Bezpieczeństwo, dochodzenia, odzyskiwanie środków i ochrona aktywów

Ekskluzywny wywiad dla portalu iTrusty.io

Alexander Mercer, redaktor naczelny iTrusty.io × Robert Stanley, kierownik działu cyberbezpieczeństwa

Słowo od redakcji

W 2025 roku branża kryptowalutowa stanęła w obliczu kradzieży na bezprecedensową skalę: według danych Chainalysis i TRM Labs w ciągu roku skradziono ponad 3,4 miliarda dolarów. Sam atak na dubajską giełdę Bybit w lutym 2025 roku przyniósł hakerom z północnokoreańskiej grupy Lazarus około 1,5 miliarda dolarów w Ethereum — to największa kradzież w historii branży kryptowalutowej i jedna z największych kradzieży finansowych w dziejach ludzkości.

Jednocześnie liczba incydentów związanych z kompromitacją prywatnych portfeli wzrosła do 158 000 przypadków, dotykając ponad 80 000 unikalnych ofiar. Północnokoreańscy hakerzy skradli łącznie 2,02 miliarda dolarów tylko w 2025 roku — o 51% więcej niż rok wcześniej — co podniosło skumulowaną szacunkową wartość środków skradzionych przez Pjongjang do 6,75 miliarda dolarów.

Żyjemy w epoce, w której cyfrowe aktywa warte setki miliardów dolarów chronione są zestawem 12 słów zapisanych na kartce papieru, a zawodowi hakerzy państwowi atakują giełdy kryptowalutowe z taką samą metodycznością, z jaką jednostki specjalne szturmują obiekty wojskowe.

Aby zrozumieć anatomię kryptoprzestępstw, technologię dochodzeń i praktyczne sposoby ochrony, zorganizowaliśmy spotkanie dwóch ekspertów.

Alexander Mercer — redaktor naczelny portalu iTrusty.io, prowadzący rubrykę „AI × Crypto: Data-Driven Insights", specjalista w zakresie przenikania się technologii i rynków finansowych. Jego cotygodniowe przeglądy czyta ponad 200 tysięcy subskrybentów.

Robert Stanley — kierownik działu cyberbezpieczeństwa w jednym z największych banków na świecie. Wcześniej kierował wydziałem dochodzeniowym ds. przestępczości wysokich technologii w departamencie policji jednego z krajów europejskich. W ciągu ponad 15 lat kariery brał udział w śledztwach dotyczących dziesiątek poważnych kryptoprzestępstw, w tym spraw z udziałem państwowych grup hakerskich. Ze względów bezpieczeństwa i polityki korporacyjnej nazwa banku oraz kraju pozostają nieujawnione.

Format spotkania: rozbudowany wywiad ekspercki. Alexander Mercer zadaje pytania z perspektywy dziennikarza i analityka, Robert Stanley odpowiada z perspektywy praktyka — człowieka, który osobiście prowadził śledztwa w sprawie największych włamań i budował systemy zabezpieczeń dla graczy instytucjonalnych. Rozmowa trwała ponad cztery godziny i objęła wszystko: od technicznej anatomii włamań po psychologię ofiar, od blockchain forensics po praktyczne zalecenia dotyczące przechowywania kryptoaktywów. Przed Państwem pełna transkrypcja.

Część I. Skala problemu: ile kradnie się w kryptowalutach i dlaczego liczby rosną

Alexander Mercer: Robert, zacznijmy od skali. Przeciętny człowiek, który słyszy „skradziono półtora miliarda z giełdy", odbiera to jak scenkę z filmu. Na ile realny i systemowy jest problem kradzieży w branży kryptowalutowej?

Robert Stanley: To nie film — to rzeczywistość, a skala zaskakuje nawet nas, profesjonalistów. Przyjrzyjmy się liczbom z ostatnich lat, bo dynamika mówi sama za siebie.

W 2022 roku padł poprzedni rekord — 3,8 miliarda dolarów skradzionych środków. W 2023 roku wolumen kradzieży spadł do 1,7 miliarda — o 54%. Wydawało się, że branża wyciąga wnioski. Jednak w 2024 roku trend się odwrócił: 2,2 miliarda dolarów, wzrost o 21% rok do roku, 303 oddzielne incydenty. A 2025 rok pobił wszelkie rekordy: 3,4 miliarda dolarów, przy czym tylko w pierwszym półroczu skradziono 2,17 miliarda — więcej niż przez cały 2024 rok.

Alexander Mercer: Wynika z tego, że branża rośnie — i kradzieże rosną razem z nią?

Robert Stanley: Dokładnie. Ważne jest jednak zachowanie kontekstu: całkowity wolumen kradzieży stanowi mniej niż 1% ogólnego wolumenu transakcji kryptowalutowych. Problem jest realny, ale nie definiuje całej branży. Definiuje ją zdolność do reagowania, prowadzenia dochodzeń i odzyskiwania środków.

To, co niepokoi mnie jako specjalistę, to przesunięcie w charakterze zagrożeń. O ile wcześniej głównym celem były protokoły DeFi z niezaudytowanym kodem, to w latach 2024–2025 uwaga skupiła się na scentralizowanych serwisach i kompromitacji kluczy prywatnych. Według danych TRM Labs ataki na infrastrukturę — przede wszystkim kradzież kluczy prywatnych i seed phrase — stanowiły prawie 70% całkowitej wartości skradzionych środków w 2024 roku. Oznacza to, że problem przeniósł się z obszaru „zły kod" do obszaru „złe procesy bezpieczeństwa".

Alexander Mercer: A Korea Północna — to nie mit? Państwo naprawdę zajmuje się kradzieżą kryptowalut?

Robert Stanley: To nie mit i nie przesada. Korea Północna jest jedynym państwem na świecie, które systematycznie, na poziomie rządowym, kradnie kryptowaluty w celu finansowania swoich programów wojskowych. W 2025 roku północnokoreańscy hakerzy skradli 2,02 miliarda dolarów — to 76% wszystkich kradzieży z serwisów. Skumulowana suma od początku ich operacji wynosi co najmniej 6,75 miliarda dolarów.

Grupa Lazarus, stojąca za większością tych ataków, stosuje niezwykle wyrafinowane metody. Jednym z kluczowych wektorów jest infiltrowanie zachodnich firm przez północnokoreańskich specjalistów IT podszywających się pod freelancerów. Osoby te uzyskują legalny dostęp do systemów i przekazują go swoim kolegom hakerom. To nie jest „haker w kapturze w piwnicy" — to zorganizowana, zasobna, państwowa operacja.

FBI otwarcie stwierdziło, że za włamaniem na Bybit stoi KRLD. Tradycyjne narzędzia sankcyjne niestety nie działają — Korea Północna i tak objęta jest sankcjami maksymalnymi. Dla nich kradzieże kryptowalut to nie przestępstwo, lecz strategia gospodarcza.

Część II. Anatomia kryptoprzestępstw: wszystkie metody włamania i kradzieży

Alexander Mercer: Omówmy to możliwie szczegółowo. Jakich dokładnie metod używają przestępcy do kradzieży kryptowalut? Chcę, żeby nasi czytelnicy rozumieli każdy wektor ataku.

Robert Stanley: To właściwe podejście, bo bez zrozumienia zagrożeń nie ma mowy o ochronie. Usystematyzuję wszystkie główne wektory — jest ich siedem szerokich kategorii, każda z podkategoriami.

