Come Usare gli Indirizzi Stealth su Ethereum (EIP-5564)

Ad aprile 2026, l'aggiornamento della roadmap di Vitalik Buterin intitolato "Statelessness, Stealth, and Soul-Bound Tokens" ha riportato l'EIP-5564 sotto i riflettori: circa 1,4 milioni di indirizzi Ethereum risultano ormai schedati in almeno un cluster Chainalysis, e il divario fra "pseudonimo" e "privato" non è mai stato così evidente. L'EIP-5564 è la risposta di Ethereum a questo problema — un metodo standardizzato per ricevere ETH, ERC-20 o ERC-721 a un indirizzo monouso derivato al volo, che un osservatore esterno non è in grado di collegare al tuo nome ENS pubblico o al wallet principale. L'idea è ripresa quasi alla lettera da Monero, dove gli indirizzi stealth sono comportamento di default fin dal 2014, ma è stata adattata al mondo account-based ed EVM-native di Ethereum. Questa guida spiega come funziona lo standard, come usarlo con il tooling disponibile oggi, come si confronta con l'implementazione matura di Monero e dove si nascondono le insidie più ovvie. Se alla fine vuoi convertire i tuoi ETH privati in XMR per garanzie più solide, MoneroSwapper si occupa del ponte no-KYC — ma partiamo da cosa ti offrono davvero gli indirizzi stealth su Ethereum.

Perché Ethereum aveva bisogno degli indirizzi stealth

Il discorso privacy su Ethereum è sempre stato scomodo. Ogni transazione lega pubblicamente mittente, destinatario e importo a due indirizzi a lunga durata, e i nomi ENS rendono quegli indirizzi leggibili da chiunque su Etherscan con un solo click. Basta una donazione a un indirizzo pubblico, una mancia, un airdrop ricevuto, o uno stipendio pagato in stablecoin, perché l'indirizzo ricevente resti legato per sempre alla tua storia on-chain. Tornado Cash aveva colmato parte di questa lacuna, ma le sanzioni OFAC sullo smart contract di agosto 2022 e le successive condanne di due sviluppatori nel 2024 hanno di fatto congelato l'uso legittimo da parte del grande pubblico.

L'EIP-5564 sceglie un'angolazione diversa. Invece di aggregare fondi in un anonymity set condiviso, permette al mittente di derivare un nuovo indirizzo ricevente monouso che solo il vero destinatario può spendere — senza alcun coordinamento preventivo, senza uno smart contract di mixing e senza mai condividere la chiave privata principale di chi riceve. Le proprietà che fornisce sono:

• Non collegabilità: un osservatore esterno non può determinare che due pagamenti stealth appartengono allo stesso destinatario, anche se il meta-indirizzo del destinatario è pubblicato apertamente.
• Non interattività: al mittente basta il meta-indirizzo pubblicato dal destinatario — niente handshake preliminare, niente chiave simmetrica condivisa, niente bridge Tor da configurare.
• Accesso in sola scansione: una viewing key consente a servizi esterni (un hot wallet, un server watch-only, un'app sul telefono) di rilevare i pagamenti in entrata senza poterli spendere.
• Retrocompatibilità: lo standard funziona per ETH, ERC-20, ERC-721 ed ERC-1155 senza richiedere modifiche ai contratti dei token.

Il compromesso è che l'EIP-5564 non nasconde gli importi e non spezza il legame fra un output stealth e l'indirizzo finale in cui verrà accorpato. Non è RingCT. Però per l'uso quotidiano — pagare un freelance, ricevere un drop NFT, accettare una donazione, incassare uno stipendio — riduce drasticamente ciò che un osservatore esterno può correlare alla tua identità pubblica.

Come funziona davvero l'EIP-5564

L'EIP-5564 — redatto da Toni Wahrstätter, Matt Solomon, Ben DiFrancesco e Gary Ghayrat, e finalizzato come ERC Standards Track a marzo 2024 — definisce due artefatti: uno schema canonico per derivare indirizzi stealth dal meta-indirizzo pubblicato dal destinatario, e un contratto Announcer singleton che registra le chiavi pubbliche effimere così che chi riceve possa trovare i propri pagamenti senza dover scansionare l'intera catena.

Il meta-indirizzo: due chiavi, non una

Ogni destinatario EIP-5564 pubblica un meta-indirizzo stealth nel formato st:eth:0x.... Codifica due chiavi pubbliche secp256k1 compresse concatenate fra loro:

• Chiave pubblica di spesa (P): derivata da una chiave privata di spesa a lunga durata, che il destinatario tiene offline, idealmente su un hardware wallet.
• Chiave pubblica di visualizzazione (V): derivata da una chiave privata di visualizzazione che il destinatario può consegnare a software watch-only senza concedere capacità di spesa.

