{"id":326,"date":"2026-02-07T18:09:24","date_gmt":"2026-02-07T18:09:24","guid":{"rendered":"https:\/\/nicolanigro.com\/invention\/?p=326"},"modified":"2026-02-07T18:09:40","modified_gmt":"2026-02-07T18:09:40","slug":"approve-allowance","status":"publish","type":"post","link":"https:\/\/nicolanigro.com\/invention\/approve-allowance\/","title":{"rendered":"Approve & Allowance"},"content":{"rendered":"\n

la Firma che Svuota il Wallet Senza Rubarti la Seed<\/strong><\/h2>\n\n\n\n

Categoria: X-Reports \u2013 Security Intel<\/strong>
Autore: Independent Security Researcher (Ing. Nicola Nigro)<\/strong><\/p>\n\n\n\n

Nel mondo crypto esiste una convinzione pericolosa, quasi religiosa:<\/p>\n\n\n\n

\n

\u201cSe nessuno ha la mia seed phrase, nessuno pu\u00f2 rubarmi nulla.\u201d<\/p>\n<\/blockquote>\n\n\n\n

\u00c8 una frase rassicurante.
Eppure \u00e8 una delle pi\u00f9 sbagliate.<\/p>\n\n\n\n

Oggi la maggior parte dei furti non avviene rubando la seed, non avviene \u201chackerando\u201d il wallet e non avviene nemmeno entrando nell\u2019exchange.<\/p>\n\n\n\n

Avviene in modo molto pi\u00f9 elegante.<\/p>\n\n\n\n

Silenzioso. Legale. Invisibile.<\/p>\n\n\n\n

E il nome tecnico di questo meccanismo \u00e8:<\/p>\n\n\n\n

\n

Approve \/ Allowance<\/strong><\/p>\n<\/blockquote>\n\n\n\n

\n\n\n\n

Cos\u2019\u00e8 davvero un \u201cApprove\u201d<\/h1>\n\n\n\n

Quando utilizzi una dApp, un exchange decentralizzato, una piattaforma DeFi o un bridge, spesso ti viene richiesto di fare una cosa prima di poter operare:<\/p>\n\n\n\n

Approve.<\/strong><\/p>\n\n\n\n

Molti utenti lo interpretano cos\u00ec:<\/p>\n\n\n\n

\n

\u201cSto solo autorizzando questa operazione.\u201d<\/p>\n<\/blockquote>\n\n\n\n

In realt\u00e0 spesso significa qualcosa di completamente diverso:<\/p>\n\n\n\n

\n

\u201cSto autorizzando questa piattaforma a muovere i miei token.\u201d<\/p>\n<\/blockquote>\n\n\n\n

Non per questa singola operazione.
Non solo per oggi.
Non solo per questa sessione.<\/p>\n\n\n\n

Ma potenzialmente in modo persistente.<\/p>\n\n\n\n

\n\n\n\n

Allowance: il permesso invisibile che resta aperto<\/h1>\n\n\n\n

Il vero problema non \u00e8 l\u2019azione in s\u00e9.
Il problema \u00e8 ci\u00f2 che resta dopo.<\/p>\n\n\n\n

Allowance significa \u201cquantit\u00e0 autorizzata\u201d.
In pratica, stai dicendo a un contratto esterno:<\/p>\n\n\n\n

\n

\u201cPuoi prelevare fino a X token dal mio wallet.\u201d<\/p>\n<\/blockquote>\n\n\n\n

E la parte pi\u00f9 inquietante \u00e8 che spesso X non \u00e8 un numero piccolo.
Spesso X \u00e8 \u201cillimitato\u201d.<\/p>\n\n\n\n

Molti wallet lo mostrano con una frase ambigua, tipo:<\/p>\n\n\n\n

    \n
  • \u201cUnlimited approval\u201d<\/li>\n\n\n\n
  • \u201cSpending cap: unlimited\u201d<\/li>\n\n\n\n
  • \u201cApprove maximum\u201d<\/li>\n\n\n\n
  • \u201cAllow access to your funds\u201d<\/li>\n<\/ul>\n\n\n\n

