Il 27 maggio 2026 un attacco coordinato ha svuotato 431 wallet software per circa 3,1 milioni di dollari sfruttando una debolezza strutturale nascosta per anni: generatori di numeri pseudocasuali insicuri usati nella creazione di alcune app mobili. La disclosure di Coinspect, pubblicata nei primi giorni di luglio, rivela che il problema non è un bug correggibile ma un difetto di progettazione radicato nella seed phrase stessa, immutabile dal momento della generazione.
- 2.114 indirizzi vulnerabili sono stati identificati con attività on-chain su almeno sei blockchain al 30 giugno 2026.
- I wallet hardware come Ledger e Trezor non sono interessati; il rischio è concentrato su app mobili meno note, alcune attive dal 2018.
- Coinspect ha riprodotto l'attacco end-to-end generando l'intero set di seed phrase deboli e confrontandolo con la blockchain.
- Non esiste patch: aggiornare l'app o reimportare la stessa frase in un altro software non risolve il problema.
Il meccanismo: quando il caso non è casuale
La sicurezza dello standard BIP-39, che regola la generazione delle seed phrase per wallet self-custody, dipende da un'entropy iniziale di 128-256 bit prodotta da un generatore crittograficamente sicuro (CSPRNG). Alcuni wallet software mobili hanno invece implementato PRNG deterministici con seeding prevedibile, tipicamente basato su timestamp di sistema o altri input facilmente enumerabili.
La conseguenza è una riduzione drastica dello spazio delle chiavi: da 2^128 combinazioni teoriche a un insieme finito e calcolabile. Un attaccante che ricostruisce il pattern del PRNG può rigenerare tutte le seed phrase possibili, derivare gli indirizzi pubblici su ogni chain supportata e confrontarli con la blockchain per individuare quelli con saldo. Lo stesso attacco, una volta eseguito, espone simultaneamente tutte le derivazioni di quella seed: Bitcoin, Ethereum, Tron, Rootstock, Polygon, Solana e potenzialmente altre.
Coinspect ha documentato questa riproduzione end-to-end: ha generato il set completo di frasi deboli, ha derivato gli indirizzi corrispondenti e li ha messi in corrispondenza con i dati on-chain. Il risultato è il set "Ill Bloom Exposed Address Set 1 of June 2026", che al 30 giugno contava 2.114 indirizzi con attività rilevabile.
I numeri dello sweep e i movimenti successivi
L'attacco del 27 maggio ha colpito in modo asimmetrico: Bitcoin ha assorbito la maggior parte delle perdite, con circa 2,57 milioni di dollari sottratti. Un singolo indirizzo ha perso oltre 1,1 milioni di dollari. Ethereum, Tron e le altre chain hanno contribuito al restante importo complessivo.
"Se fondi si sono mossi recentemente senza il tuo permesso, questa vulnerabilità potrebbe essere il motivo." — Coinspect
Nel periodo successivo al 27 maggio, fonti concordanti hanno riportato movimenti aggiuntivi per circa 2 milioni di dollari da indirizzi esposti. La distinzione tra furto attivo e migrazione preventiva degli utenti resta non determinata: parte di quei movimenti potrebbe rappresentare utenti che hanno risposto all'alert trasferendo fondi su wallet sicuri. TechTimes ha presentato una cifra complessiva di 5 milioni di dollari come totale unico, un framing leggermente diverso che non distingue tra queste due componenti.
Il piccolo storico del set esposto era stato raggiunto nell'aprile 2022, con circa 12,56 milioni di dollari concentrati negli indirizzi vulnerabili. Il declino successivo non indica risoluzione del problema, ma piuttosto variazioni di mercato e movimenti naturali dei fondi.
Cosa fare adesso
Per utenti con wallet self-custody creati su app mobili meno note, specialmente prima del 2025, le azioni documentate sono quattro.