Kategoria 1. Exploity smart kontraktów

Robert Stanley: Smart kontrakty to kod programistyczny, który zarządza miliardami dolarów. Błąd w jednej linii może kosztować setki milionów.

Ataki reentrancy

Klasyczny wektor, który zasłynął już w 2016 roku przy ataku na DAO, kiedy skradziono 3,6 miliona ETH (60 milionów dolarów po ówczesnym kursie). Zasada jest prosta: atakujący wywołuje funkcję wypłaty środków, a zanim kontrakt zdąży zaktualizować saldo, rekurencyjnie wywołuje tę samą funkcję. Kontrakt „myśli", że saldo się nie zmieniło, i ponownie wypłaca środki. Wydawałoby się, że wszyscy o tym wiedzą. Jednak w 2023 roku Curve Finance stracił około 70 milionów dolarów przez analogiczną lukę. Programiści znają teorię, ale w złożonych systemach z dziesiątkami współdziałających kontraktów błędy reentrancy chowają się w nieoczywistych miejscach.

Manipulacje wyroczniami (oracle manipulation)

Smart kontrakty nie mają bezpośredniego dostępu do danych zewnętrznych. Ceny aktywów, kursy walut i inne informacje otrzymują za pośrednictwem wyroczni — zewnętrznych serwisów pośredniczących. Jeśli atakujący może chwilowo zmanipulować cenę aktywa na jednej platformie (np. przez flash loan), może „oszukać" wyrocznię i przeprowadzić korzystną transakcję po sztucznej cenie. To tak, jakby ktoś tymczasowo zmienił kurs dolara na tablicy kantoru, gdy wymieniasz pieniądze.

Błędy logiczne w systemach zabezpieczeń i płynności

Protokoły pożyczkowe i płynnościowe DeFi wykorzystują złożone formuły matematyczne do obliczania zabezpieczeń, stóp procentowych i pozycji. Błąd w formule, nieprzewidziany przypadek brzegowy, nieprawidłowe zaokrąglenie — i atakujący może wypłacić więcej, niż mu przysługuje. Albo stworzyć pozycję, która „systemowo" nie może zostać zlikwidowana.

Luki w mostach (bridge exploits)

Mosty to infrastruktura służąca do przenoszenia aktywów między blockchainami. W istocie to „bank", który przechowuje zabezpieczenia w jednej sieci i emituje równoważne tokeny w innej. To właśnie mosty stały się najkosztowniejszym celem: Ronin Network stracił 624 miliony, Wormhole — 320 milionów, Nomad — 190 milionów. Powodem jest to, że mosty łączą złożoność interakcji między sieciami z ogromnymi wolumenami zablokowanych środków.

Ataki flash loan

Flash loan to natychmiastowa pożyczka bez zabezpieczenia, która musi zostać spłacona w ramach jednej transakcji. To legalny instrument, który atakujący wykorzystują do manipulacji: pożyczają ogromną kwotę, manipulują ceną, wyciągają zysk, spłacają pożyczkę — wszystko w jednej transakcji. Atakujący nie potrzebuje własnego kapitału.

Kategoria 2. Kompromitacja kluczy prywatnych i seed phrase

Alexander Mercer: Powiedział Pan, że to obecnie główny wektor — 70% wszystkich kradzieży. Proszę opowiedzieć o tym szerzej.

Robert Stanley: To jednocześnie „najprostsza" i najbardziej niebezpieczna metoda. Klucz prywatny to jedyna rzecz potrzebna do pełnej kontroli nad portfelem. Seed phrase to mnemiczna reprezentacja klucza, zazwyczaj 12 lub 24 słowa. Kto posiada klucz — posiada aktywa. Bez wyjątków, bez odwołań.

Phishing — klasyczny i zaawansowany

Najpowszechniejsza metoda. Ofiara otrzymuje wiadomość e-mail, wiadomość na Telegramie, Discordzie lub Twitterze imitującą legalny serwis: giełdę, portfel, protokół DeFi. Link prowadzi do strony phishingowej, wizualnie nieodróżnialnej od oryginału. Ofiara wprowadza seed phrase lub podpisuje złośliwą transakcję.

Zaawansowany phishing w 2025 roku wykorzystuje sztuczną inteligencję do generowania spersonalizowanych wiadomości, klonowania głosu podczas połączeń telefonicznych oraz tworzenia deepfake'ów na potrzeby wideokonferencji. Widzieliśmy przypadki, w których „współpracownicy" na wideorozmowie prosili o podpisanie transakcji — a wszystkie twarze na ekranie były deepfake'ami.

Złośliwe oprogramowanie (malware)

Klippery — programy podmieniające skopiowany adres portfela na adres atakującego. Kopiujesz adres znajomego, wklejasz w pole nadawcy — a trafia tam adres hakera. Keyloggery — rejestrują wszystkie naciśnięcia klawiszy, w tym wprowadzanie haseł i seed phrase. Stealery — wyspecjalizowane oprogramowanie przeszukujące komputer w poszukiwaniu plików portfeli, konfiguracji, plików cookie i sesji. Trojany typu InfoStealer, takie jak RedLine, Raccoon czy Vidar, to masowe zagrożenie. Rozprzestrzeniają się przez pirackie oprogramowanie, „złamane" programy i fałszywe aktualizacje.

Zainfekowane biblioteki i CI/CD

Ten wektor jest wymierzony w deweloperów. Atakujący publikuje złośliwy pakiet w npm, PyPI lub innym repozytorium, nadając mu nazwę zbliżoną do popularnej biblioteki (typosquatting). Deweloper instaluje go, a złośliwy kod uzyskuje dostęp do kluczy prywatnych, zmiennych środowiskowych i sekretów pipelinu CI/CD. W ten właśnie sposób doszło do kompromitacji kluczy kilku dużych projektów.

Wyciek seed phrase przez czynnik ludzki

Zdjęcie seed phrase w chmurze (Google Photos, iCloud), notatka w aplikacji na telefonie, plik „passwords.txt" na pulpicie, seed phrase w notatce menedżera haseł, który został skompromitowany (jak LastPass w 2022 roku). Wydawałoby się — oczywiste błędy. Jednak właśnie one pozostają jednym z głównych kanałów wycieków.

„Podpisałem nie to" — malicious approval

Użytkownik podłącza portfel do strony i podpisuje transakcję, nie rozumiejąc jej treści. Zamiast „zezwól temu kontraktowi na użycie 100 USDT" podpisuje „zezwól temu kontraktowi na użycie nieograniczonej ilości wszystkich moich tokenów". Albo podpisuje permit, który daje atakującemu prawo do wypłaty środków bez dodatkowych potwierdzeń. To zmora użytkowników DeFi.

Dokładnie w ten sposób doszło do włamania na Bybit: sygnatariusze portfela multisig zatwierdzili transakcję, nie sprawdzając, co dokładnie podpisują na ekranie portfela sprzętowego. Gdyby zweryfikowali dane transakcji, 1,5 miliarda dolarów pozostałoby bezpieczne.

Kategoria 3. Ataki na infrastrukturę

Robert Stanley: To bardziej „tradycyjne" ataki hakerskie, zaadaptowane do środowiska kryptowalutowego.