    L\u2019utente non ci pensa.
    Conferma.<\/p>\n\n\n\n

    E in quel momento, ha aperto una porta.<\/p>\n\n\n\n

    \n\n\n\n

    La formula pi\u00f9 importante della DeFi<\/h1>\n\n\n\n

    Se volessimo descrivere questo meccanismo con una formula semplice, potremmo scrivere:<\/p>\n\n\n\n

      \n
    • W<\/strong> = wallet<\/li>\n\n\n\n
    • T<\/strong> = token<\/li>\n\n\n\n
    • C<\/strong> = smart contract<\/li>\n\n\n\n
    • A<\/strong> = allowance (permesso)<\/li>\n\n\n\n
    • R<\/strong> = rischio reale<\/li>\n<\/ul>\n\n\n\n

      Allora:<\/p>\n\n\n\n

      \n

      R \u221d A \u00d7 Tempo \u00d7 Esposizione<\/strong><\/p>\n<\/blockquote>\n\n\n\n

      Pi\u00f9 l\u2019allowance \u00e8 alta, pi\u00f9 il rischio cresce.
      E il tempo lavora sempre contro di te.<\/p>\n\n\n\n

      Perch\u00e9 un permesso che oggi sembra innocuo, domani pu\u00f2 diventare un disastro.<\/p>\n\n\n\n

      \n\n\n\n

      Il punto cruciale: non \u00e8 un hack, \u00e8 un\u2019autorizzazione<\/h1>\n\n\n\n

      E qui arriva il paradosso che distrugge la sicurezza mentale dell\u2019utente.<\/p>\n\n\n\n

      Se un criminale ruba i tuoi token tramite allowance, spesso tecnicamente non sta \u201cviolando\u201d il wallet.<\/p>\n\n\n\n

      Sta usando un permesso che tu hai concesso.<\/p>\n\n\n\n

      Questo \u00e8 ci\u00f2 che rende l\u2019attacco devastante:
      \u00e8 compatibile con il sistema.<\/p>\n\n\n\n

      Non \u00e8 un exploit.
      \u00c8 una firma.<\/p>\n\n\n\n

      E le firme in blockchain sono definitive.<\/p>\n\n\n\n

      \n\n\n\n

      Perch\u00e9 questo \u00e8 pi\u00f9 pericoloso della seed phrase<\/h1>\n\n\n\n

      La seed phrase \u00e8 un segreto totale.
      O ce l\u2019hanno, o non ce l\u2019hanno.<\/p>\n\n\n\n

      Approve invece \u00e8 un rischio diverso:
      \u00e8 una vulnerabilit\u00e0 progressiva.<\/p>\n\n\n\n

      Il wallet pu\u00f2 essere perfettamente protetto, offline, blindato, hardware wallet incluso\u2026 eppure un permesso precedente pu\u00f2 continuare a esistere.<\/p>\n\n\n\n

      La sicurezza dell\u2019utente diventa un\u2019illusione.<\/p>\n\n\n\n

      In pratica:<\/p>\n\n\n\n

      \n

      puoi avere il wallet pi\u00f9 sicuro del mondo
      e perdere tutto per un click fatto settimane prima.<\/p>\n<\/blockquote>\n\n\n\n

      \n\n\n\n

      Il vero attacco moderno: la trappola del \u201cconveniente\u201d<\/h1>\n\n\n\n

      Le dApp e i protocolli spesso spingono l\u2019utente a scegliere la via pi\u00f9 semplice:<\/p>\n\n\n\n

        \n
      • \u201cApprove massimo cos\u00ec non devi rifarlo\u201d<\/li>\n\n\n\n
      • \u201cUnlimited approval per velocizzare\u201d<\/li>\n\n\n\n
      • \u201cRisparmi gas fee\u201d<\/li>\n\n\n\n
      • \u201cEsperienza migliore\u201d<\/li>\n<\/ul>\n\n\n\n