Verificare l'esposizione. Coinspect ha pubblicato su illbloom.org un tool gratuito che richiede solo l'indirizzo pubblico, mai la seed phrase o la chiave privata. Il controllo è non interattivo con il wallet e non espone dati sensibili.
Creare un nuovo wallet con entropia corretta. La remediation ufficiale è generare una nuova seed phrase con un software o hardware wallet verificato, preferibilmente con audit crittografico pubblico.
Trasferire i fondi. La migrazione completa del saldo sul nuovo indirizzo è l'unica misura efficace documentata. Reimportare la stessa seed phrase in un'app diversa non elimina la debolezza.
Rimanere vigili sui tentativi di scam. Coinspect ha esplicitamente dichiarato che non richiederà mai seed phrase, chiavi private, firme o trasferimenti a indirizzi di "recupero". Ogni richiesta di questo tipo è fraudolenta.
Il vuoto normativo sui generatori di entropia
L'episodio Ill Bloom mette in luce una lacuna strutturale dello standard BIP-39: non impone l'uso di CSPRNG, lasciando l'implementazione alla discrezione del vendor. Il risultato è un ecosistema dove la qualità della generazione di entropia varia in modo invisibile all'utente, e dove wallet con interfacce identiche possono nascondere fondamenta crittografiche radicalmente diverse.
Il confronto con classi precedenti di vulnerabilità simili — Milk Sad nel 2023 e Randstorm nel 2024 — non attenua la gravità del caso. Anzi, la persistenza di questo pattern di falla suggerisce che l'industria non abbia sviluppato meccanismi efficaci di verifica indipendente sulla componente più sensibile del wallet: il momento della sua nascita crittografica.
Il nome "Ill Bloom" deriva da "illness blossom", la prima frase debole prodotta dal generatore difettoso analizzato — una convenzione che rispecchia quella stabilita con "milk sad". La poesia involontaria maschera un problema di ingegneria del software che riguarda direttamente la sovranità finanziaria promessa dalla self-custody.
Domande frequenti
Come faccio a sapere se il mio wallet è a rischio?
Il tool ufficiale su illbloom.org verifica l'esposizione in base all'indirizzo pubblico. Se il wallet è stato creato con hardware wallet Ledger o Trezor, l'evidenza attuale esclude il rischio. Per app mobili meno note, specialmente se utilizzate dal 2018 in poi, la verifica è raccomandata.
Perché non basta aggiornare l'app?
La debolezza è nella seed phrase generata al momento della creazione, non nel software che la utilizza. La seed phrase contiene l'entropy iniziale: se quella è prevedibile, qualsiasi app che la importi eriverà gli stessi indirizzi esposti.
I wallet mainstream come MetaMask o Trust Wallet sono vulnerabili?
Secondo Coinspect, "ulteriori ricerche indicano che la maggior parte dei software wallet attuali non è vulnerabile". Il rischio è concentrato su applicazioni meno note che non hanno pubblicato audit crittografici sulla generazione di entropia.
Fonti
- https://thehackernews.com/2026/07/attackers-exploit-ill-bloom.html
- https://it.finance.yahoo.com/notizie/vulnerabilit%C3%A0-ill-bloom-sottrae-3-063905701.html
- https://www.techtimes.com/articles/319796/20260706/crypto-wallets-lose-5m-broken-random-number-generator-ill-bloom-disclosure.htm
- https://beincrypto.com/ill-bloom-vulnerability-crypto-wallets/
- https://www.tradingview.com/news/cointelegraph:e1ab8d173094b:0-thousands-of-crypto-wallets-at-risk-from-ill-bloom-vulnerability-coinspect/
- https://crypto.news/coinspect-warns-ill-bloom-flaw-may-drain-more-crypto-wallets/
- https://thehackernews.com/
- https://thehackernews.com/p/upcoming-hacker-news-webinars.html
- https://thehackernews.com/search/label/Threat%20Intelligence
- https://thehackernews.com/search/label/Vulnerability
- https://thehackernews.com/search/label/Cyber%20Attack
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.