Le exchange non falliscono in un solo modo. Falliscono in sette. La maggior parte degli utenti scopre il prossimo modo di fallimento solo quando lo subisce: il cliente FTX che poteva prelevare lunedì ma non mercoledì, il creditore Mt. Gox che aspetta ancora undici anni dopo, l'utente in un paese sanzionato che ha effettuato il login e ha trovato il saldo bloccato.
Questo è il terzo articolo della serie Self-Custody Fundamentals. Il primo, not your keys, not your coins, ha esposto la tesi. Il secondo, custodial vs. non-custodial wallets, ha tracciato la linea. Questo inventaria i modi di fallimento reali: come si presenta ciascuno, quando è successo, e cosa puoi fare prima che succeda a te.
TL;DR
- Una exchange è un custodian. Un custodian può fallire in almeno sette modi distinti, e i fallimenti tendono a sommarsi.
- I sette modi: insolvenza, hack, congelamento regolatorio, exit scam, sanzioni, blocco KYC/account e sospensione dei prelievi.
- Ogni modo ha precedenti storici — Mt. Gox, FTX, Celsius, Bitfinex, QuadrigaCX, Bitzlato, BitMart e molti altri.
- Assicurazione, regolamentazione e "audit" non eliminano nessuno di questi modi. Cambiano chi decide l'ordine dei pagamenti nel fallimento, non se il fallimento avviene.
- La copertura per ogni modo è la stessa: tieni le chiavi tu, su dispositivi che non dipendano da una singola venue che rimanga solvente, online e legalmente in regola.
Modo 1 — Insolvenza
L'exchange resta senza i soldi dovuti ai clienti. È il fallimento canonico, e quello che gli utenti retail sottostimano di più, perché la UI continua a mostrare i saldi corretti fino al momento in cui i prelievi si fermano.
L'insolvenza arriva per le ragioni noiose per cui falliscono le banche (prestiti pessimi, mismatch di duration tra hot/cold wallet) e per quelle specifiche del cripto (un braccio venture che faceva anche da market maker, una tesoreria di token usata come collaterale, un saldo interno di "liquidità" in un token proprio). La cascata del 2022 — Celsius, Voyager, BlockFi, FTX — è stata una cascata di insolvenze.
Il segnale che ricevi: i prelievi vengono sospesi "per gestire i deflussi", un dirigente twitta che i fondi sono al sicuro, e da due a sette giorni dopo viene depositato il Chapter 11. I fondi non erano al sicuro. Erano stati prestati, ipotecati o non erano mai esistiti come saldi identificabili on-chain.
Quello che ti resta: un credito, denominato in quello che sceglie il tribunale (spesso in USD alla data della petizione, non al valore attuale dell'asset). I creditori Mt. Gox hanno ricevuto distribuzioni a partire dal 2024 — undici anni dopo il fallimento. I clienti FTX hanno ottenuto risultati migliori e più rapidi, ma comunque liquidati in dollari alla data di petizione, perdendo il bull market successivo.
Modo 2 — Hack
Le hot wallet (o in alcuni casi le cold wallet) dell'exchange vengono svuotate da un attaccante. Diverso dall'insolvenza perché il business sottostante era solvente la mattina dell'attacco; diverso da un exit scam perché l'operatore è la vittima, non il colpevole.
Esempi storici: Mt. Gox (2014, ~850k BTC), Bitfinex (2016, ~120k BTC, in parte recuperati nel 2022), Coincheck (2018, $530M in NEM), KuCoin (2020, $280M), Bitmart (2021, $200M), Ronin Bridge (2022, $625M), DMM Bitcoin (2024, $305M), WazirX (2024, $230M).
Quello che succede dopo dipende da chi porta la perdita. Alcune exchange (Binance via SAFU, Bitfinex con token post-hack) hanno socializzato la perdita e indennizzato i clienti nel tempo. Altre (Mt. Gox) non hanno potuto. Lo schema: se l'exchange sopravvive, alla fine recuperi qualcosa, potenzialmente meno del 100%. Se non sopravvive, vedi Modo 1.