DNS hijack — podmiana domeny

Atakujący przejmuje kontrolę nad rekordami DNS domeny projektu. Gdy użytkownik wchodzi na znajomą stronę pod przyzwyczajonym adresem, zostaje przekierowany na phishingową kopię. Domena jest ta sama, certyfikat SSL może zostać ponownie wystawiony. Ofiara nie widzi różnicy. W ten sposób zaatakowano kilka dużych projektów DeFi.

Podmiana frontendu

Atakujący kompromituje CDN (sieć dostarczania treści) lub pipeline CI/CD projektu i modyfikuje frontend — interfejs użytkownika. Smart kontrakt pozostaje bezpieczny, ale interfejs podstawia złośliwy adres w transakcjach. Użytkownik myśli, że wchodzi w interakcję z legalnym kontraktem, a w rzeczywistości wysyła środki do hakera.

Kompromitacja kluczy API giełd

Jeśli użytkownik tworzy klucz API na giełdzie dla bota lub zewnętrznego serwisu, a klucz ten wycieka (przez skompromitowany serwis, repozytorium GitHub lub logi), atakujący uzyskuje dostęp do konta handlowego. Może handlować i wypłacać środki, jeśli klucz posiada odpowiednie uprawnienia.

Ataki SIM-swap

Atakujący przekonuje operatora komórkowego do przepisania karty SIM ofiary na swoje dane. Uzyskuje dostęp do kodów SMS używanych w 2FA. Loguje się do poczty, giełdy, portfela. Ten atak jest szczególnie skuteczny w krajach, gdzie operatorzy stosują niewystarczającą weryfikację tożsamości. Widzieliśmy dziesiątki przypadków, w których SIM-swap prowadził do utraty setek tysięcy dolarów.

Ataki na przechowywanie w chmurze i serwery

Jeśli klucze prywatne lub seed phrase przechowywane są na serwerze w chmurze, VPS lub w sieci korporacyjnej — kompromitacja tej infrastruktury automatycznie oznacza kompromitację portfeli. Wyciek z AWS S3, skompromitowane konto administratora, błędna konfiguracja uprawnień — to wszystko realne wektory ataku.

Kategoria 4. Inżynieria społeczna i zagrożenia wewnętrzne

Alexander Mercer: To chyba najbardziej „ludzki" wektor?

Robert Stanley: Tak, i często najbardziej niszczycielski. Tu problem nie leży w technologii, lecz w zaufaniu, manipulacji i ludzkich słabościach.

„Pig butchering" — romantyczne oszustwa kryptowalutowe

Schemat, który stał się prawdziwą epidemią. Ofiara poznaje „atrakcyjną" osobę w mediach społecznościowych lub na portalu randkowym. Nawiązuje się relacja — czasem trwająca tygodnie, a nawet miesiące. Następnie „partner" opowiada o „niesamowitej okazji inwestycyjnej" w kryptowalutach. Ofiara rejestruje się na fałszywej platformie, wpłaca pieniądze, widzi na ekranie „zyski". Inwestuje coraz więcej. Gdy próbuje wypłacić — pieniądze znikają.

Według danych Departamentu Sprawiedliwości USA tylko w 2024 roku Amerykanie stracili około 10 miliardów dolarów na oszustwach inwestycyjnych związanych z kryptowalutami. W październiku 2025 roku DOJ zajął ponad 15 miliardów dolarów w ramach jednej z największych operacji wymierzonych w sieć pig butchering. Skala tych schematów jest przemysłowa i często wiąże się z wykorzystywaniem pracy przymusowej w call center w Azji Południowo-Wschodniej.

Fałszywe platformy inwestycyjne

Podróbki giełd z profesjonalnym designem, fałszywymi wykresami i „obsługą klienta". Ofiara przelewa środki — i nigdy ich więcej nie widzi. Platformy te są często reklamowane przez YouTube, kanały Telegram, kampanie spamowe, a teraz również przez wygenerowanych przez AI „ekspertów finansowych" w filmach wideo.

Ataki wewnętrzne (insider attacks)

Najbardziej nieprzyjemna kategoria. Pracownik giełdy, deweloper projektu, partner lub podwykonawca mający dostęp do systemów wykorzystuje go do kradzieży. Albo udostępnia dostęp zewnętrznemu atakującemu. Kradzieże wewnętrzne są szczególnie trudne do wykrycia, ponieważ „napastnik" wygląda jak legalny użytkownik.

Korea Północna aktywnie wykorzystuje ten wektor: jej specjaliści IT podstępnie zatrudniają się na stanowiskach zdalnych w zachodnich firmach, uzyskują dostęp do wewnętrznych systemów i otwierają drzwi dla grupy hakerskiej.

Fałszywe airdropy i konkursy

„Elon Musk rozdaje bitcoiny — wyślij 0,1 BTC i otrzymaj 1 BTC z powrotem". Wydawałoby się — absurd. Ale ludzie wciąż na to się nabierają. Bardziej wyrafinowana wersja: fałszywe airdropy wymagające „potwierdzenia" udziału przez podłączenie portfela do złośliwego kontraktu.

Kategoria 5. Rug pull — „wyciągnięcie dywanu"

Robert Stanley: Osobna kategoria zasługująca na uwagę. Rug pull to sytuacja, w której twórcy projektu celowo tworzą token lub protokół w celu przyciągnięcia inwestycji, po czym zabierają wszystkie środki i znikają.

Jak to działa: zespół tworzy token, pompuje hype przez media społecznościowe i influencerów, przyciąga płynność od inwestorów, a następnie jednorazowo wypłaca wszystkie środki z puli płynności. Cena tokena spada do zera. Inwestorzy zostają z bezwartościowymi tokenami.

Warianty: „soft rug" — zespół nie znika natychmiast, lecz stopniowo traci zainteresowanie, wstrzymuje rozwój i sprzedaje swoje tokeny. „Hard rug" — natychmiastowe wypłacenie całej płynności. „Honeypot" — token, który można kupić, ale technicznie nie można sprzedać ze względu na ukryty kod w kontrakcie.

Kategoria 6. Ataki na bezpieczeństwo fizyczne

Alexander Mercer: Cały czas mówimy o atakach cyfrowych. A zagrożenia fizyczne?

Robert Stanley: Niestety to rosnący trend. Wraz ze wzrostem wartości kryptoaktywów rośnie też liczba fizycznych napaści na posiadaczy kryptowalut.

„Wrench attack" — atak kluczem French — to termin ze społeczności kryptowalutowej opisujący sytuację, w której przestępca fizycznie grozi właścicielowi portfela, aby uzyskać dostęp do środków. Może to być porwanie, napad lub szantaż. Publiczne listy takich incydentów odnotowują dziesiątki przypadków na całym świecie, niektóre ze skutkiem śmiertelnym.

W latach 2024–2025 odnotowano wzrost liczby celowanych napadów na inwestorów i przedsiębiorców działających w sektorze kryptowalut. Atakujący wyszukują ofiary na podstawie publicznych danych z blockchaina, aktywności w mediach społecznościowych oraz uczestnictwa w konferencjach.

Kategoria 7. Zagrożenia państwowe i systemowe

Robert Stanley: Osobno warto wspomnieć o ryzykach związanych nie z hakerami, lecz z państwami i awariami instytucjonalnymi.

Konfiskata: organy państwowe mogą zamrozić lub zająć kryptoaktywa na regulowanych platformach. Upadki giełd: FTX, Mt. Gox, QuadrigaCX — przypadki, w których środki użytkowników stały się niedostępne nie wskutek zewnętrznego włamania, lecz z powodu oszustwa lub niekompetencji kierownictwa giełdy. Zmiany regulacyjne: nagłe zakazy, blokady i nowe wymogi mogą ograniczyć dostęp do środków.

