NIEZALEŻNI
FINANSOWO

Bezpieczne transakcje krypto i NFT- demaskujemy jak działają oszuści

Kryptowaluty zazwyczaj oznaczają duże pieniądze, duże pieniądze zaś zawsze narażone są na kradzież. Jeśli wydaje Ci się, że oszustwa bankowe przygotowały Cię na rozpoznanie próby wyłudzenia danych oraz innych poufnych informacji, oznacza to, że nie miałeś/aś jeszcze do czynienia z kreatywnością złodziei z Web3.  Metody wyłudzeń w świecie krypto są wyjątkowo wyrafinowane, a w przypadku NFT złodzieje wyspecjalizowali się w chwytaniu odpowiednich momentów i potrafią zadziałać natychmiast, w sposób który zadziwia nawet starych wyjadaczy. Jak więc złodzieje próbują wykraść Twoje kryptowaluty i tokeny NFT?

Może zainteresuje Cię także:

Zanim zaczniesz inwestować w NFT, dowiedz się więcej na temat krypto

Sprawdź naszym zdaniem najlepsze platformy do zakupu NFT

W jakim portfelu bezpiecznie trzymać swoje aktywa cyfrowe?

Jak stworzyć własne NFT i wypuścić kolekcję na blockchainie?

Spis treści

W jaki sposób złodzieje są w stanie wykraść aktywa z Twojego portfela?

Być może wiesz już, że technologia blockchain jest w zasadzie złodziejo-odporna – na ten moment nie da się zhackować łańcucha bloków, co za tym idzie nie ma możliwości, aby od tak włamać się na Twój portfel. Skoro tak, to w jaki sposób w świecie krypto nagminnie zdarzają się kradzieże? 

O ile blockchain eliminuje możliwość włamania w aspekcie technologicznym, nie ma na świecie narzędzi, które pomogłyby uniknąć błędów ludzkich. Przy okazji każdej kradzieży w świecie krypto, poszkodowani sami podali złodziejom hasła dostępu lub umożliwili wykonanie transakcji. Niekiedy zdarzało się to przez nieuwagę, innym razem  nieświadomy zagrożenia poszkodowany nie miał prawa domyślać się, że padł ofiarą ataku.

Poniżej przedstawiamy wam popularne metody działania oszustów, z którymi nieraz sami się stykaliśmy.

Metody działania oszustów

Złodzieje nie śpią – cały czas czekają na okazję, a gdy się ona trafi, działają błyskawicznie. Poznaj kierunki, z których może nadejść zagrożenie i naucz się jak mu przeciwdziałać.

Próba wyłudzenia seed phrase

Seed phrase jest to sekretna fraza generowana losowo podczas zakładania portfela kryptowalut. Stanowi ona jedyną możliwość odtworzenia portfela na nowym urządzeniu. Jeżeli zgubisz seed phrase, jest to w zasadzie równoznaczne z tym, że o ile utracisz dostęp do urządzenia na którym po raz pierwszy został zainstalowany Twój portfel, Twoje aktywa przepadną.

Podczas zakładania portfela kryptowalut musisz potwierdzić, że zapoznałeś/aś się z informacją o tym, że wydawca portfela, ani nikt inny nigdy nie poprosi Cię o podanie seed phrase w innym celu niż odtworzenie tego portfela na nowym urządzeniu lub zmiana lokalnego hasła do portfela na urządzeniu, na którym oprogramowanie jest zainstalowane.

Mimo to, notorycznie zdarza się, że ludzie podają seed phrase oszustom. Często robią to w odpowiedzi na sfingowanego maila od wydawcy portfela, wierząc że wiadomość naprawdę została wysłana przez autoryzowany podmiot. Pamiętaj, że w momencie zakładania portfela online, nie zostałeś/aś poproszony/a o podanie żadnych danych kontaktowych, dlatego nie ma możliwości, aby dana firma wysłała do Ciebie wiadomość.

Złodzieje najprawdopodobniej wyłudzili Twój adres e-mail już nawet kilka miesięcy wcześniej, podsyłając Ci niewinnie wyglądający formularz, w którym zapisałeś/aś się na newsletter czy airdrop dotyczący projektu na blockchainie. Na tej podstawie oszuści założyli, że istnieje szansa, że posiadasz portfel kryptowalut i obstawiając najpopularniejsze oprogramowanie wysłali Ci wiadomość z próbą wyłudzenia Twojego seed phrase.

Pamiętaj: Niezależnie kto oraz w jaki sposób prosi Cię o podanie sekretnej frazy, na pewno nie jest to osoba z dobrymi intencjami. 

