Quanto è stato rubato in hack crypto nel 2026?

Da gennaio al 20 aprile 2026, le perdite complessive da hack crypto superano i 770 milioni di dollari, secondo i dati di DefiLlama e le analisi delle principali società di sicurezza blockchain. Il solo mese di aprile concentra oltre 580 milioni di dollari di perdite, trainate dagli attacchi a KelpDAO (circa 293 milioni) e a Drift Protocol (circa 285 milioni).

Qual è stato il più grande hack crypto del 2026?

Il più grande attacco a un protocollo del 2026 è quello a KelpDAO, avvenuto tra il 17 e il 19 aprile: circa 116.500 rsETH (~293 milioni di dollari) sono stati prelevati dal bridge tra blockchain basato su LayerZero. Se si considerano anche le truffe rivolte ai singoli utenti, la perdita più alta di gennaio (circa 284 milioni) ha riguardato un investitore caduto in una finta comunicazione del supporto Trezor.

Cosa è un wrench attack?

Wrench attack (letteralmente "attacco con la chiave inglese") è il termine usato nella community crypto per indicare una rapina fisica: gli aggressori costringono la vittima a trasferire i fondi sotto minaccia. Nel 2026 il caso più noto è quello di "Sillytuna", che ha perso circa 24 milioni in aEthUSDC dopo un'aggressione in presenza. Contro questo tipo di attacco, nessun protocollo onchain può proteggere: contano solo la riservatezza del profilo pubblico, la suddivisione dei fondi su più wallet e la gestione fisica della sicurezza personale.

MoneyViz ha accesso alle mie chiavi private?

No. MoneyViz è uno strumento non-custodial per la dichiarazione e l'ottimizzazione della fiscalità crypto: si connette ai tuoi wallet e ai tuoi exchange in sola lettura, tramite chiavi API in sola lettura o indirizzi pubblici. Non custodisce mai chiavi private, seed phrase o credenziali di trading. Anche in caso di compromissione dell'account MoneyViz, un aggressore esterno non può spostare fondi, perché MoneyViz non ne ha mai il controllo.

Come proteggere un wallet hardware dalle truffe?

Alcune regole di base: 1) Non inserire mai la seed phrase su una pagina web o in una chat di supporto — i produttori come Trezor e Ledger non la chiederanno mai. 2) Scaricare app e firmware solo dai siti ufficiali, verificando l'indirizzo del sito. 3) Diffidare di email o messaggi che invitano ad "aggiornare" o "verificare" il wallet tramite link. 4) Usare uno strumento in sola lettura come MoneyViz per avere una vista aggregata di tutti i wallet e gestire la fiscalità crypto, senza mai esporre chiavi o seed.

Perché gli hack crypto del 2026 colpiscono soprattutto la DeFi?

Nel 2025 gli attacchi pesanti hanno colpito exchange centralizzati (Bybit, DMM Bitcoin). Nel 2026 il fronte si è spostato sulla finanza decentralizzata (DeFi): KelpDAO, Drift, Hyperbridge. I protocolli DeFi spesso operano con livelli di sicurezza operativa inferiori a quelli degli exchange: chiavi amministrative mal protette, governance senza timelock, oracoli di prezzo facili da manipolare. Quando ad attaccare è un'unità statale come Lazarus Group (Corea del Nord, 6,75 miliardi di dollari rubati in totale), il modello "garage" non basta più.

Hack crypto 2026: 770 milioni rubati — l'anello debole è umano

DeFi Sicurezza Bridge Wallet Self-Custody Hack Smart Contract MoneyViz

event 20 aprile 2026 schedule 16 min di lettura

Hack crypto 2026: 770 milioni rubati — l'anello debole è umano

Oltre 770 milioni di dollari rubati in hack crypto da gennaio ad aprile 2026. La maggior parte non da exploit crittografici, ma da fiducia tradita: chiavi rubate, seed phrase consegnate, amministratori compromessi. MoneyViz analizza cause, bersagli emergenti e perché la DeFi deve uscire dalla dimensione artigianale.

