Sigurnost u kriptu: Savjeti za korisnike
Edukativni serijal

Kripto sigurnost 2.0 – Zaštita izvan Metamaska

22 kolovoza, 2025
Mario Jaklenec

Sigurnost u kriptu daleko je više od savjeta da koristite hardverski wallet ili držite seed frazu izvan interneta. U stvarnom DeFi okruženju, sofisticirani napadi na korisnike događaju se svakodnevno – ne samo zbog njihovog neznanja, već zbog sve kompleksnijih taktika hakera: DNS poisoning, session hijacking, lažni support botovi, phishing poveznice, browser malware skripte i kompromitirani dApp-ovi koji kradu potpisane transakcije.

Haker u mračnoj sobi promatra investitora dok otvara kompromitirani dApp, iznad njih lebdi Metamask lisica s probušenim štitom, a u pozadini DNS poslužitelji preusmjeravaju promet.sigurnost u kriptu
Haker u mračnoj sobi promatra investitora dok otvara kompromitirani dApp, iznad njih lebdi Metamask lisica s probušenim štitom, a u pozadini DNS poslužitelji preusmjeravaju promet.Sigurnost u kriptu

U ovom vodiču ulazimo dublje. Ovo je sigurnost 2.0, razina koja se očekuje od svakog tko želi dugoročno preživjeti i zaštititi svoja sredstva u Web3 svijetu.

Napredne sigurnosne prijetnje u DeFi okruženju

1. Phishing i klonirane stranice

Najrašireniji napad na kripto korisnike i dalje je phishing. No dok su ranije to bile loše napisane e-mail poruke, danas su to precizno kopirane stranice dApp-ova poput Uniswap, Aave ili Phantom. Korisnik unosi seed, potvrđuje pristup i gubi sve u nekoliko sekundi.

Primjer iz prakse:
2023. godine klonirana je stranica Zapper.fi, a Google oglasi su je gurali iznad prave stranice. Tisuće korisnika izgubile su pristup portfeljima jer su unijeli seed phrase misleći da se „prijavljuju“.

2. DNS poisoning – Curve Finance slučaj

DNS poisoning označava kompromitaciju DNS zapisa tako da umjesto pravog IP-a dApp vodi na napadačev server. Curve Finance je u 2022. godini bio meta upravo takvog napada. Iako je korisnik otvorio pravu domenu (curve.fi), sam sadržaj je došao s napadačevog servera, s promijenjenim wallet adresama.

Rezultat: nekoliko stotina tisuća dolara ukradeno u manje od sat vremena.

3. Session hijacking – otmica browser sesije

Hakeri sve češće ciljaju otvorene sesije Metamaska u browserima, osobito na kompromitiranim javnim WiFi mrežama. Ako je korisnik već autorizirao Metamask za interakciju s nekim dApp-om, napadač može umetnuti zlonamjerne transakcije kroz session hijack skriptu i iskoristiti već aktivirani kontekst browsera.

4. Lažni support botovi i Discord/Twitter prevare

Kad korisnik napiše da ima problem na službenom Discord serveru nekog projekta, u privatne poruke mu se javi „support agent“ s lažnim admin ID-em. Zatraži seed ili potpisivanje „debugging transakcije“. Nažalost, mnogi nasjednu.

Slično se događa na X/Twitteru – ispod bilo koje objave popularnog projekta spamaju se lažne verzije stranice.

5. Malware, sniffer skripte i browser plugin kompromitacije

Postoje zlonamjerne skripte koje presreću clipboard sadržaj i mijenjaju adresu na koju šaljete sredstva. Neke su ugrađene kroz popularne piratske softvere ili Discord toolove. Također, kompromitirani Chrome plugini imaju pristup web2 i web3 interakcijama.

Kako se zaštititi – Sigurnosna strategija za 2025.

Osnovna pravila nisu dovoljna. Za sigurnost u kriptu, potreban je slojevit pristup, sličan strategijama digitalnih operacija u obavještajnim službama. Evo kako izgledaju ključni stupovi obrane.

1. Browser oprema i okruženje

  • Koristite zaseban browser samo za kripto (npr. Firefox Developer Edition ili Brave u Incognito modu bez plugina).
  • Ugasite automatski clipboard sync, isključite cloud backup clipboard povijesti.
  • Nikad ne koristite browser koji ima instalirane toolbare, neprovjerene plugine ili previše proširenja.
  • Isključite automatski login, auto-fill i password manager unutar browsera.

