Stracił 12 mln zł jednym kliknięciem

Wystarczyła jedna sekunda nieuwagi i podpis pod fałszywą transakcją. Inwestor kryptowalutowy stracił dziś równowartość ponad 12 milionów złotych w zaledwie kilku kliknięciach. To ostrzeżenie dla wszystkich, którzy myślą, że phishing to przeszłość.

Jak ukradnąć 3 miliony dolarów jednym kliknięciem

Według firm zajmujących się bezpieczeństwem blockchain - Lookonchain, PeckShield i Scam Sniffer - ofiara padła łupem wyrafinowanego ataku phishingowego. Przestępcy nie włamali się do portfela siłą. Nie potrzebowali hasła ani klucza prywatnego. Wystarczyło, że użytkownik sam podpisał jedną, pozornie niewinną transakcję.

W rezultacie z portfela o adresie 0x2d98…6695 zniknęły tokeny aEthUSDT (opakowane USDT z protokołu Aave) warte dokładnie 3,05 miliona dolarów. Całość trafiła prosto na konto oszustów.

Jak to możliwe? Mechanizm był prostszy, niż mogłoby się wydawać. Ofiara otrzymała prawdopodobnie link lub wiadomość udającą oficjalną komunikację z giełdy, portfela czy protokołu DeFi. Po wejściu na fałszywą stronę została poproszona o "potwierdzenie tożsamości" lub "aktualizację ustawień bezpieczeństwa". W rzeczywistości podpisała autoryzację, która pozwoliła oszustom na natychmiastowe opróżnienie portfela.

Problem, który narasta jak lawina

To nie odosobniony przypadek. Scam Sniffer odkrył niedawno, że przestępcy coraz częściej wykorzystują adresy zaktualizowane zgodnie ze standardem EIP-7702. W ostatnim czasie dwa portfele straciły odpowiednio 146 551 i 66 000 dolarów w podobnych atakach.

Oszuści używają zaawansowanych technik maskowania. Swoje operacje ukrywają pod pozorem legitnych transakcji przez protokoły takie jak Uniswap Universal Router. Na pierwszy rzut oka wszystko wygląda standardowo - dopiero analiza blockchain pokazuje prawdę.

Jeszcze bardziej niepokojący jest następny przykład: kilka dni temu firma odnotowała stratę ponad 908 000 dolarów przez użytkownika, który... podpisał phishingową autoryzację 458 dni wcześniej. Tak, przez ponad rok w jego portfelu czekała "bomba zegarowa" w postaci starego uprawnienia, które oszuści w końcu wykorzystali.

Krajowa perspektywa: czemu wszyscy jesteśmy na celowniku

W Polsce rynek kryptowalut rozwija się błyskawicznie. Według różnych szacunków, ponad milion osób posiada kryptowaluty, a wartość rynku szacuje się na dziesiątki miliardów złotych. To oznacza, że jesteśmy coraz bardziej atrakcyjnym celem dla międzynarodowych grup przestępczych.

Problem polega na tym, że większość użytkowników nie zdaje sobie sprawy z zagrożeń. Wielu myśli, że posiadanie portfela sprzętowego czy korzystanie z renomowanych giełd wystarcza. Tymczasem najsłabszym ogniwem pozostaje człowiek - jego nieuwaga, pośpiech czy chęć szybkiego zysku.

Raport, który powinien niepokoić

Dane z raportu firmy Bitget mówią same za siebie: w 2024 roku straty z powodu oszustw kryptowalutowych wyniosły 4,6 miliarda dolarów. Niemal 40% najkosztowniejszych ataków wykorzystywało sztuczną inteligencję do tworzenia bardziej przekonujących pułapek.

AI pozwala oszustom na tworzenie perfekcyjnych kopii stron internetowych, generowanie wiarygodnych wiadomości e-mail, a nawet imitowanie głosów znanych osobistości ze świata krypto. Technologia, która miała nas chronić, stała się bronią w rękach przestępców.

Jak się bronić? Praktyczny przewodnik

Podstawowe zasady bezpieczeństwa:

Zawsze sprawdzaj URL strony internetowej - oszuści często używają domen różniących się jedną literą od oryginału (np. binanse.com zamiast binance.com). Nigdy nie podpisuj transakcji pod presją czasu - "limitowana oferta" to klasyczny znak oszustwa.

Regularnie przeglądaj i cofaj stare autoryzacje w swoim portfelu. Większość portfeli oferuje taką funkcję w ustawieniach bezpieczeństwa. Pamiętaj - każda autoryzacja to potencjalna furtka dla oszustów.

Unikaj klikania w linki otrzymane przez media społecznościowe, e-mail czy komunikatory. Zawsze wchodź na strony oficjalnie, wpisując adres w przeglądarce.

Co dalej z bezpieczeństwem krypto?

Branża próbuje przeciwdziałać zagrożeniom. Firmy takie jak Bitget, SlowMist i Elliptic uruchomiły wspólny hub antyoszustwowy o wartości 300 milionów dolarów. Celem jest wykrywanie i blokowanie podejrzanych sieci w czasie rzeczywistym.

Problem w tym, że technologia idzie w obie strony. Ile nowych zabezpieczeń powstanie, tyle oszuści znajdą sposobów na ich obejście. W tej grze w kotka i myszkę każdy użytkownik musi być własnym ochroniarzem.

Wniosek jest prosty: żadna kwota nie jest warta ryzykowania bezpieczeństwa. Lepiej poświęcić kilka minut na sprawdzenie transakcji niż stracić lata oszczędności w jednej sekundzie nieuwagi.