Questa separazione è esattamente la stessa fra View key e Spend key che Monero ha ereditato da CryptoNote nel 2014. La chiave di spesa firma i trasferimenti in uscita; la viewing key consente a un wallet di rilevare i pagamenti in entrata senza poterli muovere. È questa separazione che permette a un Ledger o a un Trezor di custodire la chiave di spesa mentre un hot wallet sul portatile esegue lo scanner in background.

Derivare un indirizzo monouso

Per inviare a un meta-indirizzo stealth, il mittente esegue lato client il seguente protocollo, senza alcuna interazione on-chain fino all'ultimo passaggio:

1. Genera una chiave privata effimera casuale r e calcola la chiave pubblica corrispondente R = r·G, dove G è il generatore di secp256k1.
2. Calcola un segreto condiviso S = r·V tramite uno scambio ECDH standard contro la chiave pubblica di visualizzazione del destinatario.
3. Esegue l'hash del segreto condiviso: s = keccak256(S).
4. Deriva la chiave pubblica stealth P_stealth = P + s·G.
5. Calcola l'indirizzo Ethereum di P_stealth. Questo diventa il destinatario monouso.
6. Invia i fondi a quell'indirizzo monouso e chiama il contratto Announcer passando la chiave pubblica effimera R, il byte di view-tag e un identificatore di schema.

Il destinatario — o, più precisamente, un servizio di scansione che custodisce la viewing key — riceve l'annuncio, ricalcola s = keccak256(v·R) (dove v è la chiave privata di visualizzazione), deriva lo stesso P_stealth e trova i fondi parcheggiati all'indirizzo Ethereum corrispondente. Solo chi detiene la chiave privata di spesa può poi firmare una transazione da quell'indirizzo: la chiave privata di spesa per quel singolo output è p_stealth = p_spend + s.

L'ottimizzazione del view-tag

In modo ingenuo, ogni destinatario dovrebbe derivare P_stealth per ogni annuncio on-chain — milioni di operazioni al giorno su larga scala. L'EIP-5564 include un view-tag di un singolo byte in ciascun annuncio: il primo byte di keccak256(S). Gli scanner possono scartare 255 annunci su 256 dopo un solo confronto a livello di byte, quindi un destinatario tipico elabora a fondo solo circa lo 0,4% degli annunci. Questo porta i costi di scansione dell'EIP-5564 nello stesso ordine di grandezza della scansione con view key di Monero, dopo che Monero 0.18 ha aggiunto il view-tag opzionale nel 2022. Il trucco in sé è stato documentato per la prima volta dai ricercatori di Zcash nel 2021 ed è ormai un pattern standard nei progetti di stealth address.

EIP-5564 vs indirizzi stealth di Monero

Visto che gli utenti Ethereum chiedono spesso se l'EIP-5564 renda Monero superfluo, vale la pena mettere le due architetture esplicitamente a confronto. Condividono lo stesso nucleo matematico ma differiscono enormemente in cosa il protocollo nasconde più in generale — e nel fatto che la privacy sia una funzionalità opt-in o una garanzia di base.

Proprietà	EIP-5564 (Ethereum)	Monero (CryptoNote + RingCT)
Indirizzo ricevente monouso	Sì (per pagamento)	Sì (per output)
Anonimato del mittente	No — l'indirizzo del mittente è pubblico	Sì — nascosto dalla ring signature CLSAG
Occultamento degli importi	No — visibili nei log dei trasferimenti	Sì — Pedersen commitments + Bulletproofs
Uso predefinito	Opt-in per ogni transazione	Obbligatorio per ogni output
Scansione con view key	Sì (viewing key EIP-5564)	Sì (View key di Monero)
Privacy a livello di rete	Nessuna standardizzata	Broadcast Dandelion++
Hard fork futuri previsti	Nessuno in programma	FCMP++ / Seraphis Jamtis (in corso)
Dimensione dell'anonymity set	Tutti gli annunci EIP-5564 (~centinaia al giorno)	L'intero UTXO set (dopo FCMP++)

In sintesi: l'EIP-5564 nasconde chi viene pagato, mentre Monero nasconde anche chi paga e quanto sta pagando. Se il tuo modello di minaccia è "sorveglianza on-chain occasionale" e ti muovi già nell'ecosistema Ethereum, l'EIP-5564 è un miglioramento significativo rispetto allo status quo. Se il tuo modello di minaccia include analisi blockchain professionale con clustering completo del grafo — o se ti serve fungibilità dal lato della ricezione — Monero resta strutturalmente più solido perché ogni output sembra identico a tutti gli altri a livello di protocollo.

