Bezpieczeństwo
Ochrona kluczy prywatnych, kopii zapasowych i dostępu do środków.
Hasła
Phishing
Technika oszustwa nakłaniająca ofiarę do ujawnienia danych lub zatwierdzenia złośliwej transakcji przez podszywanie się pod zaufaną stronę. Jedno z najczęstszych źródeł strat w krypto — atakuje człowieka, nie protokół.
Atak 51%
Sytuacja, w której jeden podmiot kontroluje większość mocy konsensusu i może zagrozić historii ostatnich transakcji.
Cold storage
Przechowywanie kluczy prywatnych offline. Środki nadal są na blockchainie, a poza internetem trzymasz dostęp do ich podpisywania.
Podpis cyfrowy
Podpis cyfrowy, czyli kryptograficzny dowód, że konkretna transakcja albo wiadomość została autoryzowana kluczem prywatnym. W krypto podpis jest warstwą autoryzacji, dlatego zły podpis może dać zły skutek finansowy.
Address poisoning
Oszustwo, w którym atakujący podrzuca do historii portfela podobny adres, żebyś przy kolejnym przelewie skopiował zły odbiorca.
Adres blockchain
Publiczny identyfikator używany do odbierania środków i wskazywania konta w konkretnej sieci. Adres możesz udostępniać, ale nie jest on tym samym co klucz prywatny ani aplikacja portfelowa.
Airdrop
Dystrybucja tokenów lub NFT do portfeli użytkowników. Może być nagrodą za wcześniejszą aktywność, ale bywa też jednym z najczęstszych pretekstów do phishingu i wallet drainerów.
Air-gapped wallet
Portfel lub setup podpisywania transakcji, który pozostaje odłączony od internetu i komunikacji bezprzewodowej. Daje większą izolację kluczy, ale wymaga więcej dyscypliny.
Allowance
Uprawnienie, które pozwala smart kontraktowi przenieść określoną ilość twoich tokenów ERC-20. Jest potrzebne w DeFi, ale bywa też źródłem długotrwałego ryzyka.
Burner wallet
Portfel tymczasowy używany do jednej ryzykowniejszej akcji albo małej kwoty. Ogranicza potencjalną stratę, gdy strona, mint albo kontrakt okaże się złośliwy.
Dusting attack
Atak polegający na wysłaniu bardzo małych kwot albo podejrzanych tokenów na wiele adresów. Celem zwykle jest śledzenie portfeli, profilowanie użytkownika albo skierowanie go na phishing.
Oracle
Smart kontrakty nie mogą same sprawdzić ceny ETH ani żadnej innej informacji z zewnątrz — są zamkniętymi programami bez dostępu do internetu. Oracle to most między blockchainem a rzeczywistością. I to, jak ten most jest zbudowany, decyduje o bezpieczeństwie całego protokołu.
Approval checker
Narzędzie bezpieczeństwa portfela, które pokazuje, które kontrakty mają aktywne uprawnienia do twoich tokenów lub NFT. Pomaga znaleźć i cofnąć stare approvale, zanim staną się problemem.
Full node
Full node, czyli węzeł samodzielnie weryfikujący reguły sieci. Pełny węzeł nie musi ufać cudzej kopii blockchaina, bo sam sprawdza bloki i transakcje.
AMM exploit
Atak na logikę puli AMM, który wykorzystuje błąd w cenie, księgowaniu płynności albo kodzie przenoszącym aktywa. Dla LP może oznaczać nagłą utratę środków z pozornie normalnej puli.
Funkcja skrótu
Algorytm kryptograficzny, który zamienia dane dowolnej długości w krótki, stały wynik nazywany hashem. Hashe są używane w blokach, transakcjach, drzewach Merkle i proof of work.
Transakcja
Podpisana kryptograficznie instrukcja aktualizująca stan sieci blockchain. Może przenosić ETH, wywoływać smart kontrakty albo wdrażać nowe protokoły — wszystko w jednym działaniu.
Drzewo Merkle’a
Struktura danych oparta na hashach, która kompresuje wiele elementów do jednego root hasha. Pozwala sprawdzać przynależność danych bez pobierania całego zbioru.
Bitcoin quantum resistance
Odporność Bitcoina na przyszłe komputery kwantowe. Najważniejszy problem dotyczy podpisów i ujawnionych kluczy publicznych, a nie samego proof of work.
