Hack a FixedFloat 2024: cosa è successo davvero

Il 16 febbraio 2024 chi seguiva la pagina di stato di FixedFloat si imbatté in un avviso scarno, quasi distratto, che parlava di "lavori tecnici in corso". Nel giro di poche ore, gli analisti on-chain stavano già contando i deflussi: circa 409 BTC e 1.728 ETH si erano spostati dagli hot wallet dell'exchange verso indirizzi privi di storico. Quando la polvere si depositò, le perdite ammontavano a circa 26 milioni di dollari, rendendo l'incidente di FixedFloat il più grande attacco a un servizio di swap senza KYC dell'inizio 2024 e uno dei breach più studiati dell'anno. Il danno non fu soltanto economico: costrinse un'intera categoria di exchange istantanei a ripensare l'esposizione degli hot wallet, la fiducia nei firmatari terzi e il modo in cui si comunica con gli utenti durante un incidente di sicurezza.

Questa ricostruzione ripercorre la cronologia, l'analisi forense on-chain, le domande rimaste senza risposta e le ricadute pratiche per chiunque utilizzi servizi di swap senza identificazione. Se instradi operazioni sensibili dal punto di vista della privacy attraverso aggregatori o direttamente tramite servizi come MoneroSwapper, le lezioni dell'incidente FixedFloat del febbraio 2024 restano fondamentali anche nel 2026: la superficie d'attacco che quel caso ha messo a nudo non è scomparsa, si è soltanto diversificata.

Il giorno in cui FixedFloat è andato al buio

FixedFloat aveva passato quattro anni a costruirsi una reputazione di exchange istantaneo affidabile: niente account, niente email, niente KYC, soltanto un tasso quotato e un indirizzo a cui inviare i fondi. All'inizio del 2024 processava diverse migliaia di swap al giorno su oltre 60 criptovalute, tra cui Monero, Bitcoin, Litecoin e una lunga lista di asset EVM. Quel volume rendeva la piattaforma un bersaglio appetibile e il 16 febbraio qualcuno è andato a riscuotere.

La risposta pubblica iniziale fu goffa. Il primo messaggio di FixedFloat attribuiva il disservizio a "minori problemi tecnici" e invitava gli utenti ad attendere. Nel giro di sei ore, gli analisti blockchain avevano già pubblicato indirizzi dei wallet, hash delle transazioni e una stima approssimativa delle perdite in tempo reale. Solo a quel punto l'exchange confermò ciò che chiunque guardasse la catena ormai dava per acquisito.

• Perdita in Bitcoin: circa 409 BTC, sottratti attraverso una serie di consolidamenti UTXO dall'hot wallet di FixedFloat verso indirizzi controllati dall'attaccante.
• Perdita in Ethereum: circa 1.728 ETH, prelevati in batch puliti e instradati immediatamente verso infrastrutture di mixing note.
• Valore complessivo: circa 26 milioni di dollari ai prezzi spot del giorno dell'incidente.
• Ritardo nella rilevazione: sono trascorse quasi tre ore fra il primo deflusso sospetto e il primo riconoscimento pubblico da parte di FixedFloat.
• Impatto sugli utenti: gli swap in corso furono congelati, i rimborsi furono ritardati di settimane e diversi clienti di grande taglia segnalarono perdite parziali su transazioni confermate dall'exchange ma mai consegnate.

Quel ritardo nella rilevazione è la parte che gli specialisti di incident response considerano più allarmante. Hot wallet che si svuotano verso indirizzi sconosciuti dovrebbero generare alert automatici nel giro di secondi, non di ore. Il fatto che l'attaccante abbia avuto tempo di consolidare UTXO e instradare Ethereum verso servizi di mixing prima di qualsiasi comunicazione pubblica suggerisce che il monitoraggio interno o ha fallito, o è stato aggirato, o è stato attivamente silenziato durante la finestra dell'attacco.