In sintesi

Oltre 770 milioni di dollari rubati in hack crypto da gennaio ad aprile 2026 — la maggior parte non da exploit crittografici, ma da fiducia tradita: chiavi rubate, seed phrase consegnate, amministratori compromessi
KelpDAO (~293M) e Drift (~285M) da soli valgono oltre 580 milioni — il fronte si è spostato dagli exchange centralizzati alla DeFi
L’attacco più grande di gennaio ha colpito un solo investitore: 284 milioni portati via con una truffa che imitava il supporto Trezor
Dietro molti attacchi c’è Lazarus Group, unità legata alla Corea del Nord: 6,75 miliardi di dollari rubati in totale, competenze dal malware alla manipolazione cloud alla psicologia sociale
Dopo l’exploit KelpDAO, Aave ha perso 9 miliardi di valore bloccato in un giorno: il danno fiduciario supera sempre quello finanziario
MoneyViz aggrega wallet ed exchange in sola lettura per la dichiarazione fiscale crypto: niente seed, niente chiavi private, nessun rischio aggiuntivo

770 milioni di dollari. Rubati in quattro mesi. Non da geni della crittografia. Da persone che hanno convinto altre persone a fare la cosa sbagliata.

In questa analisi MoneyViz ricostruisce i principali hack crypto del primo quadrimestre 2026. Vedremo come sono stati possibili. Vedremo chi li ha subiti. Ma prima di entrare nei dettagli tecnici, c’è un dato che cambia il modo di leggere questa storia: la maggior parte degli attacchi non ha sfruttato una vulnerabilità nel codice. Ha sfruttato una vulnerabilità nella fiducia.

Chiavi amministrative rubate. Seed phrase consegnate a finti supporti. Token accettati come garanzia senza una verifica seria del prezzo. Bridge tra blockchain controllati da una sola firma. Nessun exploit quantistico. Nessun nuovo attacco crittografico. Solo la vecchia, collaudata ingegneria sociale — applicata a un mondo che credeva di esserne immune.

C’è poi un cambio di bersaglio. Nel 2025 gli attacchi pesanti hanno colpito soprattutto gli exchange centralizzati: Bybit (1,5 miliardi), DMM Bitcoin (308 milioni). Nel 2026 il fronte si è spostato sulla finanza decentralizzata (DeFi). KelpDAO, Drift, Hyperbridge: protocolli che promettono di fare a meno degli intermediari, ma che spesso operano con livelli di sicurezza operativa che un qualunque direttore IT di banca respingerebbe al primo sguardo.

C’è chi dice: “Ma non hanno nemmeno l’autenticazione a due fattori?” E ha ragione. Alcuni di questi attacchi sembrano troppo semplici perfino a chi non sa scrivere una riga di codice. La domanda vera non è come hanno fatto a entrare. È perché, nel 2026, era ancora così facile.

Qual è la classifica dei 10 hack crypto più costosi del 2026?

Dieci incidenti concentrano oltre il 97% delle perdite del 2026. I primi tre superano i 280 milioni di dollari ciascuno.

Top 10 hack crypto 2026: classifica dei dieci incidenti più costosi da gennaio ad aprile, con importo e tipo di attacco — Classifica MoneyViz dei dieci hack crypto più costosi del 2026 (gennaio-aprile), ordinati per importo. Fonte: elaborazione MoneyViz su dati DefiLlama, Rekt e analisi ufficiali pubblicate dai protocolli coinvolti.

Top 10 hack crypto 2026 per importo, tipo di attacco e data
#	Protocollo / Vittima	Data	Tipo di attacco	Importo (USD)
1	KelpDAO	17-19 apr 2026	Bridge tra blockchain (contratto gemello LayerZero compromesso)	~293M
2	Drift Protocol	1 apr 2026	Chiave amministratore rubata + oracolo di prezzo manipolato (token CVT)	~285M
3	Trezor victim (singolo investitore)	10-16 gen 2026	Truffa: seed phrase consegnata a un finto supporto	~284M
4	Resolv Labs (USR)	22 mar 2026	Emissione illimitata di stablecoin (chiave o sistema di gestione chiavi compromesso)	~25-34M
5	Step Finance	fine gen 2026	Chiavi della cassa (treasury) Solana rubate	~30M
6	Truebit	8 gen 2026	Emissione di token a costo quasi nullo da un vecchio contratto non aggiornato	~26,4M
7	Sillytuna (singolo detentore)	inizio mar 2026	Wrench attack: aggressione fisica per estorcere le chiavi	~24M
8	Kraken whale (utente retail)	31 mar 2026	Truffa all’utente + bridge THORChain	~18,2M
9	SwapNet	25 gen 2026	Abuso di autorizzazioni ERC-20 tramite chiamata esterna arbitraria	~13,3M
10	SagaEVM	21 gen 2026	Bug in una funzione di base (precompile) IBC Ethermint: emissione di token non coperta	~7M

Tre categorie di vittime emergono: protocolli di finanza decentralizzata (DeFi) che usano bridge o offrono contratti derivati, team con la cassa direttamente sulla blockchain, e singoli utenti — piccoli risparmiatori o grandi detentori colpiti in prima persona. I primi 5 della classifica valgono da soli 922 milioni, cioè l’83% del totale 2026.

