SSP Editorial Team

Ataki phishingowe na użytkowników krypto (i jak je rozpoznać)

·7 min czytania·Autor: SSP Editorial Team
Okładka działu bezpieczeństwa SSP z ikonami portfela, klucza, tarczy i układu scalonego, ilustrująca przewodnik po atakach phishingowych na krypto.

Phishing to najczęstszy sposób, w jaki użytkownicy samodzielnie przechowujący kryptowaluty tracą pieniądze. Nie przez złamany szyfr, nie przez odgadnięty klucz prywatny — lecz przez przekonującą wiadomość, stronę łudząco przypominającą oryginał albo transakcję wyglądającą rutynowo — dopóki nie jest. Kryptografia stojąca za Twoim portfelem jest solidna i atakujący o tym wie — dlatego omija ją zupełnie i celuje w jedyną część systemu, którą można nakłonić do działania wbrew sobie: Ciebie. Co roku miliardy są tracone w wyniku oszustw krypto i inżynierii społecznej, a większość z nich zaczyna się od wiadomości phishingowej, a nie od technicznego exploita.

Ten artykuł wyjaśnia, co dokładnie atakuje phishing wymierzony w kryptowaluty, jakie konkretne wzorce możesz nauczyć się rozpoznawać na pierwszy rzut oka i w jaki sposób projekt SSP pomaga — przy jednoczesnej uczciwości co do tego, przed czym nie jest w stanie Cię ochronić.

Co phishing tak naprawdę atakuje

Phishing skierowany przeciwko użytkownikowi samodzielnie przechowującemu kryptowaluty dąży do jednej z trzech rzeczy: Twojej frazy seed, Twoich zatwierdzeń albo Twojego podpisu. Kradzież frazy seed daje atakującemu kontrolę nad każdym kontem z niej wyprowadzonym — na zawsze. Nakłonienie Cię do udzielenia zatwierdzenia tokena pozwala mu opróżnić konkretne aktywa w dowolnym momencie. Wyłudzenie jednego złośliwego podpisu sprawia, że środki trafiają do atakującego w jednym bloku.

Wszystkie trzy scenariusze łączy jedno: Ty musisz podjąć działanie. Atakujący nie może sięgnąć do Twojego portfela i zabrać czegokolwiek — potrzebuje, żebyś wpisał, kliknął, zatwierdził lub podpisał. Ta zależność to zarazem Twoja przewaga — każdy atak ma moment, w którym możesz go powstrzymać, jeśli wiesz, jak ten moment wygląda.

Wzorce, które możesz rozpoznać

Phishing kryptowalutowy wykorzystuje niewielki zestaw sztuczek. Gdy już potrafisz je nazwać, o wiele trudniej na nie dać się nabrać.

Fałszywe strony portfeli i typosquatting w reklamach wyszukiwarki

Najstarsza sztuczka to klon prawdziwego portfela lub giełdy, hostowany pod łudząco podobną domeną i często wypychany na górę wyników wyszukiwania jako płatna reklama. Strona wygląda jak oryginał do piksela i istnieje w jednym celu: zebrać Twoją frazę seed albo nakłonić Cię do połączenia portfela i podpisania transakcji. Traktuj pasek wyszukiwarki jak wrogi teren. Znajdź prawdziwą stronę raz, zweryfikuj ją i dodaj ją do zakładek — i zawsze trafiaj tam tylko przez tę zakładkę. SSP nigdy nie poprosi Cię o frazę seed na stronie internetowej, a prawdziwe rozszerzenie instaluje się z oficjalnego sklepu przeglądarki, nie z reklamy w wyszukiwarce. Jeśli nie wiesz, jak wygląda legalny portfel jako rozszerzenie przeglądarki, przeczytaj wyjaśnienie portfeli jako rozszerzeń przeglądarki.