Come si è davvero svolto l'attacco

FixedFloat non ha mai pubblicato un post-mortem formale, e questo è già di per sé parte della storia. La maggior parte di ciò che è pubblicamente noto deriva da analisi on-chain indipendenti di società come SlowMist, MistTrack e PeckShield, oltre a thread comunitari che hanno ricostruito il flusso dei fondi quasi in tempo reale. Tre tasselli si combinano per formare il quadro più ampiamente accettato.

Il modello di esposizione degli hot wallet

Gli exchange istantanei vivono e muoiono di liquidità sui propri hot wallet. A differenza degli exchange con order book, che possono spostare grandi riserve verso il cold storage fra una negoziazione e l'altra, un servizio di swap senza account deve regolare nel momento esatto in cui il deposito riceve la conferma. Questo significa che un saldo operativo deve restare online, indicizzato per indirizzo e pronto a firmare transazioni in uscita su richiesta. Gli hot wallet di FixedFloat su BTC ed ETH erano dimensionati per gestire i volumi di picco del weekend: ciò significa che decine di milioni in fondi liquidi erano sempre a portata di qualunque infrastruttura di firma la piattaforma utilizzasse.

La compromissione dei firmatari

Lo schema on-chain del drenaggio di FixedFloat — prelievi ampi, puliti, senza comportamenti frammentati, senza tentativi falliti, senza transazioni di sondaggio — è coerente con un attaccante che possedeva già autorità di firma valida. Non c'è stato exploit di smart contract, né bug di un bridge, né manipolazione di oracoli. Il vettore sono state le chiavi stesse, o i sistemi che le maneggiavano. Che si trattasse di una chiave privata trapelata, di una sessione HSM compromessa, di un insider malevolo o di una compromissione della supply chain di una dipendenza di firma, il risultato pratico è stato identico: l'attaccante ha firmato transazioni che FixedFloat avrebbe firmato in proprio.

Il percorso di riciclaggio

Nelle 24 ore successive al breach, larghe porzioni degli ETH sottratti erano già state instradate attraverso eXch — un altro servizio di swap senza KYC — e convertite in asset orientati alla privacy. Parte dei BTC ha seguito un cammino più lungo attraverso infrastrutture di mixing prima di frammentarsi su decine di nuovi indirizzi. L'uso di un altro exchange no-KYC per riciclare i proventi divenne un punto di scontro nel settore, ed eXch finì in seguito sotto una pressione regolatoria sostenuta che ha contribuito alla sua chiusura nel 2025. L'hack a FixedFloat non è quindi soltanto la storia di una brutta giornata per un singolo exchange: ha innescato una reazione a catena nell'intero ecosistema no-KYC.

La cosa istruttiva di FixedFloat non è che gli hot wallet possano essere svuotati, ma quanto sia stato lungo il tempo perché qualcuno all'interno dell'azienda se ne accorgesse. Un monitoraggio che dipende da un essere umano che guarda una dashboard non è monitoraggio.

Confronto fra i principali incidenti no-KYC

FixedFloat non è l'unico servizio senza KYC ad aver subito un breach di rilievo. Affiancarlo agli altri incidenti dello stesso periodo rende più visibili i rischi strutturali della categoria. Lo schema è ricorrente: esposizione degli hot wallet, comunicazione pubblica lenta e riciclaggio che fluisce verso infrastrutture orientate alla privacy.

Incidente	Perdita stimata	Vettore d'attacco	Post-mortem pubblico
FixedFloat (feb 2024)	~26 mln $	Compromissione firmatari hot wallet	Nessuno pubblicato
FixedFloat (mar 2024, replica)	~3 mln $	Stessa infrastruttura, riuso parziale	Nessuno pubblicato
Esposizione di eXch al riciclaggio	Indiretta	Fondi rubati in ingresso	Solo comunicati operativi
Exploit di bridge 2022-2024 (media)	oltre 100 mln $ per evento	Bug di smart contract	Di norma pubblicato
Breach a CEX con cold storage	Rari	Compromissione multi-sig	A volte pubblicato

Ciò che distingue la categoria no-KYC è il silenzio successivo. Un exchange regolamentato che perde fondi dei clienti deve adempiere a obblighi di disclosure immediati e di solito pubblica un post-mortem per conservare quel poco di fiducia che resta. Un exchange senza KYC non ha obblighi del genere e spesso ha ragioni commerciali per tenere i dettagli riservati: qualsiasi disclosure tecnica può agevolare attaccanti futuri e qualsiasi disclosure operativa può attirare i regolatori. Il risultato è una categoria in cui gli utenti devono ragionare sulla sicurezza dall'esterno, con le briciole on-chain come unica fonte affidabile di verità.

