Nel maggio 2026, diverse applicazioni correlate a Monero sono state sfruttate, tra cui una piattaforma di trading derivata da Haveno. Nessuno di questi incidenti ha compromesso il protocollo di base di Monero. Il nucleo crittografico che gestisce la riservatezza – firme ad anello, RingCT, indirizzi stealth – non è stato coinvolto; i problemi risiedevano nel codice dell'applicazione, nel coordinamento multisig e nelle pratiche operative relative al protocollo.
TL; DR: Monero in sé non è stato sfruttato nel maggio 2026. Gli incidenti hanno colpito applicazioni basate su Monero o che lo utilizzano come riferimento: piattaforme di trading, servizi federati, coordinatori multisig. Se si sostituisce XMR, le garanzie di privacy a livello di base rimangono invariate. La lezione da imparare è su quale livello applicativo ci si affida.
Cosa è successo realmente nel maggio 2026?
Nel corso del mese si è verificato un insieme di incidenti che hanno colpito software correlati a Monero. Il più discusso è stato un exploit attivo nel software di trading Haveno, segnalato su r/Monero il 21/05/2026 e tracciato in Haveno PR #2315che ha colpito almeno un operatore a valle. Secondo il thread pubblico su Reddit, l'attacco consisteva in falsi messaggi di conferma che impersonavano l'arbitro, consentendo all'aggressore di influenzare la configurazione del portafoglio multisig prima del deposito dei fondi. Agli operatori di rete è stato consigliato di sospendere le negoziazioni in attesa dello sviluppo di una soluzione.
L'entità della perdita non è stata resa pubblica al momento dell'avviso e la soluzione è tracciata nella pull request collegata. Citiamo il rapporto pubblico e la patch upstream; i dettagli oltre a quelli riportati in questi URL non sono da noi confermati.
Nessuno di questi incidenti ha influenzato il protocollo di base di Monero. Blog del progetto Monero Non è stato pubblicato alcun avviso a livello di protocollo relativo a questi eventi, e non sono state segnalate riorganizzazioni della blockchain, violazioni della riservatezza o fallimenti del consenso da parte dei contributori di Monero durante il periodo in questione.
Perché lo strato di base ha continuato a funzionare
Il livello base di Monero separa nettamente le diverse responsabilità:
- Ring signature nascondi quale output hai speso tra una serie di esche.
- RingCT nasconde l'importo. Era introdotto sulla rete principale nel gennaio 2017 (consultato il 28/05/2026).
- Indirizzi invisibili nascondere il ricevitore.
Questi sistemi primitivi sono in produzione da anni e, a nostra conoscenza, non è stata segnalata alcuna violazione crittografica della riservatezza di RingCT sulla blockchain di Monero attualmente in funzione. I bug dell'applicazione, come errori di calcolo delle commissioni, anomalie dell'interfaccia grafica o regressioni nella sincronizzazione del wallet, possono verificarsi e vengono corretti, ma non compromettono le garanzie di riservatezza on-chain.
Il livello applicativo è un discorso a parte. È generalmente più recente, meno sottoposto a revisione paritaria (a nostro avviso) e combina molte componenti interconnesse: codice dell'interfaccia utente, coordinamento di rete, flussi multisig, arbitri di terze parti e infrastruttura dell'operatore. È lì che si sono verificati gli incidenti del maggio 2026.
