Gli analisti di SlowMist lanciano l'allarme sulle vulnerabilità dello scambio di volumi giornalieri da 3,7 miliardi di dollari

L'azienda di sicurezza blockchain SlowMist ha denunciato due exchange di criptovalute che avevadentcome dotati di gravi vulnerabilità che compromettevano la sicurezza dei fondi sulle rispettive piattaforme. 

Il fondatore di SlowMist, che usa lo pseudonimo Evilcos, ha espresso frustrazione per la mancanza di risposta. 

"Gli exchange sconosciuti sono davvero inaffidabili", ha scritto su X. "Il nostro team di sicurezza ha scoperto gravi vulnerabilità in due exchange (che hanno avuto un impatto diretto sulla sicurezza dei fondi), ma non siamo riusciti a contattare nessuno e anche le segnalazioni pubbliche non hanno ricevuto risposta".

Secondo Evilcos , le borse in questione gestiscono volumi di scambi giornalieri significativi: una ha un volume di scambi di 24 ore pari a 3,7 miliardi di dollari, mentre l'altra gestisce circa 240 milioni di dollari .

Tentativi di divulgazione respinti

SlowMist ha emesso avvisi di sicurezza rispettivamente il 16 e il 17 dicembre ad Azbit , società registrata alle Seychelles, e alla borsa turca ICRYPEX Global . L'azienda ha inoltre affermato di aver tentato di contattare entrambe le piattaforme tramite messaggi diretti e post pubblici, nel rispetto delle pratiche standard di divulgazione responsabile, ma non ha ricevuto alcuna conferma.

ICRYPEX, fondata nel 2018 e titolare di licenze per la fornitura di servizi di asset virtuali in due paesi dell'Unione Europea, dichiara di servire milioni di utenti in più di 30 paesi.

Azbit è stata lanciata alla fine del 2019 e opera alle Seychelles; tuttavia, all'inizio di quest'anno, l' autorità di regolamentazione delle Seychelles ha dichiarato che "la società non ha, né ha mai avuto, alcuna autorizzazione a operare ai sensi del Virtual Asset Service Providers Act, 2024, ed è semplicemente una società commerciale internazionale ("IBC") costituita ai sensi dell'IBC Act".

L'impossibilità di stabilire un contatto ha spinto SlowMist a prendere l'insolita decisione di divulgare pubblicamente le vulnerabilità scoperte prima della risoluzione, il che è un po' preoccupante, anche se si può supporre che i rispettivi exchange ci stiano già lavorando. 

Tuttavia, un discorso pubblico o il riconoscimento delle scoperte di SlowMist contribuiranno notevolmente a tranquillizzare i clienti.

Problemi di sicurezza a livello di settore

L'dent si verifica in un contesto di persistenti sfide alla sicurezza nel settore delle criptovalute. Il rapporto annuale sulla sicurezza del 2024 di SlowMist ha documentato 410dentdi sicurezza che hanno causato perdite per oltre 2,013 miliardi di dollari.

La società di sicurezza informatica CertiK ha comunicato che gli exchange di criptovalute hanno perso oltre 29 milioni di dollari nel novembre 2025, classificandosi al secondo posto nella lista delle perdite per tipologia, dopo la finanza decentralizzata (DeFi).

Le migliori pratiche raccomandano che gli sviluppatori di criptovalute istituiscano punti di contatto per segnalare problemi di sicurezza, tra cui chiavi pubbliche a lungo termine per comunicazioni sicure.

Gli scambi saranno in contatto?

L'esperienza di SlowMist, che ha contattato senza ottenere alcuna risposta, pur non essendo unica, dimostra che anche gli scambi consolidati con basi di utenti considerevoli potrebbero non disporre di canali adeguati per ricevere informazioni di sicurezza essenziali.

Ciò solleva anche interrogativi sulla prontezza degli exchange di criptovalute ad affrontare rapidamente le rivelazioni di vulnerabilità.

SlowMist ha collaborato con importanti exchange, tra cui Binance, OKX, HTX e Crypto.com, conferendo credibilità alle sue valutazioni di sicurezza e colmando le lacune da esse individuate.

Il mese scorso, Cryptopolitan ha riportato che la società SlowMist ha condotto un'indagine che ha portato alla luce delle vulnerabilità in NOFX AI, un sistema open-source per il trading di future su criptovalute basato sull'architettura a modello linguistico di grandi dimensioni di DeepSeek e Qwen, e ha anche condiviso delle raccomandazioni su come il problema potrebbe essere risolto. 

Le linee guida del settore per la divulgazione responsabile solitamente raccomandano alle parti interessate di rispondere entro due giorni lavorativi dal contatto iniziale. Se dopo diversi tentativi non si riceve risposta, i ricercatori di sicurezza spesso predispongono una divulgazione pubblica della questione per garantire la trasparenza, soprattutto quando sono coinvolti fondi.

Al momento della pubblicazione di questa notizia, né ICRYPEX né Azbit avevano risposto alle notifiche di sicurezza né rilasciato dichiarazioni pubbliche in merito alle vulnerabilità.