L'azienda di sicurezza blockchain SlowMist ha denunciato due exchange di criptovalute che avevano individuato gravi vulnerabilità che compromettevano la sicurezza dei fondi sulle rispettive piattaforme.
Il fondatore di SlowMist, che usa lo pseudonimo Evilcos, ha espresso frustrazione per la mancanza di risposta.
"Gli exchange sconosciuti sono davvero inaffidabili", ha scritto su X. "Il nostro team di sicurezza ha scoperto gravi vulnerabilità in due exchange (che hanno avuto un impatto diretto sulla sicurezza dei fondi), ma non siamo riusciti a contattare nessuno e anche le segnalazioni pubbliche non hanno ricevuto risposta".
Secondo Evilcos , le borse in questione gestiscono volumi di scambi giornalieri significativi: una ha un volume di scambi di 24 ore pari a 3,7 miliardi di dollari, mentre l'altra gestisce circa 240 milioni di dollari .
Tentativi di divulgazione respinti
SlowMist ha emesso avvisi di sicurezza rispettivamente il 16 e il 17 dicembre ad Azbit , società registrata alle Seychelles, e alla borsa turca ICRYPEX Global . L'azienda ha inoltre affermato di aver tentato di contattare entrambe le piattaforme tramite messaggi diretti e post pubblici, nel rispetto delle pratiche standard di divulgazione responsabile, ma non ha ricevuto alcuna conferma.
ICRYPEX, fondata nel 2018 e titolare di licenze per la fornitura di servizi di asset virtuali in due paesi dell'Unione Europea, dichiara di servire milioni di utenti in più di 30 paesi.
Azbit è stata lanciata alla fine del 2019 e opera alle Seychelles; tuttavia, all'inizio di quest'anno, l' autorità di regolamentazione delle Seychelles ha dichiarato che "la società non ha, né ha avuto, alcuna autorizzazione a operare ai sensi del Virtual Asset Service Providers Act del 2024, ed è semplicemente una società commerciale internazionale ("IBC") costituita ai sensi dell'IBC Act".
L'impossibilità di stabilire un contatto ha spinto SlowMist a prendere l'insolita decisione di divulgare pubblicamente le vulnerabilità scoperte prima della risoluzione, il che è un po' preoccupante, anche se si può supporre che i rispettivi exchange ci stiano già lavorando.
Tuttavia, un discorso pubblico o il riconoscimento delle scoperte di SlowMist contribuiranno notevolmente a tranquillizzare i clienti.
Problemi di sicurezza a livello di settore
L'incidente si verifica in un contesto di persistenti problemi di sicurezza nel settore delle criptovalute. Il rapporto annuale sulla sicurezza di SlowMist del 2024 ha documentato 410 incidenti di sicurezza, con perdite per oltre 2,013 miliardi di dollari.
La società di sicurezza informatica CertiK ha comunicato che gli exchange di criptovalute hanno perso oltre 29 milioni di dollari nel novembre 2025, classificandosi al secondo posto nella lista delle perdite per tipologia, dopo la finanza decentralizzata ( DeFi ).
Le migliori pratiche raccomandano che gli sviluppatori di criptovalute istituiscano punti di contatto per segnalare problemi di sicurezza, tra cui chiavi pubbliche a lungo termine per comunicazioni sicure.
Gli scambi saranno in contatto?
L'esperienza di SlowMist, che ha contattato senza ottenere alcuna risposta, pur non essendo unica, dimostra che anche gli scambi consolidati con basi di utenti considerevoli potrebbero non disporre di canali adeguati per ricevere informazioni di sicurezza essenziali.
Ciò solleva anche interrogativi sulla prontezza degli exchange di criptovalute ad affrontare rapidamente le rivelazioni di vulnerabilità.
SlowMist ha collaborato con importanti exchange, tra cui Binance, OKX, HTX e Crypto.com, conferendo credibilità alle sue valutazioni di sicurezza e colmando le lacune da esse individuate.
Il mese scorso, Cryptopolitan ha riferito che la società SlowMist ha condotto un'indagine che ha scoperto vulnerabilità in NOFX AI, un sistema di trading di futures su criptovalute open source basato sull'architettura di modelli di linguaggio di grandi dimensioni di DeepSeek e Qwen, e ha anche condiviso raccomandazioni su come risolvere il problema.
Le linee guida del settore per la divulgazione responsabile solitamente raccomandano alle parti interessate di rispondere entro due giorni lavorativi dal contatto iniziale. Se dopo diversi tentativi non si riceve risposta, i ricercatori di sicurezza spesso predispongono una divulgazione pubblica della questione per garantire la trasparenza, soprattutto quando sono coinvolti fondi.
Al momento della pubblicazione di questa notizia, né ICRYPEX né Azbit avevano risposto alle notifiche di sicurezza né rilasciato dichiarazioni pubbliche in merito alle vulnerabilità.
Se stai leggendo questo, sei già in vantaggio. Resta aggiornato con la nostra newsletter .