Con Debifi hai accesso a liquidità fiat immediata senza rinunciare ai tuoi bitcoin.

Debifi è una piattaforma di prestiti Bitcoin-only e non-custodial. Depositi i tuoi bitcoin come collaterale in un escrow multisig 3-di-4: le chiavi sono distribuite tra te, il creditore, un key holder autorizzato e Debifi. Servono 3 firme su 4 per muovere i fondi - nessuno può toccare i tuoi bitcoin unilateralmente.

Puoi ottenere la liquidità anche senza KYC: scopri qui le offerte no-KYC.

Dimentica l’incubo del 33% di tasse sulle plusvalenze derivanti dalla vendita di bitcoin: il prestito non è un evento tassabile!

Scegli la durata del prestito, il LTV (la quota di bitcoin che impegni rispetto a quanto ricevi in fiat) e ricevi il prestito in euro, dollari o stablecoin.

Il codice è open source: puoi verificare tutto. Non vendere mai più i tuoi bitcoin!

Richiedi il tuo primo prestito da qui: https://debifi.com

Annuncio sponsorizzato

Spero lo abbiate già letto. Se non lo avete fatto, rimediate immediatamente.

Mi riferisco al comunicato con cui Anthropic ha annunciato, lo scorso aprile, Claude Mythos Preview: un modello talmente capace di trovare - e sfruttare da solo - le falle nel software che l’azienda ha deciso di non rilasciarlo al pubblico per due mesi, riservandolo a un gruppo di lavoro chiamato Project Glasswing insieme ad Apple, Google, Microsoft, NVIDIA, la Linux Foundation e una dozzina di altri nomi che gestiscono pezzi di infrastruttura critica del mondo.

Mythos ha tirato fuori un bug in OpenBSD che se ne stava lì, indisturbato, da 27 anni. Uno in FFmpeg - la libreria che decodifica praticamente ogni video che guardate - vecchio di 16 anni, sopravvissuto a ogni fuzzer e a ogni essere umano che aveva messo gli occhi su quel codice. Uno in FreeBSD che permetteva di prendere il controllo da remoto di una macchina, lì da 17 anni. E una falla in wolfSSL (CVE-2026-5194), una delle librerie crittografiche più diffuse, che consentiva di falsificare certificati.

Software che generazioni di ingegneri avevano considerato solido. Codice aperto, ispezionato, riletto migliaia di volte. E un modello ci passa sopra e trova in pochi giorni quello che nessuno aveva visto in un quarto di secolo.

La conclusione a cui diversi esperti di cybersecurity stanno arrivando è semplice: oggi pochissime cose possono essere considerate davvero sicure. Forse Bitcoin. E magari IPv4 - il vecchio protocollo che da 40 anni continuiamo a dare per spacciato e che continua, imperturbabile, a far funzionare Internet. Le uniche cose che reggono sembrano essere quelle vecchie, semplici e collaudate fino alla noia.

Tutto il resto è una superficie d’attacco che aspetta solo il modello giusto.

Il bagno di sangue delle shitcoin

Il caso che ha fatto più rumore è arrivato nei primi giorni di giugno e riguarda Zcash.

Un ingegnere della sicurezza, Taylor Hornby, ingaggiato dalla nonprofit Shielded Labs, stava rivedendo il circuito Orchard - il cuore zk-SNARK che rende “schermate”, cioè private, le transazioni di Zcash. Per farlo ha usato Claude Opus 4.8. Insieme hanno trovato quello che nessun crittografo aveva notato in quattro anni: un elemento del circuito non vincolato a dovere, che permetteva di far passare input falsi attraverso una verifica crittografica e di coniare ZEC contraffatti dentro il pool schermato. Senza lasciare traccia on-chain.

Tradotto: la possibilità di creare moneta dal nulla. Hornby ha costruito una prova di concetto funzionante che mintava ZEC falsi in un ambiente di test.

Gli sviluppatori sono corsi ai ripari con un fork d’emergenza che ha disattivato Orchard. Ma resta un dettaglio che fa accapponare la pelle: nessuno può dimostrare crittograficamente che il bug non sia mai stato sfruttato nei quattro anni in cui è rimasto aperto. L’integrità dell’offerta semplicemente non è verificabile a ritroso. Il mercato ha fatto i suoi conti in fretta: ZEC ha perso circa il 38% in un giorno.

Quella di Orchard è la più fragorosa, ma è anche solo l’ultima di una serie. Non è nemmeno la prima volta che capita a Zcash quest’anno: due mesi prima, a marzo, un altro ricercatore - Alex Sol, di nuovo con l’aiuto dell’AI - aveva trovato una falla distinta nel vecchio pool Sprout, che permetteva ai nodi di saltare del tutto la verifica delle prove, mettendo a rischio circa 25.000 ZEC (poco più di $6 milioni). Stessa shitcoin, due buchi in tre mesi.

A febbraio Octane, una società che fa auditing con l’AI, ha segnalato un bug ad alta severità in Nethermind, uno dei client su cui gira circa il 40% dei validatori di Ethereum: una transazione malformata bastava a mandarli down. La Ethereum Foundation ha pagato $50.000 di bounty.

Poi c’è il fronte degli smart contract veri e propri. In uno studio di red teaming pubblicato a maggio, gli agenti di Anthropic - mossi da Claude Sonnet 4.5 e GPT-5 - hanno passato al setaccio migliaia di smart-contract pubblicati su BNB Chain. Tra questi hanno trovato un servizio di lancio token che non validava l’indirizzo a cui inviare le commissioni: in pratica, chiunque poteva prosciugarle. Circa quattro giorni più tardi un attaccante umano ha trovato e sfruttato in autonomia esattamente la stessa falla.