Passo per passo: ricevere e spendere pagamenti stealth

Questa procedura presuppone l'uso di Umbra (umbra.cash) o del wallet Fluidkey, le due implementazioni EIP-5564 di livello produzione sulla mainnet Ethereum a metà 2026. Il flusso è praticamente identico su Base, Optimism e Arbitrum, dove l'Announcer singleton è deployato all'indirizzo canonico. Se stai facendo solo prove, fallo prima su Sepolia: il gas è gratis e l'SDK è lo stesso.

1. Genera il tuo meta-indirizzo stealth. Collega un wallet che contiene la tua chiave di firma principale. Umbra e Fluidkey derivano in modo deterministico le tue chiavi private di spesa e visualizzazione da una firma su un messaggio fisso — quindi non ti serve un seed mnemonico separato e puoi recuperare l'accesso da qualsiasi dispositivo che custodisca la chiave principale.
2. Pubblica o condividi il meta-indirizzo. La stringa risultante ha la forma st:eth:0x03ab...c1de. Puoi registrarla sul tuo nome ENS (il campo del resolver stealth-meta-address è standardizzato nell'ERC-5564 e supportato dal resolver ENS pubblico) oppure condividerla out-of-band su Signal, via email o tramite una pagina di richiesta pagamento. Una volta pubblicata, chiunque può pagarti senza ulteriori passaggi.
3. Ricevi un pagamento. Il mittente deriva client-side un indirizzo monouso e pubblica un annuncio sul contratto Announcer. Il tuo wallet scansiona i nuovi annunci a ogni blocco, li filtra in base al view-tag, e mostra i depositi corrispondenti nell'interfaccia entro ~12 secondi dalla conferma su mainnet (o ~2 secondi sulla maggior parte degli L2).
4. Fornisci gas all'indirizzo stealth. Visto che ogni output stealth si trova a un indirizzo univoco senza saldo ETH preesistente, per spenderlo serve gas. I wallet gestiscono il problema in uno di tre modi: una meta-transazione sponsorizzata via Gelato o Pimlico, un pattern "pull" in cui chi riceve brucia una piccola frazione dell'importo in arrivo come gas, oppure un relayer integrato nativamente nel wallet. Qualunque scelta tu faccia, non finanziare mai il gas da un wallet già esposto pubblicamente — collegheresti subito l'output alla tua identità.
5. Spendi o sweepa. Firma la spesa con la chiave di spesa derivata. Se accorpi più output stealth in un unico indirizzo consolidato, li colleghi immediatamente fra loro: fallo solo quando questo collegamento ti sta bene. Altrimenti, instrada attraverso Railgun, su un nuovo indirizzo di deposito CEX, oppure — per fungibilità completa — converti in XMR tramite MoneroSwapper e ricevi su un Subaddress Monero appena creato.

Regola pratica: un output stealth è privato solo quanto l'indirizzo in cui finisce lo sweep. Tratta la destinazione dello sweep come la vera scelta di privacy, non l'indirizzo stealth in sé.

Wallet e tooling nel 2026

Il panorama delle implementazioni EIP-5564 si è consolidato nei diciotto mesi successivi alla finalizzazione dello standard. A metà 2026 le opzioni di livello produzione sono:

• Umbra Protocol: l'implementazione di riferimento. Frontend open-source, deployata su Ethereum mainnet, Optimism, Arbitrum, Polygon PoS, Base e Gnosis Chain. Supporta ETH, qualunque ERC-20 e gli ERC-721. Mantenuta da ScopeLift, sottoposta ad audit da Trail of Bits nel 2023.
• Fluidkey: wallet stealth consumer-oriented con app iOS e Android, architettura basata su account Safe e sponsorizzazione integrata delle meta-transazioni, in modo che chi riceve non debba mai pre-finanziare un indirizzo stealth con ETH per il gas. Ha chiuso un seed round da 1,8 M$ a novembre 2024 e ha gestito oltre 40 M$ in pagamenti stealth entro fine 2025.
• Labyrinth: combina indirizzi stealth EIP-5564 con un mixer su L2 Ethereum per occultare importo e mittente. Si avvicina a uno stack di privacy completo, ma richiede ancora fiducia parziale nell'operatore dell'L2 e ne eredita la policy di censura.
• StealthSwap: frontend in stile Uniswap che permette di swappare direttamente verso un indirizzo stealth in modo atomico. Utile per ricevere i proventi di un trade DEX senza rivelare il wallet di destinazione al relayer che esegue l'operazione.
• Daimo Pay (modalità stealth): l'ingresso più recente, aggiunto a febbraio 2026. Pensato per pagamenti ricorrenti come buste paga e abbonamenti, dove la generazione automatica di indirizzi stealth è il vero vantaggio.

