SSP Editorial Team

Cos'è WalletConnect e come funziona con SSP

·7 min di lettura·Di SSP Editorial Team
QR code di WalletConnect che collega l'estensione SSP Wallet e l'app SSP Key a una dApp.

Cos'è WalletConnect e come funziona con SSP

Se hai mai aperto un exchange decentralizzato, un marketplace di NFT o un'app di prestiti e visto un pulsante "Connect Wallet" accanto a un QR code, hai già incontrato WalletConnect. È l'impianto silenzioso che collega i wallet autocustodiali alle applicazioni che le persone usano davvero. Per un utente di SSP la domanda non è solo "cos'è WalletConnect", ma "cosa cambia nella mia sicurezza quando lo uso, e cosa resta uguale?"

La risposta breve: WalletConnect è la porta. Le tue chiavi, e la protezione 2-of-2 di SSP, restano esattamente dove erano.

Cos'è davvero WalletConnect

WalletConnect è un protocollo aperto per spostare richieste di firma tra un'applicazione decentralizzata (una dApp) e un wallet. Non è un custode. Non detiene fondi. Non vede la tua frase seed né le tue chiavi private. Quando un wallet e una dApp si connettono tramite WalletConnect, i due endpoint stabiliscono una sessione cifrata attraverso una rete di relay, e i messaggi viaggiano avanti e indietro su quella sessione. Il relay vede solo blocchi cifrati; solo i due endpoint possono leggerli.

È usato praticamente ovunque nell'ecosistema, ed è per questo che un singolo flusso lato wallet ti accompagna attraverso centinaia di app senza dover imparare un nuovo percorso ogni volta. Il protocollo è documentato in modo aperto su docs.walletconnect.com, e puoi trovare un ampio catalogo di app compatibili con WalletConnect su ethereum.org/en/dapps.

Il flusso di base, passo dopo passo

Il rituale di connessione è quasi sempre lo stesso, indipendentemente dalla dApp che stai usando.

  1. La dApp mostra un'opzione "Connect Wallet" e presenta un QR code, oppure — se sei su mobile — un deep link.
  2. Apri SSP, scegli di connetterti a una dApp e scansiona il QR code (o segui il link).
  3. SSP ti mostra cosa sta chiedendo la dApp: una sessione, il tuo indirizzo, la catena su cui ti stai connettendo.
  4. Approvi la sessione. Tra SSP e la dApp c'è ora un canale cifrato aperto.
  5. Quando esegui un'azione sulla dApp che richiede una firma — uno swap, un'approvazione di token, un deposito — la dApp invia una richiesta di firma attraverso il canale. SSP ti mostra esattamente cosa viene chiesto.
  6. Tu decidi. Se approvi, il processo di firma viene eseguito in SSP e la transazione firmata torna alla dApp, che la trasmette.
  7. Quando hai finito, disconnetti la sessione.

Il punto importante: la dApp non chiede mai le tue chiavi private. Chiede firme. Ogni firma è una decisione separata che prendi nel tuo wallet.

Come il modello di firma si applica a SSP

Qui SSP cambia il quadro in un modo che la maggior parte dei wallet non può replicare. In un wallet tipico a firma singola, ogni richiesta di firma è un'unica approvazione nell'UI del wallet — rapida, ma anche un unico punto di rottura. Se quel singolo dispositivo viene compromesso o tocchi "approva" su una richiesta ostile, la firma avviene.

SSP è un wallet multisig 2-of-2. La chiave 1 vive nell'estensione browser SSP Wallet. La chiave 2 vive sul tuo telefono, nell'app mobile SSP Key. Ogni transazione richiede entrambe le chiavi, ogni volta. Questo modello non scompare quando usi WalletConnect — si estende anche a esso.

Quando una dApp invia una richiesta di firma tramite WalletConnect:

  • La richiesta arriva prima all'estensione SSP Wallet sul tuo computer.
  • Esamini cosa la dApp ti sta chiedendo di firmare — il contratto, l'importo, la catena, il calldata se scegli di visualizzarlo.
  • La approvi sull'estensione. L'estensione produce la sua quota di firma.
  • La richiesta viene inviata a SSP Key sul tuo telefono per la cofirma. Vedi gli stessi dettagli lì.
  • La approvi sul telefono. SSP Key produce la sua quota.
  • Le due quote si combinano in un'unica firma valida, che viene restituita alla dApp.

Sulle catene UTXO questo avviene come una firma multisig BIP-48; sulle catene EVM (Ethereum, Polygon, Base, BNB Smart Chain, Avalanche) è una firma 2-of-2 aggregata con Schnorr, verificata da uno smart account ERC-4337. Crittografia diversa, stessa proprietà: due dispositivi, due approvazioni, una transazione. Se vuoi approfondire il lato EVM, vedi l'architettura di account abstraction di SSP, e per il concetto fondamentale, cos'è il multisig 2-of-2.

Una dApp di phishing che inganni l'estensione deve comunque superare il tuo telefono. È esattamente questo il punto.