Per ora i bottini di questi esperimenti sono piccoli, qualche centinaio o migliaio di dollari. Ma la cifra di oggi conta poco, conta la direzione. Il fondatore di OpenZeppelin, una delle principali società di audit del settore, lo ha detto senza giri di parole a fine maggio: gli agenti che scrivono codice sono «sovrumani nel trovare vulnerabilità». Ogni protocollo che impacchetta logica complessa - regole di consenso astruse, circuiti crittografici stratificati, smart contract con migliaia di righe di stato - è una distesa di codice che un modello può esplorare instancabilmente, ventiquattr’ore su ventiquattro, senza annoiarsi e senza un costo marginale che conti.

BitBox02 Nova Bitcoin Orange è la nuova edizione Bitcoin-only dell’hardware wallet open source progettato in Svizzera.

Compatibile con iPhone, iPad, Android e desktop, è pensato per custodire bitcoin in modo semplice, verificabile e senza compromessi.

Con il coupon BITCOINTRAIN ottieni il 5% di sconto su tutti i prodotti BitBox.

Annuncio sponsorizzato

Perché Bitcoin è ancora in piedi

A questo punto la domanda viene da sé. Se l’AI sta aprendo come scatolette le shitcoin, perché il layer base di Bitcoin è ancora lì, intonso?

La risposta è quasi imbarazzante nella sua semplicità: perché Bitcoin, nel suo strato fondamentale, è un software volutamente stupido.

Il suo linguaggio di scripting - in gergo - è Forth-like, stack-based e soprattutto non è Turing-complete. Ogni script termina in un tempo limitato e prevedibile. Un’intera famiglia di opcode - quelli che permettevano moltiplicazioni, concatenazioni, manipolazioni di bit - venne disabilitata nel 2010, ai tempi di Satoshi, per il timore che potessero contenere bug. La filosofia era chiara: meno cose il linguaggio può fare, meno modi esistono di romperlo.

Questo non significa che Bitcoin sia nato perfetto. Un bug grave c’è stato, ed è istruttivo. Il 15 agosto 2010 qualcuno generò una transazione che creava 184 miliardi di bitcoin dal nulla. La differenza con Zcash sta in come andò a finire: la falla venne individuata e una patch pubblicata entro cinque ore, la catena “buona” superò quella inflazionata nel giro di poche decine di blocchi, e di quei miliardi fantasma non rimase nulla. Da allora, niente di paragonabile.

Per anni questa frugalità è stata il bersaglio preferito dei critici. Il linguaggio di Bitcoin è troppo povero, dicevano. Non ci costruisci sopra niente di interessante, niente DeFi, niente contratti complessi. Oro digitale, va bene, ma moneta programmabile no. Ethereum nacque esplicitamente per superare quel limite, con una macchina virtuale Turing-completa su cui far girare qualunque cosa.

E qualunque cosa, in effetti, ci hanno fatto girare. Compresi gli errori. The DAO, nel 2016, perse 3,6 milioni di ETH e costrinse Ethereum a un hard fork che spaccò la community in due catene. Da allora il mondo degli smart contract è stato un poligono di tiro a cielo aperto: secondo Chainalysis, tra il 2021 e il 2025 gli exploit hanno sottratto qualcosa come $12-15 miliardi, quasi tutti a piattaforme programmabili e protocolli DeFi.

La complessità che doveva essere il vantaggio competitivo si è rivelata il debito. Ogni funzione in più è una riga in più che può sbagliare, ogni opcode in più è una mossa in più che un avversario può giocare, ogni contratto in più è una porta in più da sorvegliare. Più cose un sistema sa fare, più modi ci sono di farlo crollare.

Finora questo conto lo presentavano hacker umani, lenti e costosi, che potevano permettersi di studiare un bersaglio alla volta. Ora il revisore non si stanca, non dorme, lavora in parallelo su diecimila contratti e migliora a ogni versione.

“Una volta rilasciata la versione 0.1, il design di base è rimasto scolpito nella pietra per il resto della sua esistenza”, scriveva Satoshi nel 2010. All’epoca per qualcuno poteva suonare come un limite; oggi, la pietra è esattamente il posto sotto cui dovresti voler nascondere i tuoi risparmi.

Leave a comment

Quando mi chiedete dove comprare bitcoin, la mia prima risposta è sempre il mercato peer-to-peer: Bisq, HodlHodl, Robosats. Ma so che non tutti vogliono usare questi servizi. Se cercate un servizio immediato ma compatibile con i valori originali di Bitcoin, la mia scelta oggi è Bull Bitcoin. Iscrivendovi con il codice “federico” ottenete uno spread ridotto all’1,75% invece del 2%, per sempre. Potete farlo da qui.

Non-custodial, supporta Bitcoin on-chain, Lightning e Liquid. E potete anche spendere i vostri bitcoin per pagare qualsiasi IBAN in euro, senza passare da una banca.

I dati KYC sono su infrastruttura self-hosted, non vengono condivisi con agenzie fiscali, governi o terze parti. E continueranno a non collaborare finché qualcuno non si presenterà con un’ordinanza di un giudice in mano. È l’unico servizio in Europa di cui posso dire questo con certezza.