Dowód Merkle’a
Kompaktowy dowód, że konkretny element należy do drzewa Merkle’a zapisanego przez root hash. Pozwala potwierdzić obecność transakcji lub danych bez pobierania całego zbioru.
Klucz publiczny
Kryptograficzny odpowiednik klucza prywatnego, który można bezpiecznie udostępniać. Służy do weryfikacji podpisów i jest podstawą adresu blockchain — nie da się z niego odtworzyć klucza prywatnego.
Przejęcie frontendu
Atak na interfejs aplikacji, stronę albo ekran przygotowujący podpis. Użytkownik widzi zaufany frontend, ale portfel dostaje do podpisu inną transakcję albo inne uprawnienia.
Klucz publiczny
Kryptograficzny odpowiednik klucza prywatnego, który można bezpiecznie udostępniać. Służy do weryfikacji podpisów i jest podstawą adresu blockchain — nie da się z niego odtworzyć klucza prywatnego.
KYC/AML
Procedury identyfikacji klienta i przeciwdziałania praniu pieniędzy stosowane przez regulowane giełdy, brokerów i custodianów. W praktyce oznaczają weryfikację tożsamości oraz monitoring ryzyka transakcji.
Atak przez telefon (SIM swap)
Atakujący przejmuje numer telefonu ofiary nakłaniając operatora do przeniesienia numeru na swoje urządzenie. Pozwala przechwycić SMS-kody 2FA i zresetować hasła do kont krypto.
Elliptic Curve Cryptography
Kryptografia krzywych eliptycznych, czyli rodzina metod kryptografii klucza publicznego używana m.in. do podpisów w Bitcoinie i Ethereum. Pozwala udowodnić kontrolę nad kluczem bez ujawniania sekretu.
Przynależność do grupy
Group membership, czyli możliwość udowodnienia, że należysz do określonej grupy, bez ujawniania swojej dokładnej tożsamości. To ważny element systemów prywatnościowych, głosowań i kontroli dostępu.
Merged mining
Model kopania, w którym ta sama praca proof of work może wspierać więcej niż jeden łańcuch. Najbardziej znany przykład w kontekście Bitcoina to Rootstock.
Employment scam
Oszustwo rekrutacyjne podszywające się pod ofertę pracy w krypto albo Web3. Atakujący wykorzystuje fałszywy onboarding, płatność za sprzęt, portfel albo weryfikację tożsamości.
Failed transaction scam
Oszustwo, w którym podejrzany token albo transakcja wygląda jak problem techniczny do naprawienia. Próba ruszenia tokena kończy się błędem, a komunikat lub metadata kierują użytkownika do złośliwej strony.
Giveaway scam
Oszustwo udające konkurs, airdrop albo rozdanie tokenów. Użytkownik ma wysłać środki, podłączyć portfel albo podpisać transakcję, żeby odebrać rzekomą nagrodę.
Fałszywa giełda krypto
Oszustwo, w którym strona albo aplikacja udaje prawdziwą platformę handlową. Użytkownik wpłaca środki, widzi fikcyjne saldo lub zyski, a wypłata okazuje się niemożliwa.
Fałszywa grupa inwestycyjna
Oszustwo, w którym użytkownik trafia do grupy na Telegramie, WhatsAppie, Discordzie albo Facebooku i dostaje pozornie profesjonalne sygnały, screeny zysków oraz instrukcje wpłaty na fałszywą platformę.
Permit
Wzorzec zatwierdzania ERC-20 pozwalający nadać uprawnienia do wydatkowania tokenów przez podpis offline, bez osobnej transakcji onchain. Oszczędza gaz — ale przenosi ryzyko na podpisy, które trzeba weryfikować tak samo ostrożnie jak transakcje.
Permit2
Kontrakt Uniswap Labs do zarządzania allowances tokenów. Jeden approve do kontraktu Permit2, potem podpisy z limitem i wygaśnięciem dla każdego protokołu. Wygodniejsze niż powtarzane transakcje approve — ale złośliwy podpis daje szerokie uprawnienia.
Mixer
Narzędzie prywatności rozbijające publiczny ślad między źródłem a odbiorcą środków. Użytkownicy wpłacają do wspólnej puli i wypłacają na nowy adres — obserwator nie może łatwo połączyć wpłaty z wypłatą.