Część III. Chain forensics: jak bada się kradzieże w blockchainie

Alexander Mercer: Przejdźmy teraz do tematu śledztw. Czy stwierdzenie „w kryptowalutach wszystko jest anonimowe" jest prawdziwe?

Robert Stanley: To jeden z najbardziej uporczywych mitów. Blockchain nie jest systemem anonimowym. To system pseudonimowy. I ta różnica jest ogromna.

Anonimowość oznaczałaby, że transakcji nie można zobaczyć. Tymczasem blockchain to dosłownie publiczna księga rachunkowa. Każda transakcja jest zapisana na zawsze, dostępna dla każdego i niezmienialna. Owszem, adres portfela to jedynie ciąg znaków, a nie imię i nazwisko. Jednak powiązanie adresu z konkretną osobą to właśnie to, czym zajmuje się chain forensics.

Czym jest chain forensics jako branża?

Robert Stanley: Chain forensics to branża na styku kilku dyscyplin. To nie jest „jeden przycisk" ani magiczne narzędzie. To ekosystem złożony z pięciu kluczowych elementów.

Pierwszy element to dane. Są to węzły blockchainów, indeksatory i archiwa transakcji. Do prowadzenia śledztwa potrzebny jest dostęp do pełnej historii każdego adresu, każdego kontraktu i każdego przepływu środków we wszystkich sieciach.

Drugi to analityka. Klasteryzacja adresów, budowanie grafów transakcji, wykrywanie wzorców. To praca algorytmiczna, w której AI i uczenie maszynowe odgrywają coraz większą rolę.

Trzeci to praca operacyjna. Kontakty z giełdami, biurami OTC, mostami i dostawcami portfeli. Gdy ustalisz, że środki trafiły na określoną giełdę, musisz szybko skontaktować się z jej działem compliance w celu ich zamrożenia.

Czwarty to compliance i aspekty prawne. Listy sankcyjne, procedury AML, przygotowanie materiału dowodowego dla sądu oraz współpraca z organami ścigania.

Piąty to reagowanie na incydenty (incident response). To działania, które należy podjąć w pierwszych minutach i godzinach po włamaniu.

Kluczowi gracze branży chain forensics

Jak działa klasteryzacja adresów?

Alexander Mercer: W blockchainie istnieją miliardy adresów. Przestępcy rozbijają środki na setki portfeli. W jaki sposób łączycie je w jeden „klaster"?

Robert Stanley: Klasteryzacja to nie zgadywanie. To systematyczne gromadzenie sygnałów, z których każdy zwiększa pewność co do powiązania między adresami.

Wzorce behawioralne: identyczne odstępy czasowe między transakcjami, identyczne kwoty (lub kwoty powiązane matematycznie), podobne sekwencje kroków. Jeśli dwa adresy wykonują transakcje w odstępie 3 minut i 47 sekund pięć razy z rzędu — to nie jest przypadek.

Powiązania techniczne: w blockchainach opartych na UTXO (Bitcoin) — wspólne wejścia w transakcjach, co zazwyczaj oznacza kontrolę przez jeden klucz. W blockchainach opartych na kontach (Ethereum) — interakcje przez wspólne kontrakty pośredniczące oraz wzorce opłat za gaz.

Ślady infrastrukturalne: korzystanie z tych samych mostów, mikserów i kontraktów do wymiany. Identyczne trasy przepływu środków.

Powiązania ze znanymi podmiotami: adresy depozytowe scentralizowanych giełd, znane hot-wallety serwisów, adresy objęte sankcjami OFAC. Gdy środki trafiają na adres, który powiązaliśmy już z konkretną giełdą — łańcuch się zamyka.

Ważna zasada: poważne śledztwa posługują się gradacją pewności. Nie mówimy „to na pewno ten człowiek" bez podstaw. Pracujemy z kategoriami: high confidence, medium confidence, low confidence — i zawsze wskazujemy, na jakich danych opiera się dane twierdzenie.

Miksery, tumblery i monety prywatności: czy można „zatrzeć" ślad?

Alexander Mercer: A co z mikserami takimi jak Tornado Cash? Czy nie zacierają śladów?

Robert Stanley: Miksery komplikują zadanie, ale go nie uniemożliwiają. Tornado Cash, ChipMixer, Sinbad — wszystkie te serwisy „mieszają" środki różnych użytkowników, aby zerwać połączenie między nadawcą a odbiorcą.

Forensics dysponuje jednak środkami zaradczymi. Analiza czasu: kiedy środki trafiają do miksera i kiedy z niego wychodzą — korelacja według czasu i kwot. Analiza „pyłu": drobne pozostałości, których nie da się idealnie „wymieszać". Deanonimizacja adresów depozytowych miksera za pomocą danych zewnętrznych. Analiza sieciowa: jeśli ten sam użytkownik wielokrotnie korzysta z miksera, jego wzorzec staje się rozpoznawalny.

Ponadto duże miksery trafiają na listy sankcyjne. Tornado Cash zostało wpisane na listę sankcyjną OFAC w 2022 roku. Oznacza to, że środki, które przeszły przez Tornado Cash, są automatycznie „oznaczane" w systemach compliance wszystkich regulowanych giełd.

Jeśli chodzi o monety prywatności (Monero, Zcash) — faktycznie znacznie komplikują prowadzenie śledztw. Monero wykorzystuje podpisy pierścieniowe, ukryte adresy i poufne transakcje. Jednak nawet tutaj istnieją punkty podatności: moment wejścia (zakup Monero za inną kryptowalutę) oraz wyjścia (wymiana z powrotem). Podobno pewna rosyjska firma opracowała nawet narzędzia do częściowej deanonimizacji Monero.

Część IV. Pierwsza godzina po kradzieży: protokół działania krok po kroku

Alexander Mercer: Załóżmy, że nasz czytelnik odkrył, że jego środki zostały skradzione. Albo kierownik projektu kryptograficznego dowiedział się o włamaniu. Co robić? Proszę o instrukcję krok po kroku.

Robert Stanley: Pierwsza godzina to jak reanimacja. Każda minuta jest na wagę złota. Przedstawię dwa protokoły: dla indywidualnych użytkowników oraz dla projektów i firm.

Protokół dla indywidualnego użytkownika: co robić, gdy skradziono Twoją kryptowalutę

Krok 1. Zatamuj krwawienie (pierwsze 5 minut)

Natychmiast przenieś wszystkie pozostałe środki ze skompromitowanego portfela na nowy, bezpieczny adres. Jeśli to konto na giełdzie — zamroź je przez dział wsparcia i cofnij wszystkie klucze API. Jeśli seed-fraza została skompromitowana — uznaj, że WSZYSTKIE portfele utworzone z tej frazy są zagrożone. Utwórz nowy portfel z NOWĄ seed-frazą na CZYSTYM urządzeniu.

Krok 2. Zabezpiecz dowody (5–30 minut)

Zapisz: dokładny czas odkrycia, hasze transakcji, przez które wyprowadzono środki, adresy nadawcy (Twój) i odbiorcy (przestępcy), kwoty i rodzaje tokenów, zrzuty ekranu, korespondencję oraz podejrzane linki. Na tym etapie nie próbuj niczego „naprawiać" — tylko dokumentuj. Dane te będą potrzebne do śledztwa i ewentualnego postępowania sądowego.

