Ritardi nella blacklist di Tether: elusi oltre 78 milioni di dollari in USDT illeciti

Un recente rapporto pubblicato da AMLBot, società specializzata nella conformità blockchain, ha acceso i riflettori su un’importante vulnerabilità nel meccanismo di blacklist di Tether (USDT). 

Secondo l’analisi, un ritardo sistemico nel processo di inserimento degli indirizzi nella lista nera ha permesso il trasferimento illecito di oltre 78 milioni di dollari in USDT prima che i fondi potessero essere congelati.

La procedura, che dovrebbe teoricamente bloccare in tempo reale gli indirizzi sospetti, presenta invece una finestra temporale critica tra l’avvio della segnalazione e l’effettiva esecuzione del blocco. 

Questo lasso di tempo, che può durare anche oltre 40 minuti, è stato sfruttato da attori malintenzionati per spostare fondi e sottrarli al congelamento.

Come funziona la blacklist di Tether (USDT)

Il sistema di blacklist di Tether opera attraverso una struttura multifirma su blockchain come Ethereum e Tron. Il processo si articola in due fasi principali:

• 1. Una prima transazione multifirma invia una chiamata pendente al contratto USDT-TRC20, segnalando pubblicamente un indirizzo come candidato alla blacklist.
• 2. Una seconda transazione, anch’essa multifirma, conferma l’azione e rende effettivo il blocco, emettendo l’evento “AddedBlackList”.

Questo meccanismo, pur essendo trasparente e tracciabile on-chain, introduce un ritardo operativo che può essere sfruttato da chi monitora costantemente le transazioni blockchain.

Il rapporto di AMLBot ha fornito un caso specifico per illustrare la vulnerabilità. Alle 11:10:12 UTC, una transazione ha segnalato un indirizzo sulla blockchain di Tron come candidato alla blacklist. 

Tuttavia, la conferma effettiva è arrivata solo alle 11:54:51 UTC, lasciando una finestra di ben 44 minuti durante la quale i fondi potevano essere spostati liberamente.

Questo intervallo, definito dagli analisti come una “finestra di attacco critica”, consente ai truffatori di anticipare l’azione di blocco e riciclare o trasferire i fondi prima che vengano congelati.

I dati raccolti da AMLBot mostrano che questa vulnerabilità non è solo teorica. Tra il 28 novembre 2017 e il 12 maggio 2025, oltre 28,5 milioni di dollari in USDT sono stati spostati durante i ritardi sulla blockchain di Ethereum. 

Su Tron, la cifra è ancora più alta: 49,6 milioni di dollari. In totale, quindi, 78,1 milioni di dollari sono stati trasferiti in modo illecito sfruttando il ritardo tra la segnalazione e il blocco effettivo. 

In media, ogni wallet coinvolto ha spostato oltre 365.000 dollari durante il ritardo su Ethereum, mentre su Tron la media si attesta a 291.970 dollari per wallet.

Wallet sospetti: un fenomeno non isolato

Secondo AMLBot, il fenomeno è tutt’altro che raro. Sulla blockchain di Tron, 170 wallet su 3.480 (circa il 4,88%) hanno sfruttato il ritardo per effettuare 2-3 trasferimenti prima di essere effettivamente bloccati. 

Questo dato evidenzia come l’inefficienza temporale del sistema di blacklist rappresenti una vulnerabilità concreta e sistematica.

Tether ha più volte sottolineato la propria capacità di congelare asset come strumento di conformità normativa. Nel corso del 2024, l’azienda ha collaborato con Tron e TRM Labs per congelare oltre 126 milioni di dollari in USDT legati ad attività illecite.

Tuttavia, il rapporto di AMLBot solleva dubbi sull’efficacia e soprattutto sulla tempestività di tali azioni. 

Il ritardo tra la segnalazione e l’esecuzione del blocco rappresenta un punto debole che può essere sfruttato da chi ha competenze tecniche e monitora in tempo reale le attività on-chain.

Alla domanda se il ritardo sia dovuto a limitazioni tecniche o a ritardi operativi da parte dei detentori delle chiavi dei wallet multifirma, i ricercatori di AMLBot hanno dichiarato di non poter fornire una risposta certa, non avendo accesso alle procedure interne di Tether.

Nel frattempo, Tether non ha rilasciato alcun commento ufficiale in merito al rapporto al momento della pubblicazione.

Conclusioni: la necessità di maggiore efficienza

Il caso sollevato da AMLBot mette in luce una problematica cruciale per il settore delle stablecoin e della finanza decentralizzata. Vale a dire la necessità di strumenti di conformità che siano non solo efficaci, ma anche tempestivi.

In un ecosistema dove le transazioni avvengono in pochi secondi, anche un ritardo di pochi minuti può fare la differenza tra il successo e il fallimento di un’azione di blocco. 

La trasparenza on-chain, se non accompagnata da reattività operativa, rischia di trasformarsi in un vantaggio per i malintenzionati.
Il rapporto di AMLBot rappresenta un campanello d’allarme per Tether e per tutte le piattaforme che gestiscono asset digitali. Ovvero che la sicurezza e la conformità devono evolversi alla stessa velocità delle tecnologie che le supportano.