Kradzież seed phrase z maila lub komputera

O ile blockchain jest odporny na ataki hakerskie, o tyle twój email, czy urządzenie z dostępem do Internetu już nie. Jeśli więc zapisałeś/aś seed phrase w wiadomości na mailu, na dysku twardym, na dysku online lub w jakimkolwiek innym miejscu, do którego dostęp mógłby zyskać ktoś niepowołany, natychmiast przepisz frazę na kartkę papieru, lub jeśli koniecznie chcesz trzymać ją na urządzeniu, zmodyfikuj dokument z frazą w sposób, który utrudni hakerom rozszyfrowanie zapisu. Możesz przetłumaczyć słowa z angielskich na różne języki, rozbić frazę na kilka dokumentów, zastąpić dane litery podobnymi cyframi.

Cokolwiek zrobisz, znajdziesz się w bezpieczniejszej pozycji, niż trzymając gotowe rozwiązanie podane na talerzu.

Fałszywa strona internetowa nakłaniająca do podłączenia portfela

Jeszcze bardziej przebiegłą próbą kradzieży w Web3 jest stworzenie sfingowanej strony internetowej, która zachęca użytkownika do podłączenia swojego portfela kryptowalutowego, obiecując w zamian airdrop, wzięcie udziału w losowaniu, zyskanie dostępu do dodatkowych możliwości na stronie itd.

Złodzieje działający w ten sposób zazwyczaj wykorzystują jako podkładkę rozreklamowane, rzetelne projekty. Tworzą kopię strony zaufanej firmy, a adres takiej domeny różni się bardzo nieznacznie od oryginału. Niczego niespodziewający się użytkownicy, łączą portfel ze stroną i w ten sposób dają pozwolenie na autoryzację transakcji, która jest opisana w sposób potencjalnie atrakcyjny dla użytkownika, a tak naprawdę ma na celu wyczyszczenie środków z portfela.

Głośnym przykładem tego typu scamu, był mail rozesłany do użytkowników giełdy Opensea, który zachęcał do przeniesienia swoich aktywów za darmo na unowocześnioną wersję giełdy. W mailu znajdowała się przestroga, mówiąca o tym że możliwość darmowego transferu jest ograniczona czasowo. Użytkownicy, którzy kliknęli w guzik przekierowania na giełdę Opensea, nie sprawdzili adresu strony i podłączyli portfel w celu dokonania bezpłatnej migracji swoich NFT faktycznie dokonali tej migracji, jednak nie na unowocześnioną wersję platformy, a prosto do portfeli oszustów (1).

Drugim sposobem na kradzież za pomocą fałszywej strony internetowej, jest wykorzystanie projektu, który dopiero wchodzi na rynek. Mowa tu o mintowaniu NFT lub udziału w ICO (initial coin offering). Zazwyczaj dostęp do przedsprzedaży tokenów jest ograniczony do niewielkiej ilości osób, podczas gdy chętnych na nie jest dużo więcej. Hakerzy tworzą więc podstawione strony i w dniu przedsprzedaży puszczają je w obieg, z informacją, że pula miejsc została rozszerzona, i że będą one rozdystrybuowane według zasady „kto pierwszy, ten lepszy”. Osoby zainteresowane w pośpiechu podłączają portfele do takich stron i przesyłają pieniądze, w zamian za które oczekują zakupionych tokenów. Jak łatwo się domyślać, transakcja działa tylko w jedną stronę.

Wysłanie tokenów na adres portfela

Zdarzyło Ci się kiedyś, że w twoim portfelu w tajemniczy sposób wylądowały tokeny o znacznej wartości? Mowa tu zarówno o coinach jak i o NFT.  Jeśli tego typu aktywa znalazły się w Twoim portfolio, ty zaś masz pewność że nigdy ich nie kupowałeś/aś, próba wzbogacenia się poprzez sprzedanie takich środków jest najgorszym pomysłem, jaki może wpaść Ci do głowy.

W tym przypadku mechanizm działania złodziei polega na tym, że wysłane do Ciebie tokeny są zaprogramowane w sposób, który spowoduje że podjęcie jakiejkolwiek akcji z użyciem portfela (transfer, sprzedaż a nawet ukrycie) da oszustom dostęp do Twojego portfela i umożliwi im wyczyszczenie go do ostatniego grosza.

Jeśli kiedykolwiek zobaczysz na blockchainie tajemnicze tokeny przynależne do Twojego adresu portfela, nie dotykaj ich.

