Finst

Le private key sono dietro quasi il 40% delle perdite negli hack crypto

I dati di settore di CertiK indicano nel key management il principale punto debole, mentre crescono MPC wallet, social recovery e altre soluzioni per ridurre il rischio di furto delle private key.

Le private key sono dietro quasi il 40% delle perdite negli hack crypto

In breve

  • Circa il 40% dei danni crypto da 16,69 miliardi di dollari è dovuto a private key trapelate o rubate.
  • CertiK vede aumentare gli incidenti operativi, mentre gli exploit degli smart contract sono in calo.
  • Il settore punta di più su MPC wallet, account abstraction, hardware wallet e un key management più rigoroso.

I progetti crypto continuano a subire perdite pesanti tra hack ed exploit, ma i nuovi dati di settore suggeriscono che il vero problema non è nella blockchain in sé. Su un totale di 16,69 miliardi di dollari (14,6 miliardi di euro) di danni legati a hack, DeFi exploits e attacchi ai bridge, circa il 40% sarebbe collegato alla fuga o al furto di una private key. In altre parole, il key management resta uno dei punti più fragili del comparto crypto, mentre gli smart contract risultano meno spesso la causa diretta.

Le private key restano il punto debole

Detto in modo semplice, una private key è la chiave d’accesso di un wallet crypto. Se qualcuno riesce a impossessarsene, può prendere il controllo dei fondi senza avere a disposizione un meccanismo di recupero come quello bancario o un sistema antifrode in grado di bloccare la transazione. Secondo CertiK, inoltre, il tipo di minaccia sta cambiando: gli incidenti operativi sono in aumento, mentre gli exploit degli smart contract stanno diminuendo.

Questo quadro riflette anche il modo in cui nascono molti attacchi. In alcuni casi si parla di tentativi di brute force, ma spesso non è nemmeno chiaro come la chiave sia stata esposta. Il risultato, però, non cambia: l’attaccante ottiene accesso al wallet e può trasferire gli asset.

Nel frattempo, il settore ha già visto una lunga serie di furti di grande portata, dal primo hack di Mt. Gox fino all’attacco al mining pool LuBian nel 2020, che mostra quanto possano essere gravi i danni quando saltano le chiavi di accesso o i processi di gestione. Anche gli attacchi fisici ai possessori di crypto sono aumentati nettamente nel 2025, a conferma del fatto che la sicurezza non riguarda solo il digitale. Questo si collega anche ad avvertimenti più ampi sul fatto che la sicurezza crypto richiede più dei soli audit, perché spesso le debolezze umane e operative pesano più degli errori nel codice.

La sicurezza si sposta sul key management

Secondo Wish Wu, cofondatore e CEO di Pharos, il settore sta cercando di risolvere il problema delle private key, ma lo sta facendo in modo ancora disomogeneo. Tra le soluzioni che stanno guadagnando spazio cita MPC wallet, account abstraction con social recovery, login con passkey, hardware wallet e procedure di key management più rigide. Allo stesso tempo, però, avverte che molte di queste misure vengono ancora aggiunte come funzioni opzionali, invece di essere integrate alla base del protocollo.

Il fondatore di Cysic, Le Fan, sintetizza il nodo in modo ancora più diretto: secondo lui non si tratta di un problema crittografico, ma di un errore di key management. La matematica dietro la curva non è il punto critico; il problema è piuttosto come le chiavi vengono archiviate, usate e gestite.

Cosa significa per i lettori europei

Per gli investitori crypto europei questo dato conta perché la sicurezza dipende sempre di più dalla disciplina operativa, non soltanto dagli audit del codice. Vale per le piattaforme, per i servizi di custodia e per chi gestisce in autonomia le proprie crypto. La diffusione dei multi-signature wallet e di altre forme di approvazione distribuita può diventare particolarmente rilevante, soprattutto per i capitali più consistenti, dove affidarsi a una sola chiave espone a un rischio troppo alto.


Avvertenza: Questo contenuto ha esclusivamente scopo informativo e non costituisce consulenza finanziaria, di investimento, legale o fiscale. Le informazioni fornite possono essere incomplete, inesatte o non aggiornate e non devono essere considerate come riferimento decisionale. Nulla su questo sito web deve essere considerato una raccomandazione ad acquistare, vendere o detenere criptovalute. Investire in cripto-asset comporta rischio di perdita.