Krok 3. Powiadom giełdy (30 minut – 2 godziny)

Jeśli środki zostały przelane na giełdę — natychmiast skontaktuj się z jej działem obsługi klienta. Wszystkie duże giełdy (Binance, Coinbase, Kraken, OKX, Bybit) posiadają procedury awaryjnego zamrożenia środków po przedstawieniu dowodów kradzieży. Im szybciej się zgłosisz, tym większa szansa, że środki zostaną zamrożone zanim haker zdąży je wypłacić.

Co dołączyć do zgłoszenia: hasze transakcji, opis incydentu, Twój adres (nadawca), adres odbiorcy oraz potwierdzenie Twojego prawa własności (historia transakcji, dane KYC).

Krok 4. Skontaktuj się ze specjalistami ds. forensics (2–24 godziny)

Jeśli kwota jest znaczna — skontaktuj się z firmą specjalizującą się w śledztwach blockchain (Chainalysis, TRM Labs, SlowMist, Crystal Blockchain lub niezależni eksperci). Mogą oni: prześledzić drogę środków, przygotować raport dla organów ścigania, powiadomić giełdy swoimi kanałami (często szybciej niż przez publiczny dział wsparcia).

Krok 5. Złóż zawiadomienie na policję (24–72 godziny)

Nawet jeśli wydaje się, że „policja nie pomoże" — zawiadomienie jest konieczne. Po pierwsze, stanowi ono podstawę prawną do żądania danych od giełd. Po drugie, w niektórych jurysdykcjach bez zawiadomienia nie można zainicjować procesu odzyskania środków. Po trzecie, jeśli sprawa będzie prowadzona na poziomie międzynarodowym (Interpol, Europol, FBI), Twoje zawiadomienie stanie się częścią materiału dowodowego.

Krok 6. Przeprowadź audyt bezpieczeństwa (1–7 dni)

Ustal, JAK doszło do kradzieży. Sprawdź komputer pod kątem złośliwego oprogramowania, zmień hasła we wszystkich serwisach, włącz lub wzmocnij 2FA, przejrzyj wszystkie aktywne sesje i połączenia. Jeśli nie udało się ustalić przyczyny — skontaktuj się ze specjalistą ds. bezpieczeństwa informacji.

Protokół dla projektu/firmy: pierwsza godzina po wykryciu włamania

Robert Stanley: W przypadku projektów procedura jest bardziej złożona i wymaga koordynacji całego zespołu.

Część V. Czy można odzyskać skradzioną kryptowalutę?

Alexander Mercer: Najważniejsze pytanie od naszych czytelników: czy istnieje realna szansa na odzyskanie skradzionych środków?

Robert Stanley: Szczera odpowiedź: czasami tak. Zależy to jednak od wielu czynników.

Od czego zależy szansa na odzyskanie środków?

Szybkość reakcji — to najbardziej krytyczny czynnik. Jeśli środki trafiły na CEX zanim powiadomiłeś giełdę — mogą zostać zamrożone. Jeśli hakerowi udało się je już wypłacić — szansa gwałtownie spada.

Trasa przepływu środków. Jeśli pieniądze trafiły na regulowaną giełdę — szansa na zamrożenie jest wysoka. Jeśli przez mikser i dalej do Monero — szansa jest minimalna. Jeśli przez zdecentralizowany most do innej sieci — zależy od stopnia skomplikowania śledztwa.

Jurysdykcja. Jeśli haker przebywa w kraju z rozwiniętym systemem prawnym — sąd może nakazać zwrot środków. Jeśli to Korea Północna — szans nie ma.

Kwota. Co paradoksalne, duże kradzieże są ścigane aktywniej. 1,5 miliarda dolarów z Bybit zmobilizowało całą branżę. 5 000 dolarów z prywatnego portfela — niestety spotka się z minimalnym zainteresowaniem.

Jakość materiału dowodowego. Im lepiej udokumentowane — tym łatwiej prowadzić śledztwo i tym bardziej przekonujące dla sądu.

Rzeczywiste przypadki odzyskania środków

Jak widać, spektrum jest szerokie. Od pełnego odzyskania środków w ciągu kilku dni do wieloletnich procesów sądowych. Jednak nawet gdy pełny zwrot jest niemożliwy, forensics przynosi korzyści: pomaga zamknąć lukę bezpieczeństwa, odbudować zaufanie użytkowników, dostarczyć przejrzysty raport, zmniejszyć ryzyko powtórzenia incydentu i wesprzeć organy ścigania w prowadzeniu śledztwa.

Część VI. Gdzie i jak przechowywać kryptowalutę: kompletny przewodnik po bezpieczeństwie

Alexander Mercer: Przejdźmy do praktyki. Jak zwykły człowiek może chronić swoje kryptoaktywa?

Robert Stanley: Zacznijmy od fundamentalnej zasady: nie istnieje w 100 % bezpieczny sposób przechowywania. Istnieje jednak pewne spektrum — od „bardzo niebezpiecznego" do „maksymalnie zabezpieczonego". Twoim zadaniem jest wybrać poziom bezpieczeństwa odpowiadający Twojej kwocie i potrzebom.

Rodzaje portfeli: od najbardziej ryzykownych do najbezpieczniejszych

Portfele sprzętowe 2026: co wybrać?

Robert Stanley: Portfel sprzętowy to złoty standard przechowywania. Twoje klucze prywatne nigdy nie opuszczają fizycznego urządzenia, nawet podczas podłączenia do komputera. Oto główne modele:

Zasada dywersyfikacji aktywów: „Nie wkładaj wszystkich jajek do jednego koszyka"

Alexander Mercer: Jak prawidłowo rozdzielić kryptoaktywa pomiędzy różne miejsca przechowywania?

Robert Stanley: Dla większości użytkowników polecam zasadę 5/25/70.

5 % — na giełdzie. Tylko te środki, którymi aktywnie handlujesz w danej chwili. Gotówka podręczna do transakcji.

25 % — w gorącym portfelu (MetaMask, Trust Wallet, Phantom). Do DeFi, stakingu i codziennych transakcji. Kwoty, których ewentualną utratę jesteś w stanie zaakceptować.

70 % — w portfelu sprzętowym lub w multisig. Długoterminowe oszczędności. To, czego nie planujesz ruszać przez miesiące lub lata.

W przypadku dużych kwot (powyżej $100 000) polecam konfigurację multisig: 2-z-3 lub 3-z-5 kluczy, rozproszonych pomiędzy różne urządzenia i fizyczne lokalizacje. Chroni to nawet przed kradzieżą jednego urządzenia.

Top 20 zasad bezpieczeństwa: master checklist

Część VII. Jak ocenić bezpieczeństwo projektu kryptowalutowego: checklist dla inwestora

Alexander Mercer: Jak zwykły użytkownik może ocenić, czy warto powierzyć swoje środki konkretnemu projektowi lub giełdzie?

Robert Stanley: Doskonałe pytanie. Opracowałem system oceny, z którego sam korzystam i który polecam klientom.

Audyt smart kontraktów

Czy przeprowadzono audyt? Przez kogo? (CertiK, Trail of Bits, OpenZeppelin, Halborn — to uznani audytorzy.) Ile audytów przeprowadzono? Jeden to minimum. Dwa lub trzy od różnych audytorów to dobry wynik. Czy wykryto krytyczne luki? W jaki sposób zostały usunięte? Czy raport jest publiczny? Jeśli projekt „przeszedł audyt", ale raport jest utajniony — to niepokojący sygnał.