Come proteggersi quando si usano servizi di swap non-KYC

L'incidente FixedFloat non significa che i servizi di swap non-KYC vadano evitati: per molti utenti, soprattutto in giurisdizioni ostili alla privacy finanziaria, restano l'unica opzione realistica. Significa però che il modello di minaccia è diverso da quello di un exchange custodial e che il comportamento dell'utente deve riflettere questa differenza. I passaggi seguenti rispecchiano ciò che molti trader esperti hanno adottato dopo il febbraio 2024.

1. Tratta la finestra di swap come transito, non come deposito. I fondi che invii a un exchange non-KYC devono attraversarlo, non sostarci. Prepara in anticipo l'indirizzo di destinazione — idealmente un wallet le cui chiavi controlli tu, come un wallet Monero generato da una mnemonic Polyseed — prima di creare lo swap. Non interrompere il processo a metà strada.
2. Dimensiona ogni swap con criterio. Gli hot wallet di FixedFloat sono stati svuotati perché erano dimensionati per i volumi di picco. Lato utente, la lezione è simmetrica: non instradare mai una transazione di importo superiore a quanto sei disposto a perdere se l'exchange ha un pomeriggio storto. Diversi swap più piccoli su servizi differenti battono un singolo swap di grande taglia.
3. Verifica on-chain l'indirizzo di deposito prima di inviare. Le piattaforme serie mostrano un indirizzo di deposito fresco per ogni ordine. Controlla rapidamente quell'indirizzo su un block explorer per verificarne lo storico. Un wallet privo di storico è un buon segno per un ordine fresco; un wallet con migliaia di transazioni in ingresso è un segnale d'allarme sulla cura della sicurezza operativa.
4. Confronta il tasso quotato. Se il tasso è drasticamente migliore rispetto a competitor come MoneroSwapper, è un segnale da indagare, non un affare da cogliere al volo. Le anomalie di prezzo si correlano spesso a liquidità sotto stress o, nei casi estremi, a piattaforme che operano in stato di compromissione.
5. Conferma il completamento dello swap su un wallet Monero che controlli. Una volta arrivati i fondi a destinazione, conferma la transazione nel tuo wallet: output RingCT visibili, indirizzo stealth che genera saldo, view key che combacia con l'importo atteso. Finché non hai fatto questa verifica nel tuo software, lo swap non è concluso.
6. Sposta tempestivamente i fondi su long-term storage. Se il tuo piano è detenere Monero a lungo termine, trasferisci gli output ricevuti verso un wallet la cui seed sia offline il prima possibile. Più a lungo gli asset orientati alla privacy restano presso un indirizzo di una controparte nota, più accumulano metadati associabili.

Perché questa storia riguarda chi usa swap su Monero

Gli utenti Monero sono sovra-rappresentati nella base clienti degli exchange non-KYC, per ragioni evidenti: le rampe d'accesso a Monero dal fiat o da altre criptovalute si sono ristrette in modo significativo fra il 2021 e il 2026, e i servizi di swap istantaneo sono diventati una via principale. Questo rende la sicurezza di tali servizi un problema diretto per chiunque cerchi di usare Monero per lo scopo per cui è stato pensato. Quando un exchange come FixedFloat viene compromesso, il fallimento non colpisce soltanto chi ha avuto i depositi sottratti nell'attacco: tocca anche tutti coloro il cui swap era in volo, tutti coloro che hanno atteso settimane per un rimborso e tutti coloro il cui wallet a valle ora contiene output che hanno attraversato un indirizzo segnalato.

