Sigurnost u kriptu daleko je više od savjeta da koristite hardverski wallet ili držite seed frazu izvan interneta. U stvarnom DeFi okruženju, sofisticirani napadi na korisnike događaju se svakodnevno – ne samo zbog njihovog neznanja, već zbog sve kompleksnijih taktika hakera: DNS poisoning, session hijacking, lažni support botovi, phishing poveznice, browser malware skripte i kompromitirani dApp-ovi koji kradu potpisane transakcije.
U ovom vodiču ulazimo dublje. Ovo je sigurnost 2.0, razina koja se očekuje od svakog tko želi dugoročno preživjeti i zaštititi svoja sredstva u Web3 svijetu.
Napredne sigurnosne prijetnje u DeFi okruženju
1. Phishing i klonirane stranice
Najrašireniji napad na kripto korisnike i dalje je phishing. No dok su ranije to bile loše napisane e-mail poruke, danas su to precizno kopirane stranice dApp-ova poput Uniswap, Aave ili Phantom. Korisnik unosi seed, potvrđuje pristup i gubi sve u nekoliko sekundi.
Primjer iz prakse:
2023. godine klonirana je stranica Zapper.fi, a Google oglasi su je gurali iznad prave stranice. Tisuće korisnika izgubile su pristup portfeljima jer su unijeli seed phrase misleći da se „prijavljuju“.
2. DNS poisoning – Curve Finance slučaj
DNS poisoning označava kompromitaciju DNS zapisa tako da umjesto pravog IP-a dApp vodi na napadačev server. Curve Finance je u 2022. godini bio meta upravo takvog napada. Iako je korisnik otvorio pravu domenu (curve.fi), sam sadržaj je došao s napadačevog servera, s promijenjenim wallet adresama.
Rezultat: nekoliko stotina tisuća dolara ukradeno u manje od sat vremena.
3. Session hijacking – otmica browser sesije
Hakeri sve češće ciljaju otvorene sesije Metamaska u browserima, osobito na kompromitiranim javnim WiFi mrežama. Ako je korisnik već autorizirao Metamask za interakciju s nekim dApp-om, napadač može umetnuti zlonamjerne transakcije kroz session hijack skriptu i iskoristiti već aktivirani kontekst browsera.
4. Lažni support botovi i Discord/Twitter prevare
Kad korisnik napiše da ima problem na službenom Discord serveru nekog projekta, u privatne poruke mu se javi „support agent“ s lažnim admin ID-em. Zatraži seed ili potpisivanje „debugging transakcije“. Nažalost, mnogi nasjednu.
Slično se događa na X/Twitteru – ispod bilo koje objave popularnog projekta spamaju se lažne verzije stranice.
5. Malware, sniffer skripte i browser plugin kompromitacije
Postoje zlonamjerne skripte koje presreću clipboard sadržaj i mijenjaju adresu na koju šaljete sredstva. Neke su ugrađene kroz popularne piratske softvere ili Discord toolove. Također, kompromitirani Chrome plugini imaju pristup web2 i web3 interakcijama.
Kako se zaštititi – Sigurnosna strategija za 2025.
Osnovna pravila nisu dovoljna. Za sigurnost u kriptu, potreban je slojevit pristup, sličan strategijama digitalnih operacija u obavještajnim službama. Evo kako izgledaju ključni stupovi obrane.
1. Browser oprema i okruženje
- Koristite zaseban browser samo za kripto (npr. Firefox Developer Edition ili Brave u Incognito modu bez plugina).
- Ugasite automatski clipboard sync, isključite cloud backup clipboard povijesti.
- Nikad ne koristite browser koji ima instalirane toolbare, neprovjerene plugine ili previše proširenja.
- Isključite automatski login, auto-fill i password manager unutar browsera.
2. Permission menadžment i revizija povezanih dApp-ova
- Redovito koristite alate poput Revoke.cash ili Etherscan Token Approvals za pregled i povlačenje token permissions.
- Svaki dApp kojem date “infinite approval” može potpisati sve vaše tokene – sve dok vi to ne povučete.
3. Airgapped setup i hardverski layeri
- Ako držite značajne iznose, koristite airgapped uređaj – laptop koji nikad ne ide online, s Electrum ili Sparrow walletom.
- Potpisivanje transakcija se radi QR kodom (npr. preko Keystone walleta) i fizičkim transferom – nikad ne unosite seed frazu u online uređaj.
- Hardverski novčanici poput Trezora, Ledgera i Grid+ Signer uređaja trebaju biti zaštićeni PIN-om i po mogućnosti passphrase slojem (25. riječ, tzv. “hidden wallet”).
4. 2FA (ali pravi)
- Izbjegavajte SMS 2FA – lako je presresti.
- Koristite TOTP-based 2FA (npr. Aegis na Androidu, Authy s backupima isključenima, OTP Auth na iOS-u).
- Poželjno je koristiti YubiKey kao fizički ključ za pristup burzama ili osjetljivim servisima.
Primjeri iz prakse – Kada je znanje spasilo sredstva
1. Curve Finance DNS napad (2022.)
Jedan korisnik je primijetio da mu browser označava stranice kao „not verified“ i da wallet adrese ne odgovaraju službenima. Provjerio je hash stranice i wallet destinaciju, prepoznao razliku i izbjegao potpisivanje transakcije.
2. LedgerConnect incident (2023.)
Zlonamjerni plugin pojavio se u Chrome Storeu pod imenom LedgerConnect. Imitirao je službeni plugin, ali je zapravo presretao seed unose i podatke o adresama. U roku od 2 tjedna, ukradeno je preko $500.000. Google ga je uklonio, ali prekasno za mnoge korisnike.
3. Polygon whale slučaj (2024.)
Whale wallet vrijedan $6.3M sredstava napadnut je kroz session hijacking jer je korisnik ostavio browser otvoren na kompromitiranom WiFi-u u hotelu. Napadač je ušao u autorizirani session i preusmjerio transakciju kroz signature replay attack.
Zaključak: Sigurnost u kriptu je stil života, a ne alat
Ako koristite samo Metamask i hardverski wallet, a pritom ste online 24/7, bez ikakvih revizija permissionsa, klikate na sve što se nudi i povezujete se na nepoznate dApp-ove – niste sigurni.
Sigurnost u kriptu zahtijeva proaktivan, paranoidno-svjestan mindset.
To uključuje tehničku disciplinu, redovitu edukaciju, minimizaciju vektora napada i, najvažnije – mentalnu pripremu za najgori scenarij.
Nemojte čekati da izgubite sredstva da biste se educirali. Počnite danas.
Zanimljivo za pročitati: Pet činjenica o Bitcoinu, gdje si ti u toj priči?
U svijetu kriptovaluta gdje je buka veća od znanja, edukacija je tvoj najvažniji alat.
Ne gradi mišljenje o tržištu na osnovu memova, FOMO objava i lažnih obećanja o “pasivnoj zaradi” – nego na znanju, iskustvu i razumijevanju kako stvari zaista funkcioniraju.
Možete se pridružiti na Discord zajednici ili isprobajte The Chukanomics program.
Ostanite s nama i nastavite pratiti najnovije vijesti i trendove iz svijeta kripta uz našu vlastitu društvenu mrežu:
Zapratite nas na društvenim mrežama.
Hvala svima što čitate naše članke na kriptoentuzijasti.io! 🚀 Ako vam se sviđa ono što čitate, podijelite ih na društvenim mrežama i pomozite nam širiti kripto znanje. Zajedno gradimo svijet kripta! 💪🔗 #Kriptoentuzijasti #Dijeliznanje crypto #Kriptoedukacija #EtherX #društevenamreža #Crypto # binance istraga
