Più di 20.000 wallet compromessi, oltre 45 milioni di dollari in criptovalute spariti, vittime sparse in più di 30 paesi. Sono i numeri di Operation Atlantic, un'operazione internazionale di polizia che ha messo sotto la lente una delle forme di truffa più insidiose nel mondo crypto: l'approval phishing. L'operazione, durata una settimana e annunciata a fine marzo, ha visto la partecipazione di agenzie governative britanniche e statunitensi, con il supporto tecnico di TRM Labs per l'analisi delle transazioni su blockchain. Il bilancio concreto: 12 milioni di dollari congelati e destinati alla restituzione alle vittime, altri 33 milioni sotto indagine, oltre 120 domini web oscurati.
La parola «phishing» evoca scenari ormai familiari: email fasulle, pagine di login contraffatte, credenziali rubate. L'approval phishing è un'altra cosa. Non punta alle password. Sfrutta una caratteristica tecnica degli smart contract: il meccanismo di approvazione delle transazioni. La vittima riceve un avviso - un pop-up, una notifica apparentemente legittima da un servizio noto - che la invita ad «approvare» un'operazione su blockchain. Quel gesto, in apparenza banale, concede all'attaccante il permesso di movimentare i fondi dal wallet della vittima a piacimento.
Una volta firmata l'approvazione, il danno è fatto. Le transazioni su blockchain sono irreversibili per natura, e chi attacca può svuotare il wallet in qualsiasi momento - anche giorni o settimane dopo. Molte vittime si accorgono della compromissione solo quando il saldo scompare.
» Leggi anche: Non farti fregare! 10 truffe con Bitcoin e criptovalute che devi evitare (video)
Queste truffe raramente arrivano dal nulla. Spesso sono il capitolo finale di un raggiro lungo: truffe d'investimento o frodi sentimentali in cui la vittima viene "lavorata" per settimane o mesi prima di essere indirizzata verso un sito malevolo. La manipolazione psicologica precede quella tecnica.
Un'evoluzione recente rende la minaccia ancora più subdola. L'approval phishing sta debordando dallo schermo alla carta stampata. Diversi utenti hanno segnalato la ricezione di lettere cartacee che impersonano produttori di hardware wallet come Ledger e Trezor. Le missive, curate nel dettaglio grafico con loghi ufficiali e linguaggio allarmista, invitano a scansionare un codice QR o a visitare un indirizzo web per completare presunti «controlli di sicurezza obbligatori». Il messaggio è calibrato per generare urgenza: se non agisci subito, i tuoi fondi verranno bloccati.
Si sospetta che alcune di queste campagne attingano a dati personali esposti in passate violazioni di sicurezza subite da aziende del settore crypto. Chi ha acquistato un hardware wallet e ha visto i propri dati finire in un data breach è un bersaglio ideale: possiede criptovalute, e l'attaccante conosce già il suo indirizzo fisico.
Operation Atlantic non è un caso isolato. È il successore di Operation Avalanche, condotta l'anno precedente, che aveva tracciato circa 4,3 milioni di dollari in Ethereum legati a schemi di approval phishing. Il salto da 4,3 a 45 milioni racconta da solo la velocità con cui il fenomeno si sta espandendo.
I dati di Chainalysis relativi al 2025 dipingono un quadro più ampio e poco rassicurante. Le stime proiettano a 17 miliardi di dollari il totale sottratto tramite truffe e frodi crypto nell'anno, con almeno 14 miliardi già confermati dalle transazioni registrate su blockchain. Il dato del 2024, inizialmente stimato in 9,9 miliardi, è stato rivisto al rialzo a 12 miliardi dopo ulteriori analisi. Il pagamento medio per singola truffa è passato da 782 dollari nel 2024 a 2.764 dollari nel 2025: un incremento del 253%.
Le truffe basate sull'impersonificazione sono cresciute di oltre il 1.400% su base annua. Quelle potenziate dall'intelligenza artificiale - deepfake, identità sintetiche, strumenti di phishing-as-a-service - si sono dimostrate 4,5 volte più redditizie di quelle tradizionali. L'infrastruttura criminale si è professionalizzata: servizi di riciclaggio strutturati, strumenti chiavi in mano per il phishing, reti di crimine organizzato con legami accertati nel Sud-Est asiatico, inclusi campi di lavoro forzato in Cambogia e Myanmar.
Oltre ai fondi congelati e ai domini sequestrati, le forze dell'ordine hanno contattato direttamente più di 3.000 vittime per avvertirle della compromissione dei loro wallet. Brent Daniels, vicedirettore dello U.S. Secret Service, ha dichiarato: «Operation Atlantic ha dimostrato l'importanza e la necessità della collaborazione internazionale per fermare le frodi in criptovaluta. Attraverso questa operazione, gli investigatori hanno prevenuto perdite per milioni di dollari e interrotto ulteriori transazioni fraudolente».
Miles Bonfield, vicedirettore investigativo della NCA, ha sottolineato la sinergia tra agenzie e settore privato: «Questa azione intensiva ha portato alla tutela di migliaia di vittime nel Regno Unito e all'estero, ha fermato i criminali e ha contribuito a evitare che altri perdessero i propri fondi».
Vale la pena segnalare una discrepanza nelle fonti: lo U.S. Secret Service si attribuisce la leadership dell'operazione, mentre TRM Labs indica la NCA britannica come capofila e il Secret Service come co-organizzatore. Altre comunicazioni ufficiali descrivono una campagna congiunta senza designare un'agenzia leader. Una divergenza minore, forse, ma indicativa di quanto la diplomazia delle attribuzioni conti anche nelle operazioni di polizia.
Per chi detiene o scambia criptovalute, il quadro che emerge da Operation Atlantic è chiaro. Il rischio non si limita a malware sofisticati o attacchi a exchange centralizzati. La minaccia più concreta è un'approvazione firmata senza piena consapevolezza di ciò che si stava autorizzando: una transazione che sembrava legittima, un clic di troppo, e il wallet è nelle mani di qualcun altro.
Le difese sono semplici da enunciare e meno semplici da praticare con costanza. Verificare sempre l'origine delle richieste di approvazione. Non fidarsi di comunicazioni - digitali o cartacee - che fanno leva sull'urgenza. Controllare periodicamente le approvazioni attive sui propri smart contract e revocare quelle non necessarie. E tenere a mente che, su blockchain, non esiste un numero verde da chiamare per annullare una transazione.
Fonti: trmlabs.com, chainalysis.com, bitbo.io
Nessuno ha ancora commentato.