Per chi sviluppa, il contratto Announcer canonico è deployato all'indirizzo 0x55649E01B5Df198D18D95b5cc5051630cfD45564 su tutte le chain EVM che condividono lo spazio degli indirizzi di Ethereum — nota il suffisso "5564" volutamente speculare al numero dell'EIP, un piccolo ma utile indizio di auditabilità. L'SDK di riferimento @scopelift/stealth-address-sdk gestisce parsing dei meta-indirizzi, generazione delle chiavi effimere, encoding degli annunci e filtraggio lato scanner tramite view-tag. Integrarlo in una dApp esistente richiede grosso modo un pomeriggio a un team Solidity esperto.

Limiti del modello di minaccia da mettere in conto

L'EIP-5564 è un miglioramento concreto, ma restano alcune categorie di attacchi. Nessuna di queste è un bug dello standard — sono conseguenze del montare un upgrade di privacy sopra un base layer trasparente, in cui mempool, blocchi e receipts restano visibili a tutti.

• Esposizione del mittente: l'indirizzo da cui si invia è ancora pubblico. Se invii dal tuo indirizzo ENS principale, l'unica cosa nascosta è il destinatario, e un analista on-chain può comunque costruire un grafo del tipo "chi ha pagato indirizzi stealth, quando e quanto".
• Correlazione tramite importi: un pagamento stealth di 4,173 ETH seguito subito da un trasferimento di 4,173 ETH altrove suggerisce in modo netto il collegamento. Cifre tonde e importi anomali sono particolarmente vulnerabili.
• Correlazione temporale: gli annunci stealth sono pubblici; se scansioni e sweeppi nello stesso minuto, gli strumenti di sorveglianza riescono a restringere quale annuncio fosse il tuo tramite una semplice finestra temporale.
• Metadati lato sweep: mandare lo sweep su Binance, Coinbase o un exchange italiano come Young Platform lega l'output stealth a un'identità KYC presso il loro fornitore di compliance. Per spezzare davvero la traccia, sweeppa verso Railgun, un mixer L2, oppure converti in XMR.
• Leak nel finanziamento del gas: se finanzi il gas di un indirizzo stealth da un wallet già esposto, hai appena etichettato l'output per chiunque stia osservando. Usa sempre un relayer o uno sweep auto-finanziato.
• MEV cross-chain: alcuni relayer dei bridge loggano l'indirizzo stealth dal lato dell'indexer. Tratta qualunque bridge come una potenziale superficie di deanonimizzazione e, dove possibile, preferisci rotte di atomic swap.

Una nota fiscale per l'Italia

Vale la pena ricordare che l'uso di un indirizzo stealth non cambia la posizione fiscale di chi riceve cripto sul territorio italiano. Dal 2023 la Legge di Bilancio classifica esplicitamente le cripto-attività come categoria a sé, con imposta sostitutiva del 26% sulle plusvalenze e obbligo di compilazione del quadro RW nella dichiarazione dei redditi per le giacenze detenute su wallet non residenti. L'Agenzia delle Entrate non riconosce gli indirizzi stealth come strumento di occultamento legittimo: anche se tecnicamente non sei tracciabile da un osservatore esterno, resti tu il soggetto passivo dell'imposta e devi dichiarare correttamente importi e date di realizzo. Gli indirizzi stealth riducono il rischio di sorveglianza commerciale e di profilazione, non l'obbligo di rendicontazione.

FAQ

L'EIP-5564 rende le mie transazioni Ethereum completamente private?

No. L'EIP-5564 nasconde il destinatario di un pagamento — nello specifico, spezza il collegamento fra l'indirizzo pubblicato (o il nome ENS) e l'indirizzo che effettivamente riceve i fondi. Non nasconde l'indirizzo del mittente, l'importo trasferito né la tempistica. Per una garanzia di fungibilità completa, in cui importi, mittenti e destinatari sono tutti coperti dal protocollo, ti serve ancora una chain come Monero, dove ogni transazione usa ring signatures e amount commitments di default. Molti utenti trattano l'EIP-5564 come un "primo salto" per la ricezione e poi convertono in XMR per custodia e spese successive.