Quanto valgono gli hack crypto del 2026 finora?

Il totale da inizio anno al 20 aprile 2026 è di circa 770-780 milioni di dollari, distribuito in modo molto irregolare fra i mesi.

Secondo i dati aggregati da DefiLlama, incrociati con le ricostruzioni tecniche delle principali società di sicurezza, la distribuzione è questa:

Gennaio — circa 86-100 milioni di dollari in attacchi puramente onchain; oltre 360 milioni se si include il caso Trezor, che è stato però una truffa a un singolo utente
Febbraio — circa 24-26 milioni, concentrati nel solo attacco al bridge ioTube
Marzo — circa 40-50 milioni in attacchi onchain, più quasi 60 milioni in furti fuori dalla blockchain (aggressione fisica, truffe)
Aprile (fino al 18) — oltre 606 milioni concentrati in tre soli casi: KelpDAO, Drift, Hyperbridge

Linea del tempo degli hack crypto 2026: principali incidenti da gennaio ad aprile, con importi in milioni di dollari — I principali hack crypto di gennaio-aprile 2026, per mese e importo. Fonte: elaborazione MoneyViz su dati DefiLlama e report di sicurezza pubblici.

Il dato più interessante è la concentrazione: aprile pesa quasi l’80% delle perdite del 2026, e dentro aprile due soli casi valgono oltre il 75% del totale da inizio anno. Quando capita un attacco grosso, è davvero grosso.

Come è stato svuotato KelpDAO per 293 milioni di dollari?

Tra il 17 e il 19 aprile 2026, il bridge tra blockchain di KelpDAO su LayerZero è stato usato per prelevare circa 116.500 rsETH, per un controvalore di ~293 milioni. È il più grande attacco DeFi del 2026.

Il token rsETH è emesso da KelpDAO e rappresenta una posizione di re-staking (ri-blocco di ETH) su EigenLayer: in sostanza è Ether bloccato che genera rendimento. Per spostare rsETH da una blockchain all’altra, KelpDAO usa il sistema di messaggistica di LayerZero: un contratto sulla blockchain di partenza invia un messaggio ai contratti gemelli su Ethereum e Arbitrum, che rilasciano rsETH sulla blockchain di arrivo.

swap_horiz Cos’è un bridge tra blockchain?

Un bridge (in italiano “ponte”) è un’infrastruttura che permette di spostare valore tra blockchain diverse, ad esempio da Ethereum a Arbitrum o a Solana. Le blockchain sono database indipendenti e non si “parlano” fra loro: per muovere token da una all’altra serve un intermediario. Un bridge non trasferisce davvero il token: lo blocca sulla blockchain di partenza e ne emette una copia sulla blockchain di arrivo, sulla base di un messaggio firmato da validatori o contratti autorizzati. Se quel messaggio viene falsificato, o se chi può firmarlo viene compromesso, il bridge può emettere copie senza corrispettivo bloccato sulla blockchain di origine: fondi nuovi dal nulla, pronti per essere scambiati.

Le ricostruzioni tecniche, fra cui quelle riportate su Rekt e nei thread di ZachXBT, indicano un’origine precisa: l’autore dell’attacco ha ottenuto il controllo di un contratto gemello di Kelp sulla blockchain di partenza e, da lì, ha inviato messaggi validi al sistema LayerZero. Dal punto di vista del bridge, nulla era anomalo: un contratto autorizzato stava chiedendo il rilascio di rsETH. Solo che quel contratto non era più controllato dal team di Kelp.

Una volta ricevuti gli rsETH su Ethereum e Arbitrum, l’autore dell’attacco li ha depositati come garanzia (collaterale) su Aave V3, Compound V3 ed Euler per farsi prestare WETH e altri token, amplificando il danno e costringendo più protocolli a sospendere i mercati rsETH. Il totale stimato è tra 290 e 294 milioni di dollari.

Perché Drift Protocol è crollato in meno di 20 minuti?

Il 1° aprile 2026, Drift — una delle principali piattaforme di trading su Solana, specializzata in contratti derivati perpetui — ha visto uscire circa 285 milioni di dollari in meno di 20 minuti. Non per un errore matematico nel codice, ma per una somma di scelte organizzative sbagliate.