Program bug bounty

Czy projekt posiada program nagród za wykryte luki? Platformy Immunefi, HackerOne, Code4rena to standardowe kanały. Adekwatność nagród: jeśli projekt zarządza setkami milionów dolarów, a maksymalna nagroda wynosi $10 000, to nie jest poważne podejście. Najlepsze projekty oferują nagrody sięgające 10 % maksymalnej możliwej szkody.

Zarządzanie kluczami

Multisig: ile podpisów jest wymaganych? 3-z-5 to standard. 1-z-1 to czerwona flaga. Timelock: czy istnieje opóźnienie przy zmianie krytycznych parametrów kontraktu? Daje to użytkownikom czas na zareagowanie na podejrzane działania. Anonimowy zespół posiadający pełną kontrolę nad środkami to maksymalna czerwona flaga.

Proof of Reserves

W przypadku giełd: czy publikują regularne raporty Proof of Reserves? Czy korzystają z Merkle Tree jako dowodu? Czy audytor jest niezależny? Po upadku FTX stało się to obowiązkowym standardem.

Przejrzystość komunikacji

Jak projekt reagował na wcześniejsze incydenty? Czy opublikowano publiczny post-mortem? Czy poszkodowani otrzymali odszkodowanie? Przejrzystość to najlepszy wskaźnik poważnego podejścia do bezpieczeństwa.

Część VIII. Przyszłość bezpieczeństwa kryptowalut: co zmieni się w latach 2026–2030

Alexander Mercer: W jakim kierunku zmierza branża? Czy stanie się bezpieczniejsza?

Robert Stanley: Dostrzegam kilka kluczowych trendów.

AI w cyberbezpieczeństwie i forensics

AI jest już wykorzystywana przez obie strony. Atakujący stosują AI do generowania wiadomości phishingowych, tworzenia deepfake'ów i automatyzacji wyszukiwania luk. Obrońcy — do analizy wzorców transakcji, predyktywnego monitoringu i automatycznej klasyfikacji zagrożeń. Chainalysis przejął Hexagate — firmę wykorzystującą AI do wykrywania i zapobiegania atakom w czasie rzeczywistym. To jest właśnie przyszłość: AI, która powstrzymuje atak zanim do niego dojdzie.

Account abstraction i zmierzch seed-fraz

Technologia account abstraction (EIP-4337) umożliwia tworzenie „inteligentnych kont" z elastyczną logiką bezpieczeństwa: społeczne odtwarzanie dostępu (potwierdzane przez znajomych), limity transakcji, uwierzytelnianie wieloczynnikowe bezpośrednio na poziomie blockchainu. Tangem już oferuje portfele bez seed-fraz. ZenGo korzysta z MPC. Celem jest wyeliminowanie pojedynczego punktu awarii (jedna fraza, którą można ukraść).

Regulacje i compliance

MiCA w Europie, ramy regulacyjne w ZEA, Singapurze i Japonii. Giełdy są zobowiązane do wdrażania coraz bardziej rygorystycznych procedur AML/KYC. Utrudnia to przestępcom etap wypłacania środków. Rosja przygotowuje własne przepisy na lipiec 2026 roku. Trend jest wyraźny — coraz więcej „punktów wyjścia" podlega kontroli.

Zagrożenie kwantowe — co nas czeka?

Komputery kwantowe mogą teoretycznie złamać kryptografię, na której zbudowane są Bitcoin i Ethereum. W praktyce jednak zagrożenie to jest odległe o 10–15 lat. Trezor Safe 7 jest już pozycjonowany jako „quantum-ready". Branża się przygotowuje — przejście na kryptografię postkwantową to kwestia czasu, ale nie pilności.

Decentralizacja kluczy

MPC (Multi-Party Computation), SSS (Shamir Secret Sharing), distributed key generation. Technologie te rozdzielają kontrolę nad kluczem pomiędzy wielu uczestników lub urządzeń, eliminując pojedynczy punkt kompromitacji. Cypherock X1 już wykorzystuje Shamir do rozdzielenia klucza na fizyczne karty. Ten kierunek będzie się dynamicznie rozwijał.

Część IX. Psychologia kryptoprzestępczości: dlaczego ludzie dają się złapać

Alexander Mercer: Ostatni blok, który chciałem omówić, to czynnik ludzki. Dlaczego nawet doświadczone osoby stają się ofiarami?

Robert Stanley: Ponieważ przestępcy nie wykorzystują luk technicznych, lecz psychologicznych. I robią to w sposób profesjonalny.

FOMO (strach przed utratą okazji)

„Ten token wzrósł o 1000%, a ty jeszcze nie kupiłeś?" — to najpotężniejszy motor pochopnych decyzji w świecie krypto. FOMO skłania ludzi do inwestowania w niesprawdzone projekty, podłączania się do podejrzanych kontraktów i ignorowania sygnałów ostrzegawczych. Przestępcy celowo kreują sztuczne FOMO: „zostało tylko 5 miejsc", „cena wzrośnie za godzinę", „ekskluzywny dostęp tylko przez ten link".

Zaufanie do autorytetów

„Elon Musk polecał", „ten influencer zarobił milion" — fałszywe autorytety i zmyślone rekomendacje. Deepfake'i czynią to jeszcze bardziej przekonującym. Widzieliśmy filmy, w których „Vitalik Buterin" polecał konkretny token. Nagranie było w całości wygenerowane przez sztuczną inteligencję.

Przeciążenie poznawcze

Interfejsy DeFi są skomplikowane. Transakcje wyglądają jak ciąg szesnastkowych znaków. Ludzie są proszeni o podpisanie czegoś, czego nie potrafią odczytać, a czasu na analizę „nie ma". Przestępcy wykorzystują to przeciążenie: im więcej kroków i im bardziej skomplikowany proces, tym większe prawdopodobieństwo, że ofiara kliknie „potwierdź" bez zastanowienia.

Druga strona decentralizacji: „nie ma przycisku cofnij"

W tradycyjnych finansach bank może anulować nieautoryzowaną transakcję. W krypto — nie. To wolność, ale i odpowiedzialność. Wiele osób wchodzi do świata krypto z mentalności bankowej: „jak co — to anulują". Nie anulują. I trzeba to rozumieć z góry.

Część X. Analiza największych włamań: lekcje warte miliardy

Alexander Mercer: Robert, przeanalizujmy konkretne przypadki — największe i najbardziej wymowne włamania ostatnich lat. Jakie lekcje wyciąga branża?

Robert Stanley: Każde poważne włamanie to podręcznik cyberbezpieczeństwa. Omówmy sześć kluczowych przypadków.

Przypadek 1: Bybit — 1,5 miliarda dolarów (luty 2025)

Największa kradzież w historii branży krypto. Dubajska giełda Bybit straciła około 1,5 miliarda dolarów w Ethereum. FBI oraz kilka firm analityki blockchain przypisało atak północnokoreańskiej grupie Lazarus.

Wektor ataku: kompromitacja procesu podpisywania transakcji multisig. Osoby podpisujące transakcje portfela multisig Bybit zatwierdziły transakcję bez weryfikacji jej treści na ekranach swoich portfeli sprzętowych. W istocie podpisały złośliwą transakcję, myśląc, że autoryzują rutynowy przelew.