Le garanzie di privacy di Monero — ring signatures, stealth address, Bulletproofs+ — proteggono le transazioni sulla blockchain Monero stessa. Non proteggono il momento in cui un utente consegna monete diverse da Monero a un servizio di swap, né rimediano a un fallimento di controparte. È esattamente nel divario fra queste due cose che incidenti come FixedFloat trovano spazio. Un utente può avere un setup di opsec Monero impeccabile e perdere comunque fondi perché il servizio bridge che ha tenuto i suoi BTC per trenta minuti veniva drenato da un attaccante in un altro fuso orario.

La risposta pratica è scegliere con cura i servizi di swap. Presta attenzione al track record operativo, alla storia degli incident response e al grado in cui il servizio è disposto a discutere il proprio modello di sicurezza. Servizi che pubblicano la propria suddivisione fra wallet caldi e freddi, che ruotano l'infrastruttura di firma e che mantengono una comunicazione chiara e pubblica durante i disservizi presentano profili di rischio dimostrabilmente migliori rispetto a servizi che trattano ogni incidente come un mistero. MoneroSwapper, per esempio, è stato costruito attorno al principio che chi fa swap non debba essere costretto a scegliere fra privacy e visibilità operativa: il routing è privato, ma il comportamento della piattaforma durante un incidente è pensato per essere rumoroso e nitido, non silenzioso.

Cosa ha imparato il settore (e cosa no)

A due anni dal breach, l'ecosistema degli swap no-KYC appare misurabilmente diverso. Diverse piattaforme pubblicano oggi snapshot trimestrali di proof-of-reserves, varie hanno adottato firme multi-party con firmatari distribuiti geograficamente e un numero maggiore di incidenti viene seguito da almeno un comunicato pubblico, per quanto sintetico. Esistono prodotti assicurativi per servizi di swap istantaneo dove prima non ce n'erano, anche se la copertura resta esigua.

Ciò che non è cambiato è la pressione strutturale sugli hot wallet. Finché gli swap istantanei sono una categoria di prodotto, qualcuno dovrà tenere fondi liquidi online e qualcuno dovrà autorizzare transazioni on demand. La frontiera dell'attacco si è spostata dai bug on-chain (che dominavano il 2021-2022) alla compromissione off-chain dell'infrastruttura di firma, molto più difficile da difendere a livello tecnico perché la debolezza è di solito organizzativa. Phishing degli operatori, attacchi alla supply chain delle dipendenze e minacce dall'interno restano vettori attivi anche nel 2026.

Uno sviluppo genuinamente positivo: i colli di bottiglia per il riciclaggio si sono ristretti. Dopo che l'incidente FixedFloat aveva mostrato con quanta facilità i fondi rubati potessero essere ribaltati attraverso altri servizi no-KYC, le piattaforme sopravvissute hanno adottato blocklist condivise, screening dei depositi per cluster di attaccanti noti e payout più lenti su schemi sospetti. Questo ha reso il riciclaggio successivo più difficile, anche se la superficie d'attacco originaria non è stata eliminata.

Domande frequenti

Quanto ha perso FixedFloat nell'hack del febbraio 2024?

FixedFloat ha perso circa 409 BTC e 1.728 ETH, per un controvalore di circa 26 milioni di dollari al momento dell'attacco. I fondi sono stati prelevati dagli hot wallet della piattaforma in una serie di transazioni pulite nell'arco di un pomeriggio. Un incidente di replica più piccolo, a marzo 2024, ha aggiunto altri 3 milioni di dollari di perdite prima che l'exchange ruotasse la propria infrastruttura di firma.

FixedFloat ha rimborsato gli utenti colpiti?

FixedFloat ha alla fine processato i rimborsi per la maggior parte degli utenti con ordini in volo o non evasi, anche se il processo è durato settimane per molti clienti. L'exchange ha coperto le perdite con riserve proprie anziché scaricarle sugli utenti colpiti — distinzione tutt'altro che marginale, dato che molti exchange compromessi socializzano le perdite sull'intera base utenti. Alcuni utenti hanno comunque segnalato recuperi parziali o casi rimasti irrisolti.