La ricostruzione più accreditata, pubblicata nelle analisi successive, descrive tre ingredienti:

Chiave amministratore compromessa — l’autore dell’attacco controllava una chiave con poteri elevati sul protocollo, probabilmente un portafoglio a firme multiple (multisig) modificato senza un blocco di sicurezza temporale (timelock)
Token di garanzia finto (CVT) — è stato inserito fra gli asset accettati come collaterale, con una riserva di liquidità (pool) su Raydium deliberatamente ridotta
Manipolazione dell’oracolo di prezzo — agendo su quella riserva di liquidità ridotta, il prezzo onchain del CVT è stato gonfiato artificialmente

query_stats Cos’è un oracolo di prezzo?

Un oracolo è il componente che fornisce dati dal mondo esterno a un contratto programmabile (smart contract). In finanza decentralizzata serve soprattutto a leggere i prezzi di mercato. Se il prezzo viene letto da una singola riserva di liquidità (pool) con pochi fondi dentro, basta uno scambio di pochi milioni per spostarlo artificialmente: a quel punto un protocollo di prestito che usa quel prezzo finisce per credere che un token valga molto più del suo prezzo reale.

Con il prezzo del CVT gonfiato, l’autore dell’attacco ha depositato il token come garanzia, ha alzato i limiti di prelievo grazie alla chiave amministratore e ha eseguito oltre 30 prelievi rapidi di USDC, SOL, WBTC e WETH reali. In meno di 20 minuti, secondo i dati onchain, erano usciti circa 285 milioni di dollari.

La lezione di Drift non è tecnica: è di governo del protocollo. Chi apre prestiti e depositi a migliaia di utenti non può combinare poteri amministrativi elevati, modifiche senza blocco temporale e accettazione come garanzia di token scambiati su riserve di liquidità insufficienti.

Come ha perso un solo utente 284 milioni in crypto?

Fra il 10 e il 16 gennaio 2026 un singolo investitore ha perso circa 282-284 milioni di dollari — 1.459 BTC e 2,05 milioni di LTC — rispondendo a una campagna di messaggi truffa (phishing) che si spacciavano per il supporto di Trezor e Ledger.

Non è un attacco al codice di un protocollo: è pura manipolazione psicologica della vittima. Gli aggressori hanno contattato l’investitore con messaggi che sembravano arrivare dai produttori dei suoi dispositivi (hardware wallet), convincendolo a consegnare la seed phrase — cioè le 12 o 24 parole che permettono di ricostruire le chiavi private e, di conseguenza, di accedere a tutti i fondi del wallet.

key Cos’è una seed phrase?

La seed phrase (o “frase di recupero”) è una sequenza di 12 o 24 parole inglesi generate secondo lo standard BIP39. Chiunque la possieda può ricostruire tutte le chiavi private del wallet, anche senza avere il dispositivo fisico. Per questo i produttori seri — Trezor, Ledger, Coldcard — hanno una regola chiara: la seed phrase non viene mai chiesta né via email, né via chat, né al telefono, né da un sito web. Se qualcuno la chiede, è un tentativo di furto.

Una volta in possesso della seed, l’aggressore ha svuotato i fondi in poche ore. L’importo assoluto fa sì che questo singolo caso rappresenti il 71% delle perdite crypto di gennaio 2026. Dal punto di vista del wallet, tutto è avvenuto con transazioni regolari: firmate dalla chiave corretta, validate dalla rete, senza alcun errore nel codice dei protocolli.

Il caso è entrato nelle statistiche aggregate come “hack crypto”, ma tecnicamente è una truffa: la difesa non passa da codice più sicuro, passa dalla consapevolezza dell’utente.

Quali sono stati gli altri hack di gennaio 2026?

Oltre al caso Trezor, gennaio 2026 ha visto cinque attacchi onchain rilevanti, per un totale di circa 80 milioni di dollari.