Superfici d'attacco comuni: compromissione della chiave hot wallet (la più comune), ingegneria sociale su un admin interno, attacco supply-chain sull'infrastruttura di trading o di firma, bug di smart contract su un bridge connesso. Il rapporto cold/hot che l'exchange pubblica (quando lo fa) è un indicatore parziale, non una garanzia: vedi il caso WazirX 2024 dove il bersaglio è stata l'infrastruttura di firma multisig, non il confine del wallet.
Modo 3 — Congelamento regolatorio
Un tribunale, un regolatore o un'agenzia governativa ordina all'exchange di sospendere i prelievi o congelare account specifici. L'exchange funziona normalmente — solvente, non hackerata — ma legalmente non può restituire fondi finché l'ordine non si risolve.
Si presenta in due sapori. Mirato: un account specifico è congelato per un ordine del tribunale, un alert AML o un'indagine (frequente, di solito si risolve in settimane o mesi). Generalizzato: tutta l'exchange o gli account di un paese vengono congelati in attesa di un'azione regolatoria.
Esempi del sapore generalizzato: BitMEX (2020, azione CFTC ha limitato gli utenti US), Bittrex (2023, enforcement SEC, gli utenti US avevano una deadline di prelievo), Binance.US (2023-2024, pressione regolatoria ha limitato funzionalità e prelievi), vari congelamenti di account russi su exchange europee dopo le sanzioni 2022. Il sapore mirato è rumore di fondo costante; gli utenti se ne accorgono quando tentano un prelievo e parte una ri-verifica KYC inattesa.
Cosa puoi fare durante un congelamento: di solito aspettare. A volte puoi trasferire su un'altra piattaforma, a volte no. Il congelamento non annulla il tuo credito, ma significa che l'asset è illiquido per un periodo indefinito — abbastanza a lungo perché il prezzo a cui poi lo ricevi sia irriconoscibile.
Modo 4 — Exit scam
L'operatore se ne va. Distinto da un hack perché l'exchange stessa è l'attaccante; distinto dall'insolvenza perché i fondi esistevano ma sono stati sottratti intenzionalmente, non persi in scommesse sbagliate.
Due pattern storici. Il rug diretto: un'exchange piccola o media va offline in una notte con i fondi clienti spariti — esempi: WEX (Russia, 2018, ~$450M dopo il rilancio come BTC-e), Africrypt (Sudafrica, 2021, ~$3.6B rivendicati) e una lunga coda di venue minori. L'uscita lenta: l'operatore muore, scompare o diventa irraggiungibile detenendo l'unico set di chiavi cold wallet — il caso QuadrigaCX (Canada, 2019, ~$190M CAD bloccati alla morte del CEO Gerald Cotten con custodia unica) è l'archetipo, e l'indagine successiva ha concluso che la "morte" era secondaria: l'operazione era frode ben prima.
Il segnale: proprietà opaca, relazioni bancarie non documentate, niente audit, niente proof-of-reserves pubblicata, limiti di prelievo inusuali per la dimensione dichiarata. Nessuno è da solo squalificante, ma la combinazione sì. Sii particolarmente cauto con exchange in cui una sola persona è pubblicamente l'intera azienda.
Modo 5 — Sanzioni
Il tuo account va bene. La tua giurisdizione no. Un regime di sanzioni — OFAC negli USA, equivalenti in UE, Regno Unito, ONU — aggiunge il tuo paese o una persona collegata a una lista designata. L'exchange è ora legalmente obbligata a bloccare il tuo accesso, spesso senza preavviso.
Si è ripetuto dal 2022 in poi. Utenti iraniani, russi, bielorussi e venezuelani hanno affrontato blocchi improvvisi su exchange importanti man mano che arrivavano nuovi pacchetti di sanzioni. Il sequestro di Bitzlato (gennaio 2023, designazione FinCEN, account congelati, infrastruttura sequestrata in coordinamento con le autorità francesi) è un esempio particolarmente chiaro: l'exchange stessa era l'entità designata e ogni account è diventato istantaneamente irraggiungibile.
Le sanzioni non colpiscono solo gli stati. Gli indirizzi Tornado Cash sono stati designati da OFAC nel 2022; le exchange che hanno toccato indirizzi segnalati hanno passato le conseguenze agli utenti. Se vivi in una giurisdizione sanzionata, o transi con indirizzi sanzionati (anche inconsapevolmente, ricevendo un UTXO contaminato), il custodian si fa carico del rischio e lo risolverà chiudendoti l'accesso.