L'attaccante di FixedFloat è mai stato identificato?

Pubblicamente no. L'analisi on-chain ha tracciato i fondi attraverso vari mixer e attraverso la piattaforma eXch, ma nessun individuo o gruppo è stato formalmente attribuito al breach. Alcuni analisti hanno ipotizzato un coinvolgimento di attori statali sulla base della sofisticazione del riciclaggio, mentre altri hanno indicato un insider o una compromissione della supply chain sulla base del comportamento di firma estremamente pulito. FixedFloat non ha pubblicato i propri rilievi interni.

È sicuro usare FixedFloat nel 2026?

FixedFloat ha continuato a operare dopo l'incidente e avrebbe aggiornato la propria infrastruttura di firma. La decisione di usare un qualsiasi servizio di swap non-KYC è una valutazione di rischio personale che deve tenere conto della storia operativa, della trasparenza e della dimensione dell'operazione. Molti utenti diversificano fra più piattaforme proprio per evitare di concentrare l'esposizione su un unico operatore — pratica sensata a prescindere dall'exchange in questione.

Qual è il modo più sicuro per convertire fondi in Monero oggi?

Il flusso più sicuro è usare un servizio di swap con un track record operativo pulito, inviare il minor importo pratico per transazione, confermare la ricezione su un wallet Monero la cui seed mnemonica è stata generata da te e trasferire poi i fondi su long-term storage. MoneroSwapper è progettato attorno a questo flusso: raccolta dati minima, reportistica di stato chiara e consegna diretta a un indirizzo stealth che controlli. Combinare un servizio di swap accorto con un'igiene rigorosa del wallet offre il risultato pratico più solido.

Come si confronta con gli hack agli exchange tradizionali?

Gli hack agli exchange regolamentati tradizionali comportano in genere perdite assolute più grandi ma offrono più opzioni di recupero, attraverso assicurazioni, pressione regolatoria e post-mortem pubblici. Gli hack agli swap non-KYC come FixedFloat sono più contenuti in termini di dollari ma più rischiosi per il singolo utente perché non esiste alcun rimedio oltre alla buona volontà dell'exchange. La differenza strutturale è che si baratta il ricorso legale per privacy quando si sceglie la via no-KYC, e questo scambio dovrebbe essere prezzato in quanto si fa transitare attraverso una singola piattaforma.

Conclusione

L'hack a FixedFloat è stato un evento chiarificatore per la categoria degli swap no-KYC. Non ha inventato una nuova classe d'attacco, né ha introdotto un rischio a cui gli utenti informati non stessero già pensando. Quello che ha fatto è stato spingere allo scoperto un'assunzione implicita: che la disciplina operativa di un exchange istantaneo sia parte integrante della garanzia di sicurezza e che qualunque piattaforma chieda agli utenti di fidarsi di lei per trenta minuti debba meritarsi quei trenta minuti di fiducia. Alcune piattaforme hanno risposto a questa pressione con pratiche migliori, comunicazione pubblica e miglioramenti dimostrabili. Altre sono rimaste in silenzio e hanno sperato che gli utenti dimenticassero. Il mercato sta ancora distinguendo le une dalle altre.

Per chiunque usi Monero nel 2026 il messaggio è concreto. Scegli servizi di swap che trattino il tuo tempo e i tuoi fondi con la serietà che il momento richiede, dimensiona le tue operazioni in base al modello di minaccia che hai davvero davanti e verifica ogni passaggio del percorso in software che controlli. Se vuoi avviare uno swap subito, su un servizio costruito esattamente attorno a questi principi, puoi partire da comprare Monero in modo anonimo oppure confrontare i tassi correnti tramite il motore di quotazione di MoneroSwapper. L'incidente del 2024 è alle nostre spalle, ma le lezioni che ha lasciato continuano a modellare ogni swap che fai oggi.