Attacchi 'wrench' aumentano del 41% anno su anno

Contesto

Il rapporto di CertiK dell'8 maggio 2026 identifica 34 "attacchi 'wrench'" verificati a livello globale fino all'inizio di maggio 2026, un aumento del 41% rispetto allo stesso periodo del 2025. Il termine si riferisce a tattiche di coercizione fisica o in stile rapimento usate per costringere le vittime a cedere credenziali di accesso o a firmare transazioni, e CertiK avverte che i familiari delle vittime sono sempre più presi di mira come leva. Per investitori istituzionali e custodi, la tendenza è significativa perché sposta il vettore di minaccia da exploit puramente digitali a attacchi ibridi fisico-digitali, complicando le assunzioni standard di sicurezza. Questo sviluppo fa salire le considerazioni relative alla protezione del personale, ai protocolli di custodia delle chiavi e alle misure anti-coercizione attraverso exchange centralizzati, wallet custodial e partecipanti alla governance on-chain.

L'aumento a 34 incidenti verificati implica una base di circa 24 incidenti analoghi nel periodo comparabile del 2025 (34 = 24 * 1,41, arrotondato), sottolineando un'escalation sia in frequenza sia in severità operativa anno su anno. Il dataset di CertiK è selettivo e conservativo: si tratta di incidenti verificati piuttosto che di segnalazioni aneddotiche, il che significa che i numeri sottostimano la scala rispetto a casi non denunciati o non risolti. La società enfatizza anche cambiamenti nella vittimologia — gli aggressori non puntano più solo alle chiavi private detenute dagli individui, ma sfruttano sempre più relazioni sociali e familiari per ottenere conformità. Per gli stakeholder istituzionali, questa dinamica presenta nuove considerazioni forensi e assicurative perché il danno a soggetti umani può innescare risposte legali e regolamentari differenti rispetto agli exploit software.

Questo articolo sintetizza le conclusioni di CertiK con le implicazioni di mercato per exchange, fornitori di custodia e allocatori istituzionali. Quando possibile facciamo riferimento al rilascio datato di CertiK (rapporto CertiK, 8 maggio 2026) e ricaviamo confronti aritmetici con il periodo dell'anno precedente per offrire ai lettori un quadro chiaro del tasso di crescita e dell'inflessione operativa. Confrontiamo inoltre il fenomeno con le metriche tradizionali del cybercrime e discutiamo dove politiche, assicurazioni e architetture di custodia potrebbero dover adattarsi. In tutto il testo utilizziamo dati diretti e inferenze conservative per mantenere un approccio fattuale e orientato alla compliance.

Analisi dei dati

CertiK riporta 34 incidenti verificati e un aumento del 41% anno su anno; entrambe le cifre sono centrali per valutare il ritmo del cambiamento. La cifra di 34 incidenti copre casi verificati fino alla data del rapporto dell'8 maggio 2026 (rapporto CertiK, 8 maggio 2026). Un aumento del 41% a/a è materialmente superiore a una crescita nulla e, sebbene il numero assoluto rimanga modesto rispetto al totale della criminalità crypto, il tasso di escalation è ciò che modifica il modello di minaccia per custodi e detentori high-net-worth. Se le istituzioni assumono una bassa probabilità marginale per attacchi basati sulla coercizione, un +41% suggerisce che tale probabilità non è statica e che i budget di rischio dovrebbero essere rivisti di conseguenza.

La caratterizzazione da parte di CertiK dei profili delle vittime — con il mirare ai familiari — aggiunge profondità qualitativa che i conteggi grezzi non offrono. Gli attacchi che sfruttano terze parti ampliano l'universo di vulnerabilità dai detentori di chiavi a chiunque nelle loro cerchie prossime, creando esposizioni di secondo ordine per dirigenti, responsabili compliance e famiglie di grandi detentori. Poiché questi incidenti combinano minaccia fisica e transazioni on-chain, spesso risultano in trasferimenti irrevocabili di asset prima che sia possibile un ricorso. Questa dinamica incide sulle statistiche di recuperabilità: quando una chiave privata viene ceduta sotto costrizione e utilizzata per spostare asset on-chain, il recupero successivo dipende dalla rapida cooperazione degli exchange e dall'azione delle forze dell'ordine, che storicamente ha tassi di successo bassi in scenari di furto crypto transfrontaliero.

Oltre ai conteggi assoluti, la distribuzione e il timing degli incidenti contano. Gli standard di campionamento e verifica di CertiK significano che i 34 incidenti sono probabilmente concentrati in giurisdizioni con maggiore trasparenza nelle segnalazioni o dove le vittime hanno cercato assistenza forense esterna. Per i risk manager istituzionali ciò implica sfumature geografiche e legali: le policy aziendali devono essere sensibili a dove il personale e i clienti si trovano fisicamente e a come le forze dell'ordine locali rispondono ai crimini crypto basati sulla coercizione. I dati suggeriscono anche che i modelli di custodia che rimuovono la capacità di firmare da singolo personale e che invece impiegano controlli robusti come multisig o ritardi temporali nelle transazioni potrebbero mitigare significativamente l'efficacia di un "wrench attack".

Implicazioni per il settore

Per exchange e fornitori di custodia, l'aumento degli attacchi 'wrench' rappresenta sia un rischio operativo sia reputazionale. I titoli degli exchange centralizzati come COIN (Coinbase) sono sensibili ai rischi di sicurezza sulle prime pagine; anche quando un attacco prende di mira un singolo utente, la percezione di mercato può portare all'allargamento degli spread, a ondate di prelievi o a pressioni temporanee sulla liquidità. Asset on-chain come BTC ed ETH possono sperimentare volatilità locale quando avvengono furti di alto profilo e i proventi vengono mossi on-chain; tuttavia, i dati storici mostrano che singoli incidenti raramente spostano i benchmark macro nel lungo periodo a meno che non siano implicate falle sistemiche nella custodia. I custodi istituzionali che pubblicizzano custodia assicurata devono ora riconciliare il linguaggio delle polizze con l'esposizione alla coercizione fisica — gli assicuratori potrebbero limitare la copertura per perdite derivanti da consenso forzato o violenza verso soggetti non appartenenti all'azienda.

I dibattiti sull'architettura di custodia probabilmente si accelereranno. Soluzioni che si basano su firme soglia, multi-party computation (MPC) o gestione delle chiavi geograficamente e legalmente diversificata riducono il rischio di coercizione su un singolo punto, perché l'attaccante deve compromettere più firmatari distinti piuttosto che un solo individuo. Detto questo, questi mitiganti tecnologici introducono compromessi di usabilità e latenza per istituzioni che richiedono esecuzioni rapide. Le aziende dovranno valutare questi trade-off alla luce di modelli di business che richiedono liquidazione veloce contro la crescente probabilità di scenari di coercizione fisica. Inte