Devo condividere le mie chiavi private con il provider del wallet per usare gli indirizzi stealth?

No, ma devi condividere la tua chiave privata di visualizzazione con il software che esegue la scansione dei pagamenti in entrata. La viewing key dà solo la capacità di rilevare i pagamenti, non di spenderli. La chiave privata di spesa — quella che può muovere i fondi — può restare su un hardware wallet o in cold storage. È esattamente la stessa architettura di Monero: un wallet watch-only su un server sempre acceso che usa la view key, e un wallet a freddo per firmare le transazioni con la spend key.

Perché l'EIP-5564 viene a volte chiamato "la proposta stealth di Vitalik"?

Perché Vitalik Buterin ha pubblicato la bozza originale in un post intitolato "An incomplete guide to stealth addresses" a gennaio 2023, che ha avviato la standardizzazione formale poi diventata EIP-5564. La crittografia in sé è molto più datata: il whitepaper CryptoNote di Nicolas van Saberhagen ha introdotto gli indirizzi monouso nel 2013 e Monero li ha messi in produzione nel 2014. Il merito del post di Vitalik è stato popolarizzare il design dentro Ethereum e renderlo politicamente fattibile come standard opt-in invece che come modifica via hard fork.

Posso usare gli indirizzi stealth sui Layer 2 come Base o Arbitrum?

Sì. Il contratto Announcer canonico dell'EIP-5564 è deployato allo stesso indirizzo su ogni L2 EVM importante, inclusi Base, Optimism, Arbitrum One, Polygon PoS e Gnosis Chain. Sia Umbra sia Fluidkey supportano pagamenti stealth cross-rollup. Nel 2026 le fee sui pagamenti stealth in L2 stanno tipicamente sotto i 0,05 $, il che rende trascurabili i costi di scansione per gli utenti finali e rimuove uno dei principali attriti che lo standard aveva su mainnet nel 2024.

Come si confronta il costo di scansione con quello di un wallet Monero?

Sostanzialmente paragonabile, grazie all'ottimizzazione condivisa del view-tag. Uno scanner EIP-5564 tipico legge 1 byte di ogni annuncio e calcola la derivazione completa su curva ellittica solo per quel ~0,4% che supera il filtro del view-tag. Monero ha aggiunto lo stesso trucco nel 2022; entrambi gli ecosistemi hanno indipendentemente ripreso l'idea da ricerche Zcash precedenti. Su hardware comune, un anno di annunci stealth sulla mainnet Ethereum si scansiona in pochi secondi, più velocemente di quanto richieda la sincronizzazione iniziale di un wallet Monero nuovo.

Cosa succede se perdo la viewing key ma ho ancora la spending key?

Perderesti la capacità di trovare facilmente i pagamenti in entrata, ma non la capacità di spenderli una volta individuati. Potresti fare scansione brute-force derivando ogni possibile indirizzo stealth da ogni annuncio usando solo la spending key — operazione estremamente costosa ma fattibile. In pratica, sia in Umbra sia in Fluidkey entrambe le chiavi sono derivate in modo deterministico dalla firma del wallet principale, quindi puoi ri-derivare la viewing key ogni volta che ricolleghi il wallet sorgente.

Conclusione

L'EIP-5564 è l'upgrade di privacy più pragmatico che Ethereum abbia rilasciato dall'epoca di Tornado Cash — una primitiva crittografica concreta, non un'etichetta di marketing, e che si mappa pulitamente sulla separazione fra View key e Spend key che Monero ha già dimostrato funzionare a scala un decennio prima. Per pagamenti, donazioni, stipendi e drop di NFT, rimuove il segnale di sorveglianza più dannoso su Ethereum: l'identità persistente dell'indirizzo ricevente. Non nasconde però né mittenti né importi, e nel momento in cui consolidi più output stealth in un unico indirizzo trasparente restituisci gran parte della privacy che avevi appena guadagnato. Il modello mentale corretto è "gli indirizzi stealth sono una primitiva di privacy, non un prodotto di privacy". Se l'obiettivo è la fungibilità completa — output identici a livello di protocollo, importi non visibili, mittenti non tracciabili — il workflow più pulito è ricevere su un indirizzo stealth e poi instradare attraverso MoneroSwapper per una conversione no-KYC da ETH a XMR consegnata su un nuovo Subaddress Monero. Da lì, ring signatures, Bulletproofs e broadcast Dandelion++ si occupano del resto, e la tua impronta on-chain si ferma dove l'indirizzo stealth ha finito il suo lavoro.