Cosa significa questo per gli utenti di swap
Se effettui uno scambio di XMR tramite un servizio non custodial, la domanda rilevante è cosa succede ai tuoi fondi durante i pochi minuti necessari per lo scambio. Uno scambio non custodial significa che i fondi transitano direttamente attraverso il sistema anziché rimanere depositati in un conto di garanzia presso terzi. Più breve è il tempo di transito e minore è il coordinamento richiesto, minore sarà la superficie di attacco.
| superficie | Profilo di rischio | Note |
|---|---|---|
| Strato base Monero | Stabile | Ad oggi non si è registrata alcuna violazione della riservatezza nella produzione resa pubblica. |
| Software di portafoglio | Moderato | I bug vengono corretti; mantieni aggiornati i tuoi portafogli. |
| Servizi multisig federati | Più elevato | La logica di coordinamento è un obiettivo concreto: si vedano gli incidenti di maggio 2026. |
| Exchange di custodia che detengono XMR | Massimo | I fondi sono depositati sulla piattaforma; rischio di controparte + rischio di delisting |
Nello specifico, per gli swap è preferibile optare per soluzioni non custodial rispetto alle piattaforme che utilizzano il servizio di escrow. Un servizio di swap che non detiene fondi elimina completamente questo rischio.
Come ridurre il rischio per l'ecosistema durante lo scambio di XMR
- Utilizzare un percorso di swap non custodiale. GhostSwap è un exchange di criptovalute senza KYC: nessun account, nessuna email, nessuna registrazione. I fondi transitano e non vengono mai trattenuti da noi. Puoi iniziare dal nostro Pagina di scambio da BTC a XMR o il widget live all' homepage.
- Verifica personalmente l'indirizzo di destinazione. Incolla l'indirizzo Monero del destinatario dal tuo portafoglio. Non affidarti a una procedura di copia-incolla che prevede l'intervento di un intermediario per la configurazione della firma multipla.
- Mantieni aggiornato il software del tuo portafoglio digitale. La maggior parte dei problemi a livello applicativo viene risolta rapidamente una volta che viene segnalata.
- Preferisco topologie di scambio più semplici. Due parti (tu e il servizio di scambio), una quotazione a tasso variabile, un regolamento on-chain. GhostSwap utilizza il modello di liquidità aggregata dai principali mercati di criptovalute a tasso variabile, evitando così le superfici di coordinamento che si sono rotte a maggio.
FAQ
D: Monero è stato hackerato nel maggio 2026?
R: No. Il protocollo di base di Monero non è stato sfruttato. Gli incidenti hanno interessato applicazioni basate su Monero o che lo utilizzano, non la blockchain stessa. Non abbiamo ricevuto segnalazioni di violazioni a livello di protocollo durante questo periodo.
D: È ancora sicuro detenere o scambiare XMR?
A: Le protezioni crittografiche che rendono XMR privato — firme ad anello, RingCT, indirizzi stealth — non sono state influenzate dagli incidenti del maggio 2026. Il rischio si concentra a livello applicativo (portafogli, piattaforme di trading, coordinatori multisig), quindi la strada più sicura è scegliere strumenti con superfici di attacco più ridotte.
D: Come posso convertire i miei dati da o verso XMR senza un account?
A: GhostSwap supporta gli scambi XMR senza registrazione. Nessun account, nessuna email, nessuna verifica dell'identità. Oltre 1,600 coppie supportate su oltre 200 asset. Il tempo medio di completamento è di circa 8 minuti, variabile a seconda della congestione della blockchain. Vedi il pagina relativa alla coppia BTC/XMR o il widget di scambio su homepage.
D: Dovrei tenere XMR su una piattaforma di trading?
A: È una scelta personale, ma detenere XMR su qualsiasi piattaforma ti espone al rischio operativo di quella piattaforma. I wallet non custodial che controlli riducono tale esposizione, e gli swap non custodial evitano di crearla fin dall'inizio.
Chiusura
Gli incidenti del maggio 2026 ci ricordano che la maggior parte del rischio operativo risiede nel livello applicativo al di sopra di Monero, non nella blockchain stessa. Se si desidera continuare a scambiare XMR con la minima superficie di contatto possibile, è consigliabile utilizzare un percorso non custodial e verificare personalmente i propri indirizzi.
Avvia uno scambio sul Pagina iniziale di GhostSwap o vai direttamente al pagina relativa alla coppia BTC/XMR.
