Phishing
Technika oszustwa polegająca na podszywaniu się pod zaufaną osobę, stronę lub usługę w celu nakłonienia ofiary do ujawnienia danych lub zatwierdzenia złośliwej akcji. W krypto nie wymaga łamania kryptografii — wystarczy jeden błąd człowieka.
Jak działa phishing w krypto
Fałszywe strony i podszywanie się pod aplikacje — atakujący klonują popularne frontendy DeFi piksel po pikselu i rejestrują prawie identyczne domeny (np. uniswap-app.com zamiast app.uniswap.org). Użytkownicy trafiają tam przez reklamy w wynikach wyszukiwania, linki na Discordzie lub literówki w URL.
Drainer scripts — skrypty JavaScript osadzone w fałszywych stronach. Gdy użytkownik łączy portfel i zatwierdza transakcję, drainer prosi o podpis transferujący wszystkie tokeny do atakującego. Wygląda jak standardowe zatwierdzenie lub 'claim' airdropa.
Phishing podpisów — najgroźniejszy wariant. Fałszywa strona prosi o podpisanie wiadomości EIP-712 lub permit, która autoryzuje atakującego do wydania tokenów — bez widocznej transakcji onchain. Użytkownik widzi 'prośbę o podpis', nie transakcję, i może być mniej ostrożny.
Złośliwe zatwierdzenie lub podpis permit wystarczy, żeby opróżnić portfel w przyszłości — bez dalszego działania ofiary. Jeśli podejrzewasz złośliwy approve, natychmiast odwołaj uprawnienia przez revoke.cash lub Etherscan Token Approvals.
Jak weryfikować ze jestes na prawdziwej stronie
- Wchodź na DeFi przez zakładki lub wpisując URL ręcznie — nigdy przez reklamy w wyszukiwarce ani linki na czacie.
- Sprawdzaj dokładną domenę w pasku adresu — atakujący liczą na literówki i podobne TLD (.org vs .com vs .io).
- W popupie portfela przy łączeniu widzisz prawdziwą domenę strony — to ona ma znaczenie, nie co jest wyświetlone na stronie.
- Oficjalny support nigdy nie pyta o seed phrase. Jeśli ktoś prosi, to scam.
Najczęstsze błędne założenia
- Phishing to nie tylko email. Fałszywe strony, odpowiedzi na Twitterze, wiadomości na Discordzie i reklamy w wyszukiwarce to równie powszechne wektory.
- 'Nic nie wysłałem, więc jestem bezpieczny' — złośliwy approve lub podpis permit wystarcza do przyszłego drenażu bez dalszej interakcji ofiary.
- Techniczne rozumienie DeFi nie chroni przed phishingiem — atakuje zachowanie człowieka, nie wiedzę o protokołach.
Najczęstsze pytania
Natychmiast odwołaj uprawnienia przez revoke.cash lub Etherscan Token Approvals. Jeśli seed phrase mogła wyciec — przenieś środki na nowy portfel natychmiast.
To JavaScript osadzony w fałszywej stronie, który konstruuje transakcję lub podpis permit dający atakującemu dostęp do tokenów. Użytkownik widzi pozornie normalną operację w portfelu, ale faktycznie podpisuje przekazanie aktywów.