        Ed \u00e8 vero.
        \u00c8 pi\u00f9 comodo.<\/p>\n\n\n\n

        Ma la comodit\u00e0 in crypto \u00e8 quasi sempre un prezzo.<\/p>\n\n\n\n

        E spesso quel prezzo \u00e8 totale.<\/p>\n\n\n\n

        \n\n\n\n

        La tecnica invisibile: rubarti senza toccarti<\/h1>\n\n\n\n

        Il furto moderno non ha bisogno di rubare la seed.
        Non ha bisogno di infettare il PC.
        Non ha bisogno di violare un exchange.<\/p>\n\n\n\n

        Deve solo farti fare una cosa:<\/p>\n\n\n\n

        \n

        autorizzare.<\/p>\n<\/blockquote>\n\n\n\n

        E questo \u00e8 il motivo per cui oggi i criminali non puntano tanto a \u201chackerare\u201d la blockchain, ma a creare scenari in cui l\u2019utente firma permessi dannosi.<\/p>\n\n\n\n

        \u00c8 il massimo dell\u2019efficienza.<\/p>\n\n\n\n

        Nel mondo crypto, la firma \u00e8 la nuova password.<\/p>\n\n\n\n

        \n\n\n\n

        Approve illimitato: la porta lasciata aperta per sempre<\/h1>\n\n\n\n

        L\u2019approve illimitato \u00e8 una delle scelte pi\u00f9 pericolose che un utente possa fare.<\/p>\n\n\n\n

        Perch\u00e9 non autorizza un singolo movimento.
        Autorizza un potenziale drenaggio.<\/p>\n\n\n\n

        E la cosa pi\u00f9 inquietante \u00e8 che spesso l\u2019utente nemmeno ricorda di averlo fatto.<\/p>\n\n\n\n

        Definiamo:<\/p>\n\n\n\n

          \n
        • M<\/strong> = memoria dell\u2019utente<\/li>\n\n\n\n
        • P<\/strong> = permesso attivo<\/li>\n\n\n\n
        • S<\/strong> = sicurezza percepita<\/li>\n<\/ul>\n\n\n\n

          Allora:<\/p>\n\n\n\n

          \n

          S = Alta<\/strong> quando M = 0<\/strong>, anche se P = 1<\/strong><\/p>\n<\/blockquote>\n\n\n\n

          Questo significa che la sicurezza percepita aumenta proprio quando l\u2019utente dimentica il rischio.<\/p>\n\n\n\n

          E questo \u00e8 il punto perfetto per colpire.<\/p>\n\n\n\n

          \n\n\n\n

          Il problema non \u00e8 solo il criminale: \u00e8 la normalizzazione del rischio<\/h1>\n\n\n\n

          La DeFi ha reso normale ci\u00f2 che non dovrebbe mai essere normale: concedere permessi permanenti a entit\u00e0 esterne.<\/p>\n\n\n\n

          In un sistema bancario tradizionale, concedere a qualcuno la possibilit\u00e0 di prelevare liberamente dal tuo conto sarebbe follia.<\/p>\n\n\n\n

          Nel mondo crypto, viene chiamato \u201cfeature\u201d.<\/p>\n\n\n\n

          Questa normalizzazione \u00e8 uno dei problemi strutturali dell\u2019ecosistema.<\/p>\n\n\n\n

          Perch\u00e9 rende l\u2019utente vulnerabile senza che se ne accorga.<\/p>\n\n\n\n

          \n\n\n\n

          La regola d\u2019oro della sicurezza DeFi<\/h1>\n\n\n\n

          Se dovessimo condensare tutto in una frase unica, sarebbe questa:<\/p>\n\n\n\n

          \n

          Se non puoi spiegare un Approve in modo semplice, non firmarlo.<\/strong><\/p>\n<\/blockquote>\n\n\n\n

          E ancora pi\u00f9 importante:<\/p>\n\n\n\n

          \n

          Se non ti serve un permesso illimitato, non concederlo mai.<\/strong><\/p>\n<\/blockquote>\n\n\n\n

          Perch\u00e9 non stai autorizzando un\u2019azione.
          Stai autorizzando un potere.<\/p>\n\n\n\n