Prośby o wpisanie frazy seed

Ta zasada zasługuje na własną regułę, bo jest bezwzględna: żaden legalny portfel nigdy nie poprosi Cię o wpisanie frazy seed na stronie internetowej, w formularzu, wyskakującym okienku ani przez DM. Nie po to, żeby ją „zweryfikować", „zsynchronizować" ani „odebrać" cokolwiek. Frazę seed wpisujesz w dokładnie jednym miejscu — wewnątrz samego oprogramowania portfela, podczas wstępnej konfiguracji lub odzyskiwania. SSP przyjmuje frazę seed wyłącznie wewnątrz rozszerzenia lub aplikacji mobilnej i wyłącznie w tym celu — nigdy na stronie internetowej. Jeśli cokolwiek innego o to prosi, to próba kradzieży — bez wyjątków. Szerszą dyscyplinę jej ochrony omawia artykuł najlepsze praktyki dotyczące frazy seed.

Phishing przez zatwierdzenia i drainery portfeli

Nowszy i podstępniejszy wariant: złośliwy dApp wcale nie prosi o Twoją frazę seed. Prosi Cię o podpisanie czegoś, co wygląda jak normalna transakcja — ale w rzeczywistości jest to zatwierdzenie tokena lub setApprovalForAll, które przyznaje kontraktowi atakującego uprawnienia do przenoszenia Twoich tokenów lub NFT. Zachowujesz kontrolę nad kluczami; po prostu podpisałeś zrzeczenie się prawa do swoich aktywów, a drainer portfela opróżnia je później — czasem tygodnie po fakcie. Obroną jest zrozumienie, czym jest zatwierdzenie, i dbanie o to, by zatwierdzenia były krótkotrwałe. Przeczytaj zatwierdzenia tokenów — uprawnienia, które ciągle przyznajesz, a następnie cofnij te, których już nie używasz.

Zatruwanie adresów

Zatruwanie adresów żeruje na nawykach kopiuj-wklej. Atakujący wysyła drobny lub zerowy transfer do Twojego portfela z adresu celowo zaprojektowanego tak, by wyglądał jak jeden z Twoich znanych adresów — z tymi samymi pierwszymi czterema i ostatnimi czterema znakami. Adres ten trafia do Twojej historii, więc następnym razem, gdy skopiujesz „znany" adres z poprzednich transakcji, trafia Ci się adres atakującego — i wysyłasz środki prosto do niego. Remedium jest mechaniczne: nigdy nie kopiuj adresu z historii transakcji i weryfikuj pełny adres, znak po znaku — nie tylko cztery pierwsze i cztery ostatnie. Adres-sobowtór może idealnie pasować na obu końcach, a w środku całkowicie się różnić.

Podszywanie się pod innych w DMs

Jeśli ktoś napisze do Ciebie pierwszy na Discord, Telegram lub X, twierdząc, że jest „oficjalnym supportem" — to z góry jest to oszustwo. Prawdziwy support nie zagaduje przez DMs, a żaden administrator, moderator ani „bot weryfikacyjny" nie potrzebuje Twojej frazy seed, klucza prywatnego ani żeby połączyć Twój portfel w celu „weryfikacji". Pilność to sygnał ostrzegawczy — „Twoje środki są zagrożone, działaj teraz" istnieje po to, żebyś nie zdążył pomyśleć. Zamknij DM i szukaj wsparcia wyłącznie przez kanał, do którego sam dotarłeś.

Złośliwe prośby o podpis / ślepe podpisywanie

Najbardziej techniczny wariant prosi Cię o podpisanie wiadomości, a nie transakcji — ładunku Permit, eth_sign lub nieprzejrzystego bloku danych, którego nie możesz odczytać. Takie wiadomości mogą autoryzować transfery tokenów lub zatwierdzenia poza łańcuchem, niekiedy bez kosztów gazu i bez żadnego oczywistego ostrzeżenia. Zasada brzmi: zanim cokolwiek podpiszesz, rozumiej, co podpisujesz — i bądź głęboko podejrzliwy wobec każdej prośby, której nie potrafisz rozszyfrować. Kiedy łączysz się z dApp, wiedz, jak działa sesja i jakie prośby o podpis może generować — czym jest WalletConnect i jak działa z SSP szczegółowo omawia tę powierzchnię ataku.

Jak projekt SSP pomaga — i gdzie nie wystarczy

SSP to portfel z 2-of-2 multisig: każda transakcja musi zostać współpodpisana na drugim urządzeniu — SSP Key — zanim zostanie rozgłoszona. Daje Ci to drugi ekran, na osobnym sprzęcie, pokazujący żądanie jeszcze raz przed jego realizacją — prawdziwa druga powierzchnia weryfikacji, której portfel jednoekranowy nie oferuje. Rozszerzenie nigdy też nie prosi o frazę seed na stronie internetowej, co z założenia eliminuje najczęstszą drogę jej wyłudzenia.