Implicazioni di sicurezza da conoscere

WalletConnect non indebolisce la tua sicurezza; cambia a cosa devi fare attenzione. I rischi qui sotto non sono esclusivi di WalletConnect, ma una dApp connessa è un luogo comune dove incontrarli.

dApp di phishing. Chiunque può costruire un sito che sembri un protocollo popolare e chiederti di connetterti. Il wallet non ha modo di sapere quale sia quello vero. Conferma sempre di essere sul dominio corretto prima di connetterti. Salva nei segnalibri le app che usi; non raggiungerle da annunci di ricerca o link nelle chat.

Richieste di firma malevole. Una volta aperta una sessione, una dApp può chiedere firme arbitrarie. Un'interfaccia di swap può presentarti un'approvazione di token che dia a un contratto sconosciuto il permesso di svuotare un saldo di token. Leggi ciò che SSP ti mostra. Se una richiesta di firma sembra sconosciuta — un contratto che non riconosci, un'approvazione illimitata, un trasferimento verso un indirizzo che non è il tuo — rifiutala. La revisione 2-of-2 sul tuo telefono è la tua seconda occasione per accorgertene.

Firma cieca. A volte i dati firmati sono opachi — una lunga stringa hex che non si decodifica in campi leggibili. Tratta con sospetto le richieste di firma cieca. Preferisci le app che ti mostrano l'intento leggibile di ciò che stai firmando.

Confusione tra link e app. WalletConnect è un protocollo. Molti wallet lo implementano. Un sito che dice "Use WalletConnect" non è un segnale di fiducia legato a un marchio — è uno standard di impiantistica. Non confondere "la dApp usa WalletConnect" con "la dApp è sicura".

Permessi delimitati. Una sessione può essere limitata a catene e metodi specifici. Quando SSP ti mostra la richiesta di sessione, guarda cosa viene chiesto. Non c'è nulla di male nel rifiutare una sessione che chiede più di quanto l'app abbia realmente bisogno.

Sessioni dimenticate. Una sessione che hai dimenticato è comunque una sessione. Se il frontend di una dApp viene poi compromesso, una sessione attiva è un punto d'appoggio. Prendi l'abitudine di disconnettere quando hai finito.

Abitudini concrete che fanno funzionare il tutto

Poche piccole discipline mantengono pulito l'uso di WalletConnect.

  • Verifica l'URL della dApp prima di scansionare un QR code di connessione. Digita i nomi di dominio invece di cliccare link da chat o annunci.
  • Leggi ogni richiesta di firma. Quale contratto viene chiamato? Su quale catena? Per quale importo? Un'approvazione illimitata di token è cosa diversa da una a importo fisso — entrambe possono essere legittime, ma devi sapere quale stai firmando.
  • Usa la conferma sul telefono come secondo sguardo. Se la richiesta sembrava ok sul computer ma strana sul telefono, rifiutala. Due dispositivi significano due occasioni di accorgersene.
  • Disconnetti le sessioni quando hai finito. SSP ti offre l'elenco delle sessioni; trattalo come un elenco di porte aperte.
  • Preferisci app affidabili con uno storico di audit. Orientati verso protocolli che esistono da tempo, che pubblicano audit e che non richiedono flussi di accesso oltre un handshake WalletConnect standard.
  • Tieni la tua frase seed fuori da qualsiasi flusso di dApp. Nessuna dApp legittima ha mai bisogno della tua frase seed. Le richieste di firma sono il modo in cui le dApp parlano al tuo wallet; tutto ciò che chiede la seed è una truffa. Vedi le buone pratiche sulla frase seed per approfondire.
  • Se ti stai connettendo su Ethereum, valgono le stesse regole specifiche di catena su gas, nonce e interazioni con i contratti — Ethereum in SSP copre i dettagli lato catena.

Tirare le fila

WalletConnect è la porta tra SSP e l'ecosistema delle dApp. È cifrato, open source e usato dalla maggior parte dei wallet e protocolli che incontrerai. Non cambia dove vivono le tue chiavi, e non indebolisce il modello 2-of-2 di SSP. Ogni transazione richiesta da una dApp deve comunque passare sia per l'estensione del tuo browser sia per il tuo telefono — è la proprietà di sicurezza che hai acquisito scegliendo SSP, e ti accompagna su ogni dApp a cui ti connetti.

Le chiavi restano con te. La porta è aperta solo per il tempo in cui la attraversi.

Condividi questo articolo

Articoli correlati

Flussi di acquisto, vendita e swap SSP sopra un wallet multisig 2-di-2

Scambiare crypto da SSP: acquisto, vendita e swap spiegati

Acquistare, vendere e fare swap da SSP: differenze tra on-ramp, off-ramp, aggregator integrato e dApp DEX, mentre il tuo multisig 2-di-2 firma tutto.

7 min read
Illustrazione quadrata di una quotazione di swap che diventa un importo finale diverso a causa di price impact e slippage.

Slippage e price impact, spiegati

Perché uno swap si chiude a un prezzo diverso dal quotato, cosa fa la slippage tolerance e come ragionarla in SSP.

7 min read
Illustrazione quadrata che mostra lo schema di attacco sandwich MEV

MEV: frontrunning, sandwiching e come proteggerti

MEV spiegato agli utenti di auto-custodia: cosa sono frontrunning e attacchi sandwich, chi è a rischio e le abitudini che riducono la tua esposizione.

7 min read