SłownikBezpieczeństwoPortfele

Phishing

Technika oszustwa polegająca na podszywaniu się pod zaufaną osobę, stronę lub usługę w celu nakłonienia ofiary do ujawnienia danych lub zatwierdzenia złośliwej akcji. W krypto nie wymaga łamania kryptografii — wystarczy jeden błąd człowieka.

Jak działa phishing w krypto

Fałszywe strony i podszywanie się pod aplikacje — atakujący klonują popularne frontendy DeFi piksel po pikselu i rejestrują prawie identyczne domeny (np. uniswap-app.com zamiast app.uniswap.org). Użytkownicy trafiają tam przez reklamy w wynikach wyszukiwania, linki na Discordzie lub literówki w URL.

Drainer scripts — skrypty JavaScript osadzone w fałszywych stronach. Gdy użytkownik łączy portfel i zatwierdza transakcję, drainer prosi o podpis transferujący wszystkie tokeny do atakującego. Wygląda jak standardowe zatwierdzenie lub 'claim' airdropa.

Phishing podpisów — najgroźniejszy wariant. Fałszywa strona prosi o podpisanie wiadomości EIP-712 lub permit, która autoryzuje atakującego do wydania tokenów — bez widocznej transakcji onchain. Użytkownik widzi 'prośbę o podpis', nie transakcję, i może być mniej ostrożny.

Złośliwe zatwierdzenie lub podpis permit wystarczy, żeby opróżnić portfel w przyszłości — bez dalszego działania ofiary. Jeśli podejrzewasz złośliwy approve, natychmiast odwołaj uprawnienia przez revoke.cash lub Etherscan Token Approvals.

Jak weryfikować ze jestes na prawdziwej stronie

  • Wchodź na DeFi przez zakładki lub wpisując URL ręcznie — nigdy przez reklamy w wyszukiwarce ani linki na czacie.
  • Sprawdzaj dokładną domenę w pasku adresu — atakujący liczą na literówki i podobne TLD (.org vs .com vs .io).
  • W popupie portfela przy łączeniu widzisz prawdziwą domenę strony — to ona ma znaczenie, nie co jest wyświetlone na stronie.
  • Oficjalny support nigdy nie pyta o seed phrase. Jeśli ktoś prosi, to scam.

Najczęstsze błędne założenia

  • Problem: Phishing to nie tylko email. Fałszywe strony, odpowiedzi na Twitterze, wiadomości na Discordzie i reklamy w wyszukiwarce to równie powszechne wektory.
  • Problem: 'Nic nie wysłałem, więc jestem bezpieczny' — złośliwy approve lub podpis permit wystarcza do przyszłego drenażu bez dalszej interakcji ofiary.
  • Problem: Techniczne rozumienie DeFi nie chroni przed phishingiem — atakuje zachowanie człowieka, nie wiedzę o protokołach.

Źródła i dalsza lektura

Najczęstsze pytania

Natychmiast odwołaj uprawnienia przez revoke.cash lub Etherscan Token Approvals. Jeśli seed phrase mogła wyciec — przenieś środki na nowy portfel natychmiast.

To JavaScript osadzony w fałszywej stronie, który konstruuje transakcję lub podpis permit dający atakującemu dostęp do tokenów. Użytkownik widzi pozornie normalną operację w portfelu, ale faktycznie podpisuje przekazanie aktywów.
Ostatnia aktualizacja