2. Permission menadžment i revizija povezanih dApp-ova

  • Redovito koristite alate poput Revoke.cash ili Etherscan Token Approvals za pregled i povlačenje token permissions.
  • Svaki dApp kojem date “infinite approval” može potpisati sve vaše tokene – sve dok vi to ne povučete.

3. Airgapped setup i hardverski layeri

  • Ako držite značajne iznose, koristite airgapped uređaj – laptop koji nikad ne ide online, s Electrum ili Sparrow walletom.
  • Potpisivanje transakcija se radi QR kodom (npr. preko Keystone walleta) i fizičkim transferom – nikad ne unosite seed frazu u online uređaj.
  • Hardverski novčanici poput Trezora, Ledgera i Grid+ Signer uređaja trebaju biti zaštićeni PIN-om i po mogućnosti passphrase slojem (25. riječ, tzv. “hidden wallet”).

4. 2FA (ali pravi)

  • Izbjegavajte SMS 2FA – lako je presresti.
  • Koristite TOTP-based 2FA (npr. Aegis na Androidu, Authy s backupima isključenima, OTP Auth na iOS-u).
  • Poželjno je koristiti YubiKey kao fizički ključ za pristup burzama ili osjetljivim servisima.

Primjeri iz prakse – Kada je znanje spasilo sredstva

1. Curve Finance DNS napad (2022.)
Jedan korisnik je primijetio da mu browser označava stranice kao „not verified“ i da wallet adrese ne odgovaraju službenima. Provjerio je hash stranice i wallet destinaciju, prepoznao razliku i izbjegao potpisivanje transakcije.

2. LedgerConnect incident (2023.)
Zlonamjerni plugin pojavio se u Chrome Storeu pod imenom LedgerConnect. Imitirao je službeni plugin, ali je zapravo presretao seed unose i podatke o adresama. U roku od 2 tjedna, ukradeno je preko $500.000. Google ga je uklonio, ali prekasno za mnoge korisnike.

3. Polygon whale slučaj (2024.)
Whale wallet vrijedan $6.3M sredstava napadnut je kroz session hijacking jer je korisnik ostavio browser otvoren na kompromitiranom WiFi-u u hotelu. Napadač je ušao u autorizirani session i preusmjerio transakciju kroz signature replay attack.

Zaključak: Sigurnost u kriptu je stil života, a ne alat

Ako koristite samo Metamask i hardverski wallet, a pritom ste online 24/7, bez ikakvih revizija permissionsa, klikate na sve što se nudi i povezujete se na nepoznate dApp-ove – niste sigurni.

Sigurnost u kriptu zahtijeva proaktivan, paranoidno-svjestan mindset.
To uključuje tehničku disciplinu, redovitu edukaciju, minimizaciju vektora napada i, najvažnije – mentalnu pripremu za najgori scenarij.

Nemojte čekati da izgubite sredstva da biste se educirali. Počnite danas.

Zanimljivo za pročitati: Pet činjenica o Bitcoinu, gdje si ti u toj priči?

U svijetu kriptovaluta gdje je buka veća od znanja, edukacija je tvoj najvažniji alat.
Ne gradi mišljenje o tržištu na osnovu memova, FOMO objava i lažnih obećanja o “pasivnoj zaradi” – nego na znanju, iskustvu i razumijevanju kako stvari zaista funkcioniraju.

Možete se pridružiti na Discord zajednici ili isprobajte The Chukanomics program.

Discord
THE CHUKANOMICS

Ostanite s nama i nastavite pratiti najnovije vijesti i trendove iz svijeta kripta uz našu vlastitu društvenu mrežu:

EtherX: Social Media Platforma
EtherX – Social Media network

Zapratite nas na društvenim mrežama.

Hvala svima što čitate naše članke na kriptoentuzijasti.io! 🚀 Ako vam se sviđa ono što čitate, podijelite ih na društvenim mrežama i pomozite nam širiti kripto znanje. Zajedno gradimo svijet kripta! 💪🔗 #Kriptoentuzijasti #Dijeliznanje crypto #Kriptoedukacija #EtherX #društevenamreža #Crypto # binance istraga

Odgovori

Vaša adresa e-pošte neće biti objavljena. Obavezna polja su označena sa * (obavezno)

0
    0
    Your Cart
    Your cart is emptyReturn to Shop
    Continue Shopping
    Share via
    Facebook
    X (Twitter)
    LinkedIn
    Mix
    Email
    Print
    Copy Link
    Copy link
    CopyCopied