Modo 6 — Blocco KYC / account
Sei soggetto individualmente a un blocco KYC o AML. Non sei sanzionato, l'exchange non è congelata, ma una transazione specifica o un profilo di account ha innescato una revisione. Il tuo account è bloccato in attesa dell'invio di documenti, che richiede da 48 ore a mai.
Trigger comuni: un deposito da un indirizzo "ad alto rischio" (un'exchange che il team compliance non gradisce, un mixer, una privacy pool), un pattern di prelievi che corrisponde a uno schema di structuring, un cambio di paese sull'IP, un login da nuovo dispositivo, un cambio di nome sul documento. Il fornitore di compliance ti segnala, la coda di revisione è in ritardo, e tu aspetti.
Il segnale: un banner nell'app, talvolta un'email che chiede una nuova foto del documento e un selfie. L'attrito è il punto: molti utenti abbandonano un KYC parziale e perdono l'accesso completamente. Per account di valore più alto, la revisione può chiedere documentazione sull'origine dei fondi, estratti conto bancari e spiegazioni di transazioni di anni fa.
Il rischio non è il disagio temporaneo. È che il blocco può essere a tempo indeterminato, e durante questo i tuoi asset sono illiquidi. L'exchange non sta facendo nulla di sbagliato regolatoriamente: sta facendo ciò che le viene richiesto. L'asimmetria è che il costo lo sostieni tu.
Modo 7 — Sospensione dei prelievi
L'exchange sospende i prelievi "temporaneamente, per manutenzione". A volte è letteralmente vero — rotazione di chiave hot wallet, upgrade di chain, mitigazione di congestione — e i prelievi riprendono in ore. A volte è il primo sintomo visibile del Modo 1.
Non puoi sapere quale sia in anticipo. Lo stesso banner compare in entrambi i casi. Mt. Gox sospese i prelievi citando problemi di "transaction malleability" a febbraio 2014 e fallì tre settimane dopo. FTX sospese i prelievi a novembre 2022 citando "volumi estremamente alti" e depositò Chapter 11 entro pochi giorni. Celsius sospese i prelievi a giugno 2022 citando "condizioni di mercato estreme" e depositò Chapter 11 un mese dopo.
Questo è il modo che trasforma gli altri da rischio di fondo in perdita immediata. Puoi avere un credito verso un'exchange insolvente e recuperare in parte. Puoi perdere accesso durante un blocco da sanzioni e recuperarlo. Ma durante la sospensione — i giorni o le settimane prima di sapere in che modo sei davvero — i tuoi asset sono irraggiungibili. Il pattern Mt. Gox/FTX/Celsius mostra che il tempo tra una sospensione e la piena comprensione può andare da 12 ore a 11 anni.
Cosa significa per te
Questi sette modi non sono casi limite. Sono i modi di operare normali del business dell'exchange custodial. Ogni utente cripto di lungo corso è stato dal lato sbagliato di almeno uno; molti ne hanno toccati diversi.
La copertura per tutti e sette è la stessa: tieni chiavi che controlli, su dispositivi che controlli, dietro un setup di recovery che capisci. Non c'è un modo furbo di usare un'exchange che eviti questi modi — i modi sono intrinseci al modello. L'inquadramento giusto è operativo: usa le exchange per ciò in cui sono brave (rampe fiat, trading regolato, profondità), e non tenere lì saldi significativi più del necessario.
Il multisig 2-di-2 di SSP affronta i modi di fallimento equivalenti sul lato self-custody — perdita di un dispositivo, compromissione di chiave, perdita di accesso in viaggio — dividendo il requisito di firma tra due dispositivi invece di concentrarlo in uno. Best practice di seed phrase copre il livello recovery sotto.
Il prossimo articolo della serie, what self-custody actually requires of you, è la controparte onesta di questo: un'exchange può fallire in sette modi, e la self-custody può fallire in alcuni suoi propri. Il punto non è che una sia priva di rischio. È che sei tu a scegliere quale insieme di rischi porti.