Attacchi onchain di gennaio 2026 per protocollo, tipo e importo
Protocollo	Data	Tipo di attacco	Importo (USD)
Truebit	8 gen 2026	Emissione di token a costo quasi nullo da un vecchio contratto	~26,4M
SwapNet	25 gen 2026	Abuso di autorizzazioni ERC-20 tramite chiamata esterna	~13,3M
Step Finance	fine gen 2026	Chiavi del wallet di cassa (treasury) Solana rubate	~30M
SagaEVM	21 gen 2026	Bug in una funzione di base (precompile) IBC Ethermint: emissione di token non coperta	~7M
Makina Finance	20 gen 2026	Oracolo di prezzo manipolato con un prestito lampo (flash loan) su Curve	~4,1M

Vale la pena fermarsi su SwapNet: è un caso che riguarda chiunque usi aggregatori di exchange decentralizzati. Il contratto che indirizzava le operazioni accettava un indirizzo di destinazione e dei parametri qualunque, senza verificare che la destinazione fosse un contratto autorizzato. Chi aveva concesso a SwapNet un’autorizzazione illimitata su un token ERC-20 — cosa che molte interfacce chiedono in automatico per non costringere l’utente a firmare a ogni operazione — ha visto il contratto usare quell’autorizzazione per spostare i fondi. Circa 20 utenti di Matcha Meta sono stati colpiti: uno solo ha perso oltre 13 milioni.

verified Cosa sono le autorizzazioni ERC-20?

Quando usi un exchange decentralizzato, l’interfaccia ti chiede di firmare un’autorizzazione (in inglese approval): permetti a un contratto di muovere una certa quantità di tuoi token. Molte interfacce chiedono un’autorizzazione illimitata per non doverla rifirmare ogni volta. Se quel contratto ha un errore — o viene aggiornato in modo malevolo — può usare l’autorizzazione per svuotarti il wallet. Ogni due o tre mesi conviene revocare le autorizzazioni non più usate tramite revoke.cash o Etherscan Approval Checker.

Cosa è successo a febbraio e marzo 2026?

Febbraio è stato il mese più tranquillo del trimestre, marzo quello con più attacchi rivolti alle persone.

A febbraio, l’episodio principale è l’attacco al bridge ioTube di IoTeX: il 21 febbraio un aggressore ha ottenuto la chiave di proprietario del contratto di validazione sul lato Ethereum, ha aggiornato il contratto per darsi pieni poteri, ha svuotato circa 4,3-4,4 milioni in token reali (WBTC, WETH, USDC, USDT, IOTX, DAI, PAXG, BUSD, UNI) e ha emesso dal nulla centinaia di milioni di CIOTX senza corrispettivo reale. IoTeX ha fermato la propria blockchain, messo gli indirizzi sospetti in una lista nera e offerto una ricompensa del 10% con sospensione temporanea delle azioni legali in cambio della restituzione dei fondi.

A marzo, quattro incidenti concentrano circa 70 milioni di dollari complessivi:

Resolv Labs (~25-34M) — il 22 marzo un aggressore, probabilmente grazie al furto di una chiave o alla compromissione di un sistema di gestione chiavi su AWS (KMS), ha emesso dal nulla 80 milioni di USR senza coperta e li ha venduti per circa 11.400 ETH. USR è un token pensato per restare ancorato al dollaro (stablecoin): ha perso l’ancoraggio scendendo sotto 0,14 dollari prima di recuperare in parte. Resolv ha poi distrutto decine di milioni di USR con un aggiornamento del contratto
Sillytuna (~24M) — un detentore noto nella community è stato vittima di una rapina fisica (wrench attack): gli aggressori lo hanno costretto a trasferire ~24 milioni in aEthUSDC e altri token, successivamente convertiti in DAI, Bitcoin e in parte Monero per rendere il tracciamento più difficile
Kraken whale (~18,2M) — il 31 marzo ZachXBT ha segnalato un furto dall’account di un utente Kraken tramite truffa o impersonificazione; i fondi sono stati poi convertiti in Bitcoin tramite THORChain
Venus Protocol (~2,18M) — il 15 marzo il mercato THE su Venus è stato manipolato: il prezzo del token è stato gonfiato per usarlo come garanzia, e dopo il crollo successivo il protocollo si è ritrovato con una posizione non recuperabile da 2,18 milioni

Tre casi su quattro sono attacchi rivolti all’utente o al team, non al codice. La difesa passa da buone abitudini personali e operative, non da audit più lunghi.

Quali schemi ricorrono negli attacchi del 2026?

Cinque modalità spiegano la quasi totalità delle perdite del 2026: furto di chiavi, truffe agli utenti, attacchi ai bridge tra blockchain, manipolazione degli oracoli di prezzo e abuso delle autorizzazioni.

Le cinque principali modalità di attacco negli hack crypto del 2026: chiave rubata, truffa all’utente, attacco al bridge, manipolazione dell’oracolo, abuso delle autorizzazioni — Le cinque modalità di attacco ricorrenti nei principali hack crypto del 2026, con esempi. Fonte: elaborazione MoneyViz.

