wallet web3 5 minacce privacy browser extension

Allarme privacy per il Web3: cinque minacce strutturali svelano le identità dietro i wallet crypto

🛡️ Executive Summary

  • Le chiamate RPC possono collegare più indirizzi appartenenti allo stesso utente, permettendo di ricostruirne il patrimonio on-chain complessivo.
  • Fingerprinting, revoche incomplete e provider iniettati negli iframe consentono tracking persistente tra sessioni, dApp e siti web ordinari.
  • Le mitigazioni richiedono separazione delle query RPC, revoche effettive, isolamento degli iframe e standard Web3 progettati secondo principi privacy-by-design.

Un’analisi condotta su 85 wallet browser-extension per Chrome, utilizzati complessivamente da oltre 35 milioni di persone, ha individuato cinque minacce capaci di collegare indirizzi crypto, sessioni di navigazione e identità web. Le esposizioni derivano sia dalle chiamate RPC inviate ai provider blockchain sia dal modo in cui le estensioni interagiscono con pagine, dApp e iframe. Gli utenti che distribuiscono fondi e attività su più indirizzi per mantenere separate le proprie identità possono quindi essere ricondotti a un unico profilo finanziario, senza concedere esplicitamente accesso al wallet e senza compiere una transazione.

I wallet sono contemporaneamente strumenti finanziari e provider di identità

Annuncio

I wallet browser-extension svolgono due funzioni che, combinate, creano una superficie privacy particolarmente delicata. Da un lato interrogano nodi blockchain o servizi centralizzati come Infura, Alchemy e QuickNode per recuperare saldi, transazioni, token, NFT e costi del gas; dall’altro iniettano nelle pagine web un’interfaccia attraverso la quale le dApp possono chiedere l’indirizzo dell’utente e firmare operazioni. Ogni indirizzo blockchain è uno pseudonimo pubblico e persistente: una volta conosciuto, chiunque può analizzarne cronologia, patrimonio e interazioni con smart contract. La separazione tra più indirizzi protegge la privacy soltanto finché non emergono segnali capaci di dimostrare che appartengono alla stessa persona. Lo studio mostra che i wallet stessi possono produrre questi segnali attraverso attività ordinarie, senza che siano necessariamente compromessi o malevoli. Il problema si aggiunge ai rischi già osservati nelle estensioni Chrome dedicate ai wallet Ethereum e nella supply chain npm, ma non riguarda il furto diretto delle chiavi: coinvolge la possibilità di ricostruire l’identità finanziaria dell’utente osservando il funzionamento legittimo del software.

Le chiamate RPC collegano indirizzi che l’utente considera separati

image 389
Due ruoli per un portafoglio: interfaccia finanziaria (mostra i saldi degli utenti) e fornitore di identità (accesso).

La prima minaccia opera a livello di rete. Quando un wallet controlla in background il saldo di più account, può inviare allo stesso provider RPC una sequenza di richieste come eth_getBalance, associando strutturalmente indirizzi che l’utente aveva creato per finalità differenti. Il provider, o un osservatore capace di analizzare il traffico, può dedurre che gli account vengono gestiti dallo stesso browser e costruire un unico cluster. Il comportamento è stato rilevato in 17 wallet, utilizzati complessivamente da circa 23 milioni di persone, quindi non rappresenta un caso marginale. Un utente può separare investimenti, attività professionali, acquisti NFT e partecipazione a protocolli DeFi, ma le query aggregate rischiano di riunire queste identità in un solo profilo. Il valore informativo è elevato perché consente di calcolare la ricchezza complessiva, individuare asset detenuti e riconoscere pattern temporali. Questi dati possono alimentare phishing mirato, estorsioni o campagne contro investitori ad alto valore, una minaccia già visibile negli attacchi agli sviluppatori e agli utenti Web3 descritti nell’analisi su Larva 208 e il phishing AI rivolto all’ecosistema crypto.

Il fingerprinting identifica il wallet senza richiedere una connessione

La seconda esposizione riguarda il fingerprinting dell’estensione. I ricercatori hanno identificato un nuovo vettore capace di distinguere 36 wallet, pari all’82% della base utenti analizzata, osservando proprietà, oggetti o comportamenti introdotti nelle pagine dal software installato. Un sito può quindi riconoscere quale wallet è presente sul browser anche quando l’utente non preme “Connetti” e non rivela alcun indirizzo. Questo segnale può essere combinato con cookie, fingerprint del dispositivo, indirizzo IP e cronologia di navigazione per creare profili persistenti.

image 390
Allarme privacy per il Web3: cinque minacce strutturali svelano le identità dietro i wallet crypto 5

Sapere che un visitatore utilizza uno specifico wallet può già indicare interesse per una determinata blockchain, protocollo o classe di asset; se l’informazione viene successivamente associata a un indirizzo, il tracker può correlare attività web e patrimonio on-chain. Il rischio ricorda quello emerso con le 152 estensioni Chrome che nascondevano tracking pubblicitario e manipolazione del traffico, ma assume una gravità ulteriore perché l’identificatore osservato può essere collegato a transazioni finanziarie pubbliche e irreversibili.

Revoche incomplete permettono il tracking tra sessioni e indirizzi

La terza minaccia nasce dalla gestione incoerente dei permessi. Disconnettere un wallet da una dApp o revocare l’accesso dovrebbe impedire al sito di continuare a leggere gli indirizzi precedentemente autorizzati, ma 22 dei 36 wallet sottoposti a questa verifica mantenevano in qualche forma l’esposizione dei dati. Storage locale, oggetti JavaScript o canali di comunicazione dell’estensione potevano consentire al sito di riconoscere l’utente anche in una sessione successiva. La revoca diventava quindi soprattutto un cambiamento dell’interfaccia, non una cancellazione completa della relazione tecnica tra wallet e applicazione. Questa persistenza permette di collegare accessi avvenuti in momenti differenti e di raggruppare indirizzi usati dallo stesso browser. Se l’utente passa da un account personale a uno professionale, la dApp o un tracker integrato può potenzialmente comprendere che entrambi appartengono alla stessa persona. La fragilità della separazione tra identità si somma ai rischi operativi già dimostrati dall’attacco a Trust Wallet attraverso un’estensione Chrome compromessa, confermando che la sicurezza dei wallet deve comprendere non solo chiavi e firme, ma anche gestione dei permessi e minimizzazione dei dati.

Gli iframe cross-origin estendono il tracciamento oltre le dApp

La quarta e la quinta minaccia riguardano il tracking tra siti e la deanonymization al di fuori del Web3. Ventitré wallet iniettavano il proprio provider anche all’interno di iframe cross-origin, cioè elementi caricati da un dominio diverso rispetto alla pagina principale. Un tracker incorporato in molti siti potrebbe sfruttare questa caratteristica per verificare la presenza del wallet, riconoscere il browser e, nelle configurazioni più esposte, ottenere dati associati agli indirizzi. Il tracciamento non resterebbe quindi confinato a exchange, marketplace NFT o applicazioni decentralizzate: potrebbe estendersi a siti di notizie, ecommerce, forum e servizi ordinari che includono lo stesso script di terze parti. L’attività di navigazione quotidiana diventerebbe correlabile con la ricchezza on-chain, aprendo la strada all’identificazione reale dell’utente attraverso account, moduli, acquisti o altri dati personali. Un indirizzo formalmente pseudonimo può perdere rapidamente questa proprietà quando viene collegato a un browser osservato su numerosi domini. L’abuso delle estensioni come punto di sorveglianza trasversale è già emerso nelle false VPN Chrome Phantom Shuttle, capaci di raccogliere dati per anni, mentre nei wallet la visibilità finanziaria della blockchain amplifica notevolmente le conseguenze.

La privacy richiede cambiamenti architetturali nei wallet Web3

Le mitigazioni non possono essere affidate soltanto alla prudenza dell’utente. I wallet dovrebbero separare o anonimizzare le query RPC relative a indirizzi differenti, evitare richieste aggregate non necessarie e permettere la scelta di nodi o provider indipendenti. La revoca deve eliminare realmente autorizzazioni, riferimenti e dati persistenti, mentre l’iniezione del provider negli iframe cross-origin dovrebbe essere disabilitata per impostazione predefinita o subordinata a controlli espliciti. Gli sviluppatori possono inoltre adottare sistemi di storage con autorizzazioni a livello di script, impedendo che componenti di terze parti leggano informazioni destinate esclusivamente alla dApp principale. Gli utenti possono ridurre parzialmente l’esposizione utilizzando profili browser separati, wallet distinti per attività differenti e provider RPC controllati, ma queste misure aumentano la complessità e non eliminano le debolezze strutturali. Lo studio dimostra che la pseudonimia blockchain non dipende soltanto da ciò che viene scritto on-chain: anche richieste di rete, provider JavaScript e scelte implementative del browser possono ricomporre identità che l’utente aveva intenzionalmente separato.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto