Il 20 maggio 2026, alcuni ricercatori di sicurezza hanno segnalato una vulnerabilità in RetoSwap, un DEX di Monero basato su Haveno. Le prime stime di PeckShield indicano un prelievo di circa 7,000 XMR da depositi multisig on-chain (dato preliminare e soggetto a revisione). Non si tratta di un errore del protocollo Monero, bensì di un problema di tipo smart contract a livello del livello di deposito che si trova sopra Monero.
TL; DR: RetoSwap, un fork del DEX P2P Monero Haveno, è stato sfruttato il 20/05/2026. I fondi depositati in un conto di garanzia multisig sono stati svuotati. Monero stesso non è stato interessato. L'incidente è un promemoria che dove si trovano le tue monete durante uno scambio — e per quanto tempo — è la questione di sicurezza che conta.
Cosa è successo il 20/05/2026?
RetoSwap è un fork della community di Haveno, un exchange peer-to-peer open-source per Monero modellato su Bisq. Le transazioni su queste piattaforme utilizzano depositi a garanzia multisig 2-of-2 o 2-of-3 on-chain: acquirente, venditore e arbitro detengono ciascuno una chiave e i fondi vengono rilasciati quando due parti firmano.
Secondo quanto riportato da PeckShield il 20 maggio 2026, un utente malintenzionato ha sfruttato una falla nel modo in cui i contratti di deposito a garanzia di RetoSwap convalidavano l'ordine delle firme, consentendo il prelievo unilaterale da un sottoinsieme di depositi a garanzia aperti. Il team principale di Haveno ha pubblicato una dichiarazione lo stesso giorno, chiarendo che il client di riferimento di Haveno non era interessato dal problema: il bug sembra essere specifico del fork di RetoSwap.
La pagina di stato della rete di Monero non ha segnalato anomalie a livello di blockchain. I blocchi sono stati prodotti normalmente, la firma ad anello è rimasta invariata e la verifica Bulletproofs+ è proseguita senza problemi. La perdita si è verificata interamente a livello applicativo.
Perché si tratta di un errore del livello di deposito a garanzia e non di un errore di Monero.
Vale la pena distinguere tre cose distinte che le persone chiamano "sicurezza di Monero":
- Sicurezza del protocollo — Firme ad anello, indirizzi stealth, Bulletproofs+, RingCT. Nessun problema qui.
- Sicurezza del portafoglio — Gestione delle chiavi, frasi di avvio, chiavi di visualizzazione. Qui non sono interessate.
- Sicurezza a livello applicativo — piattaforme di scambio, servizi di swap, contratti di deposito a garanzia, software di custodia. Questo È qui che RetoSwap ha fallito.
Le piattaforme in stile DEX basate su un sistema di deposito a garanzia multisig presentano un rischio specifico: finché le tue criptovalute sono bloccate nel deposito in attesa della firma della controparte, rimangono in un contratto il cui codice può contenere bug. Questo intervallo di tempo può essere di pochi minuti per una transazione veloce, oppure di ore o giorni se la controparte tarda a rispondere. Durante questo periodo, è la correttezza del deposito a garanzia, e non quella di Monero, a proteggerti.
Superficie di attacco: dove si trovano le tue monete durante uno scambio?
Le diverse architetture di swap hanno diverse finestre di custodia. In linea di massima:
| Scambia l'architettura | Dove si trovano i fondi | Finestra tipica |
|---|---|---|
| Scambio centralizzato (basato su account) | Portafogli hot/cold dell'Exchange | A tempo indeterminato — fino al ritiro |
| DEX P2P con deposito a garanzia multi-firma (stile Haveno) | Contratto multisig on-chain | Da minuti a giorni, a seconda della controparte |
| Scambio atomico (basato su HTLC) | Contratto HTTPC su entrambe le catene | Da minuti a circa un'ora |
| aggregatore di scambio pass-through | Portafoglio di routing temporaneo dell'aggregatore | In genere circa 8 minuti al p50, fino a circa 30 al p95 (secondo le metriche del prodotto GhostSwap) |
L'incidente di RetoSwap ha colpito la seconda fila. Il contratto di deposito a garanzia conteneva dei fondi, il contratto presentava un bug e i fondi erano prelevabili.
Questo è strutturalmente diverso dal funzionamento dei servizi di swap pass-through. In un modello pass-through, il servizio non detiene una posizione di deposito a garanzia aperta: riceve la criptovaluta in entrata, la instrada attraverso la liquidità aggregata e inoltra la criptovaluta in uscita. La finestra di custodia è in genere di circa 8 minuti in media e fino a circa 30 minuti al 95° percentile (secondo le metriche del prodotto GhostSwap), non di minuti o giorni. Modello diverso, superficie diversa.
Non è un'affermazione che il passaggio sia più sicuro in tutti i casi — entrambi i modelli presentano modalità di errore. Si afferma che le modalità di errore siano diverse e che la vulnerabilità di RetoSwap fosse specifica del modello basato su contratti di deposito a garanzia.
Cosa dovrebbero fare concretamente gli utenti di Monero questa settimana
- Se avevi posizioni aperte su RetoSwap — Consulta i canali ufficiali di RetoSwap per la procedura standard di recupero dei danni. Non fidarti dei messaggi privati che offrono "servizi di rimborso". Incidenti come questo tendono sempre a configurarsi come tentativi di phishing.
- Se utilizzi Haveno (il client di riferimento, non RetoSwap) — La dichiarazione del team di Haveno del 20/05/2026 afferma che il client upstream non è interessato. Aggiorna comunque all'ultima versione; le verifiche di sicurezza spesso rivelano problemi correlati.
- Se avevi intenzione di usare RetoSwap — Attendi. Il team dovrà rilasciare una correzione, farla esaminare e rilanciare i contratti di deposito a garanzia. Nel frattempo, utilizza delle alternative.
- Se detieni XMR in un portafoglio che controlli — non sei interessato. La vulnerabilità non ha intaccato il livello base di Monero né i singoli portafogli.
In che modo il modello pass-through di GhostSwap si differenzia
GhostSwap è un aggregatore di swap senza KYC e senza custodia. Nessun account, nessuna email. I fondi transitano direttamente; non vengono trattenuti in un deposito a garanzia a lungo termine.
Quando scambi BTC con XMR tramite Pagina di GhostSwap sulla coppia BTC/XMREcco il flusso:
- Inserisci l'importo e il tuo indirizzo XMR di ricezione.
- Invii BTC a un indirizzo di deposito generato per il tuo scambio.
- GhostSwap instrada le transazioni attraverso la liquidità aggregata proveniente dai principali mercati di criptovalute.
- XMR arriva al tuo indirizzo. Tempo medio di completamento ~8 minuti; p95 ~30 minuti (secondo le metriche attuali del prodotto).
Non ci sono posizioni di deposito a garanzia aperte, nessuna firma multipla in attesa della firma della controparte, nessun contratto che trattiene fondi mentre due persone si coordinano. Questo elimina la specifica modalità di errore che ha colpito RetoSwap. Non elimina tutte le modalità di errore – i servizi di passaggio di fondi presentano i propri rischi (compromissione del portafoglio di routing, rischio della controparte della fonte di liquidità) – ma il profilo di rischio è diverso.
GhostSwap supporta 1,600 coppie di valute tra BTC, ETH, XMR, SOL e reti altcoin, con prezzi a tasso variabile basati sulla liquidità aggregata. Nessuna verifica dell'identità (KYC) per gli swap.
FAQ
D: La vulnerabilità di RetoSwap ha avuto ripercussioni su Monero stesso?
R: No. Il protocollo, la rete e il software del wallet di Monero non sono stati interessati. L'exploit ha preso di mira la logica del contratto di deposito a garanzia di RetoSwap, ovvero il codice a livello applicativo che gira sopra Monero, non Monero stesso. Secondo la pagina sullo stato della rete Monero del 20/05/2026, la blockchain ha funzionato normalmente per tutto il periodo.
D: Haveno è sicuro da usare?
A: La dichiarazione del team principale di Haveno del 20/05/2026 afferma che il client di riferimento di Haveno originale non è stato interessato dal problema: il bug sembra essere specifico del fork di RetoSwap. Detto questo, qualsiasi DEX con contratti di deposito a garanzia multi-firma eredita per sua natura il rischio dei contratti di deposito a garanzia. Utilizzate il client di riferimento più recente, seguite i canali di rilascio ufficiali e dimensionate le operazioni in base a quanto potete permettervi di aspettare.
D: In che modo un aggregatore di swap senza KYC si differenzia da un DEX come RetoSwap?
A: Dal punto di vista architetturale: un DEX utilizza contratti di deposito a garanzia on-chain che trattengono i fondi fino alla firma delle controparti. Un aggregatore di swap pass-through come GhostSwap accetta la tua criptovaluta in entrata, la instrada attraverso la liquidità aggregata e inoltra il risultato. La finestra di custodia è in genere di circa 8 minuti in media, fino a circa 30 nel 95° percentile: breve e non vincolata alla firma della controparte. Architettura diversa, superficie di attacco diversa.
D: Cosa devo fare se avevo una posizione aperta su RetoSwap quando si è verificato l'attacco?
A: Consulta i canali ufficiali di RetoSwap per conoscere la procedura standard di recupero delle perdite e i dettagli relativi ai fondi white hat. Non rispondere a messaggi privati non richiesti che offrono servizi di "recupero" o "rimborso": si tratta quasi sempre di tentativi di phishing. Se hai versato una cauzione o avevi fondi in deposito, i canali ufficiali del team di RetoSwap sono l'unica fonte affidabile.
Per un'alternativa concreta mentre RetoSwap è in pausa, vedere il Widget di scambio per la homepage di GhostSwap — nessun account, nessuna verifica dell'identità (KYC), 1,600 coppie supportate.