          \n\n\n\n

          Cosa rende questo rischio \u201csistemico\u201d<\/h1>\n\n\n\n

          Il problema di Approve e Allowance \u00e8 che non colpisce solo l\u2019utente singolo.<\/p>\n\n\n\n

          Colpisce l\u2019intero ecosistema, perch\u00e9:<\/p>\n\n\n\n

            \n
          • un contratto compromesso pu\u00f2 drenare migliaia di wallet<\/li>\n\n\n\n
          • un clone di una dApp pu\u00f2 ottenere permessi in massa<\/li>\n\n\n\n
          • una campagna di phishing pu\u00f2 trasformarsi in un evento a cascata<\/li>\n\n\n\n
          • la fiducia nel settore pu\u00f2 collassare in pochi giorni<\/li>\n<\/ul>\n\n\n\n

            \u00c8 una vulnerabilit\u00e0 sociale prima ancora che tecnica.<\/p>\n\n\n\n

            E proprio perch\u00e9 \u00e8 sociale, \u00e8 pi\u00f9 difficile da eliminare.<\/p>\n\n\n\n

            \n\n\n\n

            Conclusione: non serve rubare la seed, basta ottenere il permesso<\/h1>\n\n\n\n

            Il futuro della sicurezza crypto non sar\u00e0 solo proteggere seed phrase e hardware wallet.<\/p>\n\n\n\n

            Sar\u00e0 proteggere la cosa pi\u00f9 sottovalutata:<\/p>\n\n\n\n

            le autorizzazioni.<\/strong><\/p>\n\n\n\n

            Approve e Allowance sono diventati l\u2019equivalente di lasciare la porta di casa aperta, ma con una differenza:<\/p>\n\n\n\n

            la porta aperta non \u00e8 visibile.<\/p>\n\n\n\n

            E nel mondo crypto, ci\u00f2 che non \u00e8 visibile \u00e8 ci\u00f2 che uccide.<\/p>\n\n\n\n

            Per questo il concetto deve essere chiaro, netto, definitivo:<\/p>\n\n\n\n

            \n

            Il wallet non viene svuotato quando perdi la seed.
            Il wallet viene svuotato quando concedi il permesso sbagliato.<\/strong><\/p>\n<\/blockquote>\n\n\n\n

            E spesso quel permesso lo concedi con un click, senza nemmeno capire che hai firmato una condanna.<\/p>\n\n\n\n

            \n\n\n\n

            X-Reports \u2013 Security Intel<\/strong>
            Independent Security Researcher (Ing. Nicola Nigro)<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

            la Firma che Svuota il Wallet Senza Rubarti la Seed Categoria: X-Reports \u2013 Security IntelAutore: Independent Security Researcher (Ing. Nicola Nigro) Nel mondo crypto esiste una convinzione pericolosa, quasi religiosa: \u201cSe nessuno ha la mia seed phrase, nessuno pu\u00f2 rubarmi nulla.\u201d \u00c8 una frase rassicurante.Eppure \u00e8 una delle pi\u00f9 sbagliate. Oggi la maggior parte dei […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-326","post","type-post","status-publish","format-standard","hentry","category-crypto"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/nicolanigro.com\/invention\/wp-json\/wp\/v2\/posts\/326","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nicolanigro.com\/invention\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/nicolanigro.com\/invention\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/nicolanigro.com\/invention\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nicolanigro.com\/invention\/wp-json\/wp\/v2\/comments?post=326"}],"version-history":[{"count":1,"href":"https:\/\/nicolanigro.com\/invention\/wp-json\/wp\/v2\/posts\/326\/revisions"}],"predecessor-version":[{"id":327,"href":"https:\/\/nicolanigro.com\/invention\/wp-json\/wp\/v2\/posts\/326\/revisions\/327"}],"wp:attachment":[{"href":"https:\/\/nicolanigro.com\/invention\/wp-json\/wp\/v2\/media?parent=326"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/nicolanigro.com\/invention\/wp-json\/wp\/v2\/categories?post=326"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/nicolanigro.com\/invention\/wp-json\/wp\/v2\/tags?post=326"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}