Oto uczciwa część: multisig nie jest lekarstwem na phishing. Jeśli przed Tobą pojawi się złośliwa transakcja i zatwierdzisz ją w rozszerzeniu i potwierdzisz na SSP Key, portfel zrobi dokładnie to, co mu kazałeś. Drugie urządzenie chroni Cię przed sytuacją, gdy pojedyncze skompromitowane urządzenie podpisze coś samodzielnie — nie chroni Cię przed zatwierdzeniem złej akcji dwa razy. Dlatego czytaj oba ekrany: jeśli adres docelowy, kwota lub akcja nie zgadzają się z tym, co zamierzałeś — odrzuć to na SSP Key. Ostateczna obrona przed phishingiem i tak leży po Twojej stronie. Dlaczego ta odpowiedzialność jest warta podjęcia, wyjaśnia artykuł dlaczego samodzielne przechowywanie ma znaczenie teraz.

60-sekundowa lista kontrolna phishingowa

Zanim cokolwiek podpiszesz, sprawdź:

  1. Sprawdzenie adresu URL — czy dotarłeś tu przez własną zakładkę, czy przez link lub reklamę podrzuconą przez kogoś? Jeśli to nie Twoja zakładka — stop.
  2. Sprawdzenie frazy seed — czy cokolwiek prosi Cię o frazę seed? Jeśli tak, to oszustwo — zawsze, bez wyjątków.
  3. Odczytaj SSP Key — czy akcja i kwota na Twoim drugim urządzeniu zgadzają się dokładnie z tym, co chciałeś zrobić?
  4. Sprawdzenie adresu docelowego — zweryfikuj pełny adres odbiorcy, nie tylko cztery pierwsze i cztery ostatnie znaki.
  5. Sprawdzenie DMs — czy to zaczęło się od niechcianej wiadomości lub pilnego „działaj teraz"? Traktuj to jako atak.
  6. Higiena zatwierdzeń — cofaj nieaktualne zatwierdzenia tokenów, których już nie używasz, żeby zapomniane zatwierdzenie nie stało się przyczyną późniejszego drenażu.

Jeśli którykolwiek krok zawiedzie — odrzuć i wyjdź. Ominięta okazja nic nie kosztuje; podpisany drainer może kosztować wszystko.

Idź dalej

Phishing to jedna warstwa szerszej praktyki osobistego bezpieczeństwa. Zadbaj o resztę dzięki artykułowi higiena rozszerzeń przeglądarki dla użytkowników krypto i wprowadź to wszystko w cykliczny harmonogram z listą kontrolną opsec dla krypto. Jeśli chcesz śledzić, jak szerzej rozumiany ekosystem monitoruje te ataki, raporty APWG Phishing Activity Trends oraz FBI's IC3 to solidne pierwotne źródła.

Udostępnij ten artykuł

Powiązane artykuły

Dwunastowyrazowa seed phrase wydrukowana na papierowej karcie obok portfela sprzętowego

Seed phrase — dobre praktyki

Czym naprawdę jest seed phrase, jak ją przechowywać, by jej nie zgubić ani nie wyciekła, i jak multisig 2-of-2 w SSP zmienia model zagrożeń.

7 min read
Kwadratowa okładka przewodnika SSP o zatwierdzeniach tokenów ERC-20 i nieograniczonych allowance

Zatwierdzenia tokenów: uprawnienia, których ciągle udzielasz

Jak działa approve() w ERC-20, dlaczego nieograniczone allowance są ryzykowne i co każda interakcja z dAppą po cichu daje z twojego portfela SSP.

8 min read
Okładka bezpieczeństwa SSP z ikonami portfela, klucza, tarczy i układu scalonego na granatowej kwadratowej karcie

Higiena rozszerzeń przeglądarki dla użytkowników kryptowalut

Bezpieczeństwo rozszerzeń przeglądarki w samoprzechowywaniu: sprawdzaj instalacje, ograniczaj uprawnienia, polegaj na LavaMoat i 2 z 2 SSP.

6 min read