Oszustwa na giełdach wymiany bezpośredniej, np. Sudoswap lub NFT Trader

Kolejną powszechną próbą oszustwa jest propozycja sprzedaży bądź wymiany NFT na platformach sprzedaży bezpośredniej, takich jak Sudoswap czy NFT Trader. Platformy te same w sobie są bezpiecznie, jednak stwarzają możliwości dla złodziei.

Jeśli więc dostaniesz propozycję odsprzedania swojego NFT poza platformą Opensea, uargumentowaną brakiem wysokiej prowizji dla platformy, zanim przystaniesz na tę propozycję sprawdź 4 razy, czy link wysłany Ci przez potencjalnego nabywcę faktycznie nie posiada drobnej literówki, dodatkowej kropki lub dziwnego rozszerzenia. Najlepiej zaproponuj, że to ty ustawisz transakcję i wyślesz ważny link konieczny do przeprowadzenia jej.

Ataki hakerskie na giełdy kryptowalut

Najmniej odpowiedzialnym pomysłem jest trzymanie aktywów na koncie giełdy kryptowalut. W takim przypadku zagrożeniem są nie tylko potencjalne ataki hakerów, ale również postępowanie samej giełdy. Dzieje się tak dlatego, że kiedy wymieniasz środki na giełdzie, nie są one tak naprawdę Twoje; giełda nadal posiada nad nimi pełnię kontroli i w dowolnym momencie może zablokować Twoje konto, odebrać zgromadzone aktywa, zbankrutować i zostawić cię  z niczym itd. Dopiero w momencie transferu aktywów na portfel kryptowalutowy, stajesz się ich faktycznym posiadaczem, z pełnym zakresem możliwości.

W jaki sposób chronić się przed kradzieżą aktywów z portfela kryptowalut?

Tak naprawdę, aby nie paść ofiarą oszustów istnieje tylko kilka sposobów. Najbardziej oczywistym, ale niestety też dość zawodnym jest zachowanie wzmożonej ostrożności.  Z doświadczenia wiemy jednak, że złodzieje bywają tak wyrafinowani, że  niekiedy naprawdę ciężko jest zwęszyć podstęp, zwłaszcza w przypadkach kiedy od potencjalnego wyłudzenia danych, takich jak Twój adres email, na  który można wysłać podejrzany link upłynęło już kilka miesięcy, czasem nawet lat (!).

Rozwiązaniem gwarantującym bezpieczeństwo oraz kupującym nam czas na przemyślenie sytuacji podczas próby kradzieży, będzie zastosowanie portfela sprzętowego. Jest to urządzenie, które działa w trybie offline, dlatego też nikt nie będzie w stanie wykraść z niego środków, nawet jeśli pozyska hasła, ale nie będzie posiadać takiego portfela fizycznie. 

Jeżeli interesuje cię tematyka portfeli kryptowalutowych , zapraszamy do przeczytania artykułu „Najlepszy portfel kryptowalut„, w którym szczegółowo opisaliśmy dostępne opcje oraz to, czym kierować się przy wyborze odpowiedniego portfela. Jeśli zaś decydujesz się na zakup portfela sprzętowego, przygotowaliśmy porównanie dwóch wiodących marek: Trezora i Ledgera.

(1) https://blog.checkpoint.com/2022/02/20/new-opensea-attack-led-to-theft-of-millions-of-dollars-in-nfts/

Marek Borkowski
Marek Borkowski

Marek urodził się w 1988 roku w Bydgoszczy. Z wykształcenia jest technikiem weterynarii, jednak od lat nie pracuje w wyuczonym zawodzie. Postanowił zająć się pracą, która sprawia mu przyjemność oraz przynosi satysfakcjonujące dochody. Od zawsze interesował się programowaniem i nowymi technologiami - postanowił więc działać, wykupił odpowiednie kursy online, które pozwoliły mu postawić pierwsze kroki w tworzeniu stron internetowych i okazało się to strzałem w dziesiątkę. Obecnie Marek rozwija swoje projekty oraz pracuje jako freelancer, tworząc strony dla klientów.
Marek jest zafascynowany technologią blockchain - nie tylko inwestuje w kryptowaluty i NFT, ale też kończy kurs blockchain developera, aby w przyszłości stworzyć swój własny metaverse. Chętnie pisze o swoich pasjach a jego misją jest zmotywowanie czytelników do rozszerzania swoich horyzontów.

kontakt: info@niezalezni-finansowo.pl

© 2024 Niezależni finansowo – Wszystkie prawa zastrzeżone