Furto di chiavi e poteri amministrativi — KelpDAO, Drift, IoTube, Step Finance. La maggior parte delle perdite pesanti del 2026 non nasce da un errore nel codice dei contratti programmabili, ma dal fatto che chi poteva firmare le transazioni ha perso il controllo di quella firma
Truffe e manipolazione psicologica della vittima — caso Trezor (gennaio), Kraken whale (marzo). L’utente viene convinto a firmare una transazione o a consegnare la seed; la rete e i protocolli non hanno modo di distinguere quella transazione da una legittima
Attacchi ai bridge tra blockchain — ioTube, Hyperbridge, SagaEVM, KelpDAO. Ogni bridge concentra molto potere: chi controlla i messaggi può rilasciare token sulla blockchain di arrivo senza corrispettivo bloccato su quella di partenza. È il punto debole più costoso del settore
Manipolazione di oracoli e riserve di liquidità — Makina, Venus, parte di Drift. Basta gonfiare un prezzo su una pool con pochi fondi dentro per convincere un protocollo di prestito o di derivati a dare più di quanto dovrebbe
Contratti vecchi e autorizzazioni dimenticate — Truebit (un contratto “Purchase” lasciato senza manutenzione per anni), SwapNet (autorizzazioni ERC-20 su un contratto vulnerabile). Il codice che nessuno tocca non è “sicuro perché stabile”: è codice vecchio che però conserva i suoi poteri

Come proteggere il portafoglio crypto da questi attacchi?

Nessuna difesa è perfetta, ma un insieme di abitudini riduce molto il rischio: separazione dei fondi, revoche periodiche delle autorizzazioni, dispositivi hardware wallet per le posizioni di lungo termine e una vista aggregata dei wallet in sola lettura, utile anche ai fini fiscali.

Difese pratiche contro le cinque modalità principali
Modalità di attacco	Cosa fare	Strumento tipico
Chiavi rubate	Hardware wallet per le posizioni di lungo termine, firme multiple (multisig) sulle casse comuni	Trezor, Ledger, Safe
Truffa all’utente	Non condividere mai la seed, verificare sempre l’indirizzo del sito, scaricare app solo da store ufficiali	Password manager, autenticazione a due fattori hardware (YubiKey)
Attacco al bridge	Tenere sui bridge il meno possibile, preferire i token nativi della blockchain quando è un’opzione	Exchange nativi al posto di token in versione “wrapped” (copie emesse dal bridge)
Oracolo manipolato	Prima di depositare, valutare la dimensione del protocollo (quanti fondi contiene in totale) e la profondità delle sue riserve di liquidità	DefiLlama, dashboard su Dune
Abuso di autorizzazioni	Revocare ogni 2-3 mesi le autorizzazioni illimitate non più in uso	revoke.cash, Etherscan
Vista aggregata e fiscalità	Tenere sotto controllo wallet ed exchange con uno strumento aggregato in sola lettura, utile anche per la dichiarazione	MoneyViz

Un principio trasversale: tenere separata la custodia dei fondi dal loro monitoraggio. Il wallet che custodisce i fondi deve essere esposto il meno possibile; lo strumento che mostra cosa succede non deve avere mai accesso alle chiavi. In quasi tutti i casi del 2026, la vittima si è accorta tardi di un’uscita importante perché non aveva una vista aggregata dei propri wallet.

Perché MoneyViz è sicuro per dichiarare e ottimizzare la tua fiscalità crypto?

MoneyViz è lo strumento non-custodial pensato per dichiarare e ottimizzare la fiscalità crypto, inclusa la gestione di plusvalenze e minusvalenze: si connette ai tuoi wallet e ai tuoi exchange in sola lettura, senza mai chiedere seed phrase o chiavi private.

Il principio è semplice: i dati sul movimento dei fondi sono pubblici (sulla blockchain) o recuperabili tramite API in sola lettura (sugli exchange), quindi per mostrarti saldi, storico e risultati non serve il potere di spostare nulla. Di conseguenza, anche nello scenario peggiore — account MoneyViz compromesso, browser compromesso — nessun aggressore esterno può prelevare fondi passando da MoneyViz, perché MoneyViz quel potere non ce l’ha.

Chiavi API in sola lettura sugli exchange — su Coinbase, Kraken, Binance, Bitpanda, Bitfinex, Young Platform e molti altri è possibile generare chiavi API senza il permesso di prelievi. MoneyViz usa solo queste
Indirizzi pubblici per i wallet onchain — basta l’indirizzo del wallet o una chiave pubblica estesa (xpub); non viene mai richiesta la seed
Vista consolidata di tutti i wallet — su un’unica schermata compaiono tutti i tuoi asset: se un indirizzo si muove in modo anomalo, te ne accorgi al primo sguardo
Storico fiscale — tutte le transazioni sono classificate e riconciliate, utile anche per chi deve dichiarare plusvalenze in Italia

receipt_long Nota fiscale: furti e plusvalenze crypto in Italia

In caso di furto di crypto, la perdita non è automaticamente deducibile come minusvalenza: la prassi italiana (circolari Agenzia delle Entrate 2023-2025) richiede una documentazione puntuale — denuncia, prova onchain del trasferimento non autorizzato, tracciabilità dei fondi. Per una guida aggiornata alla dichiarazione, consulta la guida MoneyViz alle tasse crypto 2026.

Cosa fare se sospetti una compromissione del wallet?

Pochi minuti di reattività fanno la differenza fra perdere tutto e salvare una parte sostanziale del portafoglio.

Isola il wallet — disconnettilo da tutte le applicazioni decentralizzate (dApp); se usi un dispositivo hardware, staccalo dal computer
Sposta su un nuovo indirizzo — se temi che qualcuno abbia la tua seed, trasferisci i fondi residui su un wallet nuovo creato su un dispositivo pulito, prima che lo faccia l’aggressore
Revoca le autorizzazioni — da revoke.cash, togli le autorizzazioni illimitate sui contratti che non usi
Segnala e denuncia — apri un ticket sull’exchange coinvolto, contatta la Polizia Postale, raccogli gli hash delle transazioni e gli screenshot
Non trattare con l’aggressore — eventuali offerte di “restituzione in cambio di una fee” via messaggio diretto sono sempre un ulteriore tentativo di truffa

L’elemento che rende possibili i passi 1 e 2 è tenere il proprio storico sotto controllo. Per questo MoneyViz aggrega wallet ed exchange in sola lettura — per la dichiarazione fiscale e la gestione di plusvalenze e minusvalenze — senza mai richiedere chiavi o seed.

E se la truffa toccasse proprio voi?

Immaginate di essere clienti MoneyViz. È aprile. Sta per scadere il termine per la dichiarazione dei redditi. State caricando i file con le transazioni dell’anno. Ricevete una mail. Sembra arrivare da MoneyViz — logo corretto, tono professionale, oggetto: “Problema con il caricamento dei dati.” Vi chiede di rifare l’upload tramite un link. Niente di strano. È la stagione della dichiarazione. Rispondete. Aprite il link.

L’operatore dall’altra parte vi scrive: “Il file non va bene. Senta, per velocizzare, segua queste istruzioni.” Vi manda uno screenshot. Vi chiede di abilitare i permessi di transazione sul vostro account exchange, così MoneyViz può “sincronizzare i dati.” Non di leggere. Di trasferire.

Qui dovrebbero alzarsi tutte le antenne. MoneyViz non chiede mai chiavi private, seed phrase o permessi di transazione. Funziona in sola lettura. Quasi sempre, dietro una richiesta del genere, c’è una sostituzione di persona. Non state parlando con MoneyViz. State parlando con qualcuno che ha costruito una copia credibile del servizio. Ha studiato il tono giusto. Sa che in aprile la gente ha fretta. Ha pazienza. Ha tempo. Aspetta il momento in cui la guardia è bassa.

Il problema non è la tecnologia. Il problema è che i sistemi automatici costruiscono fiducia. Alimentano reputazione. Manipolano altre macchine e altri esseri umani per preparare il terreno. E colpiscono quando il bersaglio è distratto.

Non è un fenomeno nuovo. Il caso Trezor da 284 milioni? Stesso schema. La compromissione di Safe{Wallet} che ha aperto la strada all’attacco da 1,5 miliardi a Bybit nel 2025? Stesso schema: qualcuno si è fidato del fornitore giusto, ma il fornitore era stato compromesso. Chi ha organizzato l’attacco non ha sfondato la porta. Ha corrotto il fabbro.

La DeFi deve crescere. Non lo chiede l’Europa. Lo chiedono gli utenti.

La finanza decentralizzata è nata come progetto di garage. Qualche sviluppatore, un contratto programmabile, una pool di liquidità, e via. Funziona quando gestisci pochi milioni. Quando gestisci miliardi, il modello del garage non basta più.

Prendete Aave. Prima dell’exploit KelpDAO di aprile, il valore totale bloccato sul protocollo era di 26,4 miliardi di dollari. Dopo, è sceso sotto i 18 miliardi. Nove miliardi usciti in poche ore — non perché Aave fosse stata attaccata, ma perché la paura si è propagata come in un classico bank run.