Permissionless
Każdy może używać systemu bez niczyjej zgody. W kontekście L2 — brak allowlisty dla sekwensera lub operatora. Permissionless to spektrum, nie stan binarny: protokół może być permissionless w jednym wymiarze i scentralizowany w innym.
Kryptografia postkwantowa
Algorytmy kryptograficzne odporne na ataki komputerów kwantowych. NIST opublikował pierwsze standardy w 2024 roku (ML-KEM, ML-DSA, SLH-DSA). Blockchain używa ECDSA — podatnego na algorytm Shora. Migracja jest konieczna, ale zajmie lata.
MuSig2
Schemat multisig Bitcoin oparty na Schnorr i Taproot. Wielu podpisujących agreguje klucze w jeden — onchain wygląda jak zwykła transakcja single-key. Niższe opłaty i lepsza prywatność niż klasyczny multisig.
Paper Wallet
Metoda cold storage polegająca na wydruku klucza prywatnego lub frazy na papierze. Historyczna forma przechowywania offline — dziś zastąpiona przez hardware wallet z bezpiecznym procesem podpisywania.
Multisig
Zwykły portfel to jeden klucz — kto go ma, może wszystko. Multisig wymaga zgody kilku kluczy naraz: np. 2 z 3 lub 3 z 5. Jeden klucz skradziony lub zgubiony nie wystarczy, żeby ruszył któreś ze środków. Używają go zarówno indywidualni użytkownicy chroniący duże kwoty, jak i protokoły DeFi zarządzające miliardami.
Noir
Język programowania do tworzenia programów zero-knowledge. Używany głównie przez Aztec do prywatnych smart kontraktów — programista opisuje logikę, kompilator buduje obwód ZK.
Post-Quantum Ethereum
Roadmapa Ethereum Foundation migrująca protokół do kryptografii odpornej na komputery kwantowe. Obejmuje konta (account abstraction + PQ podpisy), warstwę konsensusu (zamiana BLS) i obsługę blobów. Etapowa, wieloletnia transformacja.
Nullifier
Kryptograficzny znacznik potwierdzający, że prywatna nota lub zasób został wydany — bez ujawniania, który konkretnie. Zapobiega double-spend w systemach prywatnych sald.
Rug pull
Token wygląda świetnie: strona, whitepaper, active community, APY 500%. Twórcy zbierają płynność i inwestorów — a potem znikają z pieniędzmi. Token zostaje bezwartościowy. To jest rug pull — i dzieje się regularnie, często w biały dzień.
Klucz prywatny
Klucz prywatny to jedyny dowód, że to ty — nie bank, nie giełda, nie nikt inny — kontrolujesz swój portfel. Kto go ma, może natychmiast i nieodwracalnie wyprowadzić wszystkie środki. Nie ma numeru infolinii ani przycisku "cofnij".
Portfel kryptowalutowy
Portfel kryptowalutowy zarządza kluczami prywatnymi i pozwala podpisywać transakcje – ale kryptowalut nie przechowuje. Zawsze istnieją w sieci, a portfel daje do nich dostęp.
Portfel sprzętowy
Portfel sprzętowy przechowuje klucze prywatne na dedykowanym urządzeniu offline i podpisuje transakcje bez ich ujawniania komputerowi. Złożone złośliwe oprogramowanie na laptopie nie wystarczy, by ukraść środki.
Hot wallet
Hot wallet to portfel podłączony do internetu – wygodny do codziennych transakcji i DeFi, ale z większą powierzchnią ataku niż rozwiązania offline. Klucze istnieją na urządzeniu sieciowym.
MEV
MEV (ang. Maximal Extractable Value) to wartość wyciągana z produkcji bloków ponad standardowe nagrody – przez dobór, wykluczanie i kolejność transakcji. Dotyka każdego użytkownika DEX, często bez jego wiedzy.
Fraza odzyskiwania
Fraza odzyskiwania (ang. seed phrase) to 12 lub 24 słowa, z których portfel derywuje wszystkie klucze prywatne. Kto zna frazę, kontroluje środki – niezależnie od aplikacji, urządzenia i PIN-u.
Self-custody
Self-custody oznacza samodzielną kontrolę nad kluczami prywatnymi – bez pośrednika. Eliminuje ryzyko kontrahenta, ale całą odpowiedzialność za bezpieczeństwo przenosi na ciebie.