Cold storage: quanti fondi sono davvero al sicuro offline?
Zenvaultex dichiara di mantenere il 95% dei fondi degli utenti in cold storage, ovvero su wallet offline non accessibili da internet. Questa percentuale è superiore alla media del settore (tipicamente 80-90%) e viene attestata nel report mensile di proof-of-reserves. Il restante 5% resta in hot wallet per garantire la liquidità necessaria ai prelievi giornalieri. Per verificare questa affermazione in modo indipendente, è possibile consultare il report Merkle tree pubblicato sul sito di Zenvaultex e verificare che il totale degli asset attestati corrisponda ai saldi dichiarati.
Autenticazione e protezione dell'account
Zenvaultex rende obbligatoria l'autenticazione a due fattori (2FA) per tutti gli account — non opzionale, obbligatoria. Sono supportati sia i codici TOTP (Google Authenticator, Authy) sia le chiavi hardware FIDO2/WebAuthn. La piattaforma implementa inoltre una whitelist per gli indirizzi di prelievo: ogni nuovo indirizzo aggiunto richiede una verifica via email e un periodo di blocco di 24 ore prima che possa essere utilizzato. Questo meccanismo riduce significativamente il rischio di prelievi non autorizzati anche in caso di compromissione delle credenziali.
Proof-of-reserves: come verificarlo autonomamente
Il proof-of-reserves (PoR) è lo strumento più concreto per verificare che una piattaforma detenga effettivamente i fondi che dichiara. Zenvaultex pubblica il proprio PoR tramite attestazione Merkle tree il primo giorno lavorativo di ogni mese. Per verificare che i propri fondi siano inclusi nella prova, l'utente deve accedere alla sezione 'Security' del proprio account, copiare il proprio Merkle leaf hash e confrontarlo con il root hash pubblicato nel report mensile. La procedura richiede circa 5 minuti e non necessita di competenze tecniche avanzate.
Storico degli incident e trasparenza nella comunicazione
Una delle domande più importanti sulla sicurezza di una piattaforma riguarda come ha gestito i problemi del passato. Zenvaultex ha subito un incident minore nel settembre 2024, quando un tentativo di SQL injection è stato bloccato dal sistema di intrusion detection. L'incident è stato comunicato pubblicamente entro 48 ore con un post-mortem dettagliato che descriveva la vulnerabilità, le misure prese e i sistemi aggiornati. Nessun fondo utente è risultato compromesso. La trasparenza nella comunicazione di questo incident è un segnale positivo sulla maturità operativa della piattaforma.
Cosa manca ancora rispetto ai leader del settore
Il confronto con le piattaforme più consolidate evidenzia due lacune significative. Prima: Zenvaultex non dispone di una polizza assicurativa esplicita per i fondi degli utenti contro furto o hack — Coinbase, ad esempio, copre i fondi in hot wallet tramite una polizza commerciale con Lloyd's fino a 250 milioni di dollari. Seconda: la piattaforma non ha ancora pubblicato un penetration test condotto da terze parti indipendenti nel 2026, mentre la certificazione SOC 2 Type II risale al 2024. Questi elementi non rendono Zenvaultex insicura, ma la collocano un gradino sotto le piattaforme di primo livello sulla dimensione della sicurezza documentata.