Il danno fiduciario supera sempre il danno finanziario diretto. Ogni volta che un protocollo DeFi viene svuotato, migliaia di utenti si pongono la stessa domanda: “Se tutto questo è un castello di sabbia, forse mi conviene restare nella cara e vecchia finanza tradizionale?”

Non è una domanda reazionaria. È una domanda legittima. E la DeFi, per risponderle, deve uscire dalla dimensione artigianale e entrare in una dimensione quasi-bancaria. Non perché lo impone la regolamentazione europea — quella arriva dopo, arriva sempre dopo. Ma perché lo chiedono gli utenti con i loro soldi. I soldi votano. E nell’aprile 2026, nove miliardi di dollari hanno votato “no, grazie”.

Serve sicurezza operativa, non solo audit del codice. Serve formazione, non solo documentazione tecnica. Serve governance con controlli reali — timelock, firme multiple, separazione dei ruoli — non solo governance dichiarata in un post su un forum. E serve la consapevolezza che, dall’altra parte, spesso non c’è un ragazzino brillante con il portatile.

C’è Lazarus Group. Un’unità legata alla Corea del Nord. Ha rubato 6,75 miliardi di dollari in crypto dal 2017. Solo nel 2025 ne ha presi 2,02 miliardi — il 60% di tutti i furti crypto dell’anno. Ha pazienza da settimane. Competenze che vanno dal malware alla manipolazione cloud alla psicologia sociale. I suoi operatori si infiltrano come finti dipendenti nelle aziende crypto. Superano i colloqui con identità fabbricate. Ottengono accesso privilegiato dall’interno.

Quando ti trovi contro chi ha risorse illimitate, il tuo modello di sicurezza non può essere “speriamo bene”.

Qual è il quadro complessivo?

Gli hack crypto del 2026 raccontano una storia semplice. L’anello debole non è la crittografia. Non è la blockchain. È l’essere umano. Chiavi conservate male. Amministrazioni troppo centralizzate. Utenti manipolati da chi sa aspettare il momento giusto. Protocolli che gestiscono miliardi come se gestissero spiccioli.

La buona notizia è che la difesa, per chi risparmia e investe, non richiede di diventare un esperto di sicurezza informatica. Richiede disciplina: hardware wallet per le posizioni di lungo termine, autorizzazioni ridotte al minimo, seed phrase mai condivisa con nessuno. E richiede una vista aggregata in sola lettura dei propri wallet ed exchange — come quella che offre MoneyViz, che non chiede seed, non chiede chiavi, non può spostare fondi. Può solo farti vedere cosa succede, in tempo reale.

Per la DeFi, la sfida è più grande. Deve crescere. Deve investire in sicurezza e formazione con la stessa energia con cui investe in nuovi prodotti. Non perché lo chiede una direttiva europea. Ma perché nove miliardi di dollari hanno lasciato Aave in un giorno. E quei nove miliardi non torneranno finché la risposta alla domanda “è un castello di sabbia?” non sarà un “no” credibile.

Per chi vuole approfondire il tema della sicurezza tra blockchain diverse, abbiamo analizzato l’exploit su Hyperbridge — un caso complementare a quelli raccontati qui, che mostra come un errore nel modello di fiducia possa costare milioni in pochi minuti.

Fonti

Aggiornato al 20 aprile 2026 — Fonti: DefiLlama, Rekt, Chainalysis, analisi tecniche ufficiali dei protocolli citati, ricerche di sicurezza di Halborn e SlowMist, thread pubblici di ZachXBT.

Autore

Danilo Giudice

Content Strategist, MoneyViz

Content Strategist MoneyViz, CMO Routescan, CMO 0Var, co-founder Bitcoin Sicilia, co-founder ETHNA. Costruisce narrative che traducono la complessità blockchain in contenuti accessibili per investitori e community.

open_in_new LinkedIn open_in_new Bitcoin Sicilia

Trading Broker Vedi Tutti

XTB

Plus500

XM

Naga

Swissquote

Avatrade

Metatrader 4

Crypto Exchanges Vedi Tutti

Crypto DeFi Vedi Tutti

Metamask

Trust Wallet

Atomic Wallet

Exodus

Bitcoin

Ethereum

Polygon

Cardano

Solana

Fantom

Algorand

Bonus Minusvalenze 2025 • Giovedì 11 Dicembre, ore 19:00 • Webinar gratuito