiamento nel modo in cui la sicurezza nelle crypto si realizzerà.
“Man mano che la decentralizzazione diventa più comune, distribuiamo il carico della sicurezza su più possibili punti di fallimento. Gli hacker dovranno colpire le persone una alla volta, invece di trovare il loro punto debole preferito: un unico punto di fallimento.”
Questo non elimina il rischio. Lo ridistribuisce.
“I DEX e le piattaforme decentralizzate presentano le loro sfide. Il codice è legge. Non si può fermare una chain. Ci saranno nuovi rischi. Ma in generale, penso che questo sia un risultato positivo per il settore.”
Per gli exchange, questo significa adattarsi, non resistere.
“Le piattaforme centralizzate non spariranno, ma dobbiamo evolverci. Il modello di sicurezza deve cambiare insieme al comportamento degli utenti.”
Quali crypto staranno ancora lottando tra cinque anni
Guardando al futuro, Federico Variola non presenta questa sfida come qualcosa che le crypto potranno semplicemente “risolvere” e superare per sempre.
“L’AI sarà la sfida più grande,” ha detto. “Avanti nel tempo, il quantum computing aggiungerà un ulteriore livello di rischio.”
Alla domanda se l’AI aiuti i difensori tanto quanto gli attaccanti, la sua risposta è stata diretta: “Purtroppo penso che migliori maggiormente le capacità degli attaccanti rispetto alla sicurezza delle persone.”
Variola vede questo come un momento di maturità per il settore. Le crypto attirano grandi talenti tecnici e la sicurezza sta diventando parte integrante delle attività quotidiane delle aziende e del modo in cui comunicano. In sistemi progettati per ridurre la dipendenza dalla fiducia, ora l’attenzione si sposta sul capire dove ancora esiste la fiducia e come gestirla in modo intelligente.