Co poszło nie tak: niewystarczająca weryfikacja. Gdyby każda osoba podpisująca sprawdziła, co dokładnie zatwierdza — adres odbiorcy, kwotę, calldata — atak zostałby udaremniony. Problem w tym, że wiele portfeli sprzętowych wyświetla transakcje w surowej formie — jako ciąg szesnastkowych znaków, których człowiek nie jest w stanie zinterpretować.

Lekcja: multisig to warunek konieczny, ale niewystarczający dla bezpieczeństwa. Bez kultury weryfikacji każdej transakcji staje się czystą formalnością. Po incydencie z Bybit branża aktywnie dyskutuje o standardach „czytelnej dla człowieka" weryfikacji transakcji oraz o ulepszeniu interfejsów portfeli sprzętowych.

Reakcja: Bybit uruchomił program nagród za informacje o przepływie skradzionych środków. Część z nich udało się wyśledzić i zamrozić na różnych platformach. Jednak większość została sprawnie rozdysponowana przez mosty i mikseryw złożonych łańcuchach charakterystycznych dla taktyki Korei Północnej.

Przypadek 2: DMM Bitcoin — 305 milionów dolarów (maj 2024)

Japońska giełda straciła 4 502 BTC. Atak również przypisywany jest Lazarus Group.

Wektor: kompromitacja kluczy prywatnych. Przypuszczalnie atakujący uzyskali dostęp za pomocą inżynierii społecznej — jeden z pracowników został skompromitowany. Północnokoreańscy specjaliści IT wykorzystali fałszywe profile na LinkedIn do nawiązania kontaktu.

Konsekwencje były katastrofalne: DMM Bitcoin nie zdołał się podnieść po ciosie i podjął decyzję o zamknięciu giełdy w grudniu 2024 roku. Aktywa i konta klientów zostały przekazane SBI VC Trade — spółce zależnej japońskiego konglomeratu finansowego SBI Group.

Lekcja: nawet regulowana giełda w kraju z jedną z najsurowszych regulacji krypto (Japonia) może paść ofiarą inżynierii społecznej. Ochrona techniczna jest bezsilna, gdy pracownik stał się słabym ogniwem.

Przypadek 3: WazirX — 234,9 miliona dolarów (lipiec 2024)

Największa indyjska giełda straciła środki po tym, jak hakerzy nakłonili autoryzowane osoby podpisujące do zatwierdzenia złośliwej transakcji. Atak ominął wielopoziomowy system bezpieczeństwa, ponieważ był wymierzony w ludzi, a nie w kod.

Cechą charakterystyczną tego przypadku jest to, że atakujący przez długi czas badali procedury podpisywania na giełdzie, zidentyfikowali słabe ogniwa w czynniku ludzkim i uderzyli w momencie, gdy czujność była obniżona. Pokazuje to poziom przygotowania państwowych grup hakerskich — przez miesiące studiują ofiarę przed przeprowadzeniem ataku.

Przypadek 4: Ronin Network — 624 miliony dolarów (marzec 2022)

Most Ronin Network obsługujący grę Axie Infinity stracił 173 600 ETH i 25,5 miliona USDC. Atak został wykryty dopiero po sześciu dniach od jego dokonania.

Wektor: kompromitacja 5 z 9 walidatorów przez inżynierię społeczną. Cztery klucze zostały pozyskane przez skompromitowanego pracownika Sky Mavis. Piąty — przez zewnętrzną organizację Axie DAO, która wciąż posiadała autoryzację podpisu, choć nie uczestniczyła już w procesie.

Kluczowa lekcja: higiena dostępów. Przestarzałe autoryzacje to cichy zabójca bezpieczeństwa. Jeśli organizacja nie uczestniczy już w podpisywaniu — jej klucz powinien zostać natychmiast unieważniony. Poza tym: próg 5-z-9 to zdecydowanie za mało jak na 624 miliony dolarów. A wykrycie ataku po sześciu dniach to porażka systemu monitorowania.

Przypadek 5: FTX — 8,7 miliarda dolarów (listopad 2022)

Formalnie FTX to nie „włamanie". To oszustwo — największe w historii krypto. Założyciel Sam Bankman-Fried używał środków klientów do handlu za pośrednictwem powiązanego funduszu Alameda Research. Gdy wyszło to na jaw, giełda runęła w ciągu kilku dni.

Jednak oprócz oszustwa, w momencie bankructwa doszło również do kradzieży: około 477 milionów dolarów zostało wyprowadzonych z portfeli FTX przez nieznanych sprawców. Śledztwo jest nadal w toku.

Lekcje z FTX: nie trzymaj wszystkich środków na jednej giełdzie. Proof of Reserves to obowiązkowy standard. Regulacja i przejrzystość to nie wróg innowacji, lecz warunek przetrwania. Charyzmatyczny lider i eleganckie biuro to nie dowód wiarygodności.

Przypadek 6: Poly Network — 611 milionów dolarów (sierpień 2021)

Wyjątkowy przypadek: haker wykorzystał lukę w logice weryfikacji cross-chain i wyprowadził 611 milionów dolarów. A potem... zwrócił prawie wszystko. Oświadczył, że atak był przeprowadzony „dla zabawy" i w celu zademonstrowania podatności. Poly Network zaproponował mu stanowisko „głównego doradcy ds. bezpieczeństwa".

Ten przypadek zapoczątkował w świecie krypto koncepcję „white hat hacking" oraz praktykę negocjacji bounty. Dziś wiele projektów włącza do swoich kontraktów klauzule „safe harbor" — ramy prawne pozwalające hakerom zwrócić środki w zamian za nagrodę i immunity od ścigania.

Część XI. Bezpieczeństwo w DeFi: jak korzystać ze zdecentralizowanych finansów i nie stracić wszystkiego

Alexander Mercer: DeFi to jeden z najbardziej innowacyjnych, a jednocześnie najniebezpieczniejszych obszarów krypto. Jak bezpiecznie korzystać z DeFi?

Robert Stanley: DeFi oferuje niesamowite możliwości — zdecentralizowane pożyczki, swapy, staking, yield farming. Ale to właśnie w DeFi użytkownik jest najbardziej narażony, ponieważ nie ma tu „działu obsługi klienta" ani „przycisku cofnij". Omówmy konkretne zasady.

Zasada 1: Zawsze sprawdzaj, co podpisujesz

Każda interakcja z protokołem DeFi to podpisanie transakcji smart kontraktu. Przed podpisaniem musisz wiedzieć: z jakim kontraktem wchodzisz w interakcję (czy adres jest znany i zweryfikowany?), jaką funkcję wywołujesz i jakie uprawnienia (approvals) nadajesz.

Korzystaj z narzędzi, które „tłumaczą" transakcje na ludzki język: Fire Extension, Pocket Universe, Blowfish. Te rozszerzenia przeglądarki pokazują, co naprawdę się stanie, jeśli podpiszesz transakcję — zanim klikniesz „Confirm".

Zasada 2: Regularnie sprawdzaj i cofaj approvals

Gdy korzystasz z DEX-ów (Uniswap, PancakeSwap), dajesz kontraktowi uprawnienie (approval) do wydawania Twoich tokenów. Często jest to „unlimited approval" — bezterminowe zezwolenie. Jeśli kontrakt zostanie skompromitowany po udzieleniu przez Ciebie zgody, haker uzyska dostęp do wszystkich zatwierdzonych tokenów.

Rozwiązanie: korzystaj z serwisu revoke.cash, aby regularnie przeglądać i cofać zbędne approvals. Rób to przynajmniej raz w miesiącu. A jeszcze lepiej — przy każdym approval wskazuj konkretną kwotę, a nie unlimited.

Zasada 3: Nie gońsię za anomalnie wysokimi stopami zwrotu

Jeśli protokół obiecuje 100% APY, podczas gdy średni rynek oferuje 5–15%, zadaj sobie pytanie: skąd biorą się te pieniądze? W 90% przypadków odpowiedź brzmi: z kieszeni nowych inwestorów (Ponzi) albo z ryzyk, których nie widzisz (impermanent loss, ryzyko smart kontraktu, rug pull).

Zasada: jeśli stopa zwrotu wydaje się zbyt dobra, żeby była prawdziwa — to właśnie taka jest. Zrównoważony zwrot w DeFi w 2026 roku to 3–15% rocznie dla stablecoinów i 5–20% dla aktywów zmiennych.

Zasada 4: Korzystaj z transakcji testowych

Przed wysłaniem dużej kwoty zawsze najpierw wyślij minimalną „testową" transakcję. Kosztuje to grosze w prowizji, ale może uchronić tysiące dolarów. Upewnij się, że środki dotarły pod właściwy adres i że kontrakt działa zgodnie z oczekiwaniami.

Zasada 5: Rozdzielaj „gorący" i „zimny" portfel DeFi

Nie używaj jednego portfela do przechowywania środków i do interakcji z DeFi. Stwórz oddzielny „roboczy" portfel, na który przelewasz tylko tę kwotę, którą jesteś gotów wykorzystać w DeFi. Jeśli ten portfel zostanie skompromitowany przez złośliwy kontrakt — główne środki pozostaną bezpieczne.

Zasada 6: Sprawdzaj kontrakt przed interakcją

Minimalny zestaw weryfikacji: czy kontrakt jest zweryfikowany na Etherscan/BSCScan? Czy istnieje audyt? Kiedy kontrakt został wdrożony (nowe kontrakty = wyższe ryzyko)? Jaki jest TVL (Total Value Locked)? Niski TVL = wysokie ryzyko. Kto stoi za projektem — publiczny zespół czy anonimowi twórcy?

Korzystaj z serwisów DeFi Safety, DefiLlama, DappRadar do weryfikacji protokołów przed inwestowaniem. Token Sniffer i GoPlusLabs — do sprawdzania tokenów pod kątem honeypot i ukrytych funkcji.

Zasada 7: Ostrożnie z mostami

Mosty cross-chain to jedna z najbardziej podatnych kategorii infrastruktury. Spośród pięciu największych kradzieży w historii krypto, trzy to ataki na mosty (Ronin, Wormhole, Nomad). Jeśli potrzebujesz przenieść środki między sieciami — korzystaj ze sprawdzonych mostów o dobrej reputacji i audytach. Dziel duże przelewy na kilka części. I pamiętaj: każdy most dodaje ryzyko kontraktowe.

Część XII. Krajobraz regulacyjny: jak prawo pomaga i przeszkadza w walce z kryptoprzestępczością

Alexander Mercer: Jak regulacje wpływają na walkę z kryptoprzestępczością? Pomagają czy przeszkadzają?

Robert Stanley: To złożone pytanie, bo odpowiedź brzmi: „i jedno, i drugie" — w zależności od konkretnej jurysdykcji i konkretnego rozwiązania regulacyjnego.

Jak regulacje pomagają

KYC/AML na giełdach to kluczowe narzędzie. Gdy skradzione środki trafiają na giełdę z obowiązkowym KYC, można je zamrozić i ustalić tożsamość odbiorcy. Właśnie dlatego przestępcy tak bardzo starają się omijać regulowane platformy.

Listy sankcyjne (OFAC) — dodanie mikserów takich jak Tornado Cash do list sankcyjnych tworzy barierę prawną dla ich używania. Środki, które przeszły przez objęte sankcjami adresy, są automatycznie „flagowane" przez systemy compliance giełd.

Współpraca międzynarodowa — Europol, Interpol i FBI coraz aktywniej współpracują przy śledztwach dotyczących kryptoprzestępczości. W 2025 roku DOJ skonfiskowało ponad 15 miliardów dolarów w ramach największej operacji przeciwko sieci pig butchering.

Obowiązkowe standardy bezpieczeństwa — licencjonowane giełdy muszą wdrażać Proof of Reserves, fundusze ubezpieczeniowe dla użytkowników oraz procedury reagowania na incydenty.

Jak regulacje przeszkadzają

Rozdrobnienie jurysdykcji — przestępca kradnie w jednym kraju, pierze pieniądze w drugim, wypłaca w trzecim. Koordynacja między organami ścigania różnych krajów zajmuje tygodnie i miesiące, a pieniądze przemieszczają się w sekundy.

Nadmierna regulacja wypycha użytkowników w „szarą strefę". Jeśli legalne giełdy stają się zbyt skomplikowane w użyciu, ludzie przenoszą się na nieregulowane platformy, gdzie ochrona jest minimalna.

Niezdolność tradycyjnego systemu prawnego do działania z prędkością krypto. Uzyskanie nakazu zamrożenia może zająć dni. W tym czasie środki przejdą przez dziesięć mostów i trzy miksery.

Kluczowe inicjatywy regulacyjne 2025–2026

Część XIII. Kryptodziedziczenie i dostęp awaryjny: co stanie się z Twoimi kryptoaktywami, jeśli coś Ci się przydarzy

Alexander Mercer: Temat, o którym prawie nikt nie myśli: co się stanie z Twoimi kryptoaktywami, jeśli nagle nie będziesz w stanie nimi zarządzać?

Robert Stanley: To jeden z najbardziej niedocenianych problemów bezpieczeństwa. Według różnych szacunków od 3 do 4 milionów bitcoinów jest bezpowrotnie utraconych z powodu zgubionych kluczy. To około 20% całkowitej podaży BTC. I znaczna część tych strat to przypadki, gdy właściciel zmarł lub stał się niezdolny do działania, a spadkobiercy nie wiedzieli, jak uzyskać dostęp.

Problem kryptodziedziczenia

W tradycyjnych finansach konto bankowe przechodzi na spadkobierców przez notariusza. Krypto działa inaczej: nie ma centralnego organu, który „przełączy" dostęp. Jeśli Twoja fraza seed jest przechowywana tylko w Twojej głowie (albo w sejfie, o którym nikt nie wie) — Twoje aktywa zostaną utracone na zawsze.

Rozwiązania

Po pierwsze. Dokumentuj. Stwórz szczegółową instrukcję: jakie portfele posiadasz, na jakich giełdach masz konta, gdzie przechowywane są frazy seed. Przechowuj tę instrukcję w zapieczętowanej kopercie u notariusza, w skrytce bankowej lub u zaufanej osoby.

Po drugie. Shamir Secret Sharing. Podziel frazę seed na kilka części (np. 3-z-5) i przekaż je różnym zaufanym osobom. Żadna z nich nie ma pełnego dostępu, ale razem dowolne 3 spośród 5 mogą odtworzyć portfel. Cypherock X1 realizuje tę funkcję na poziomie sprzętowym.

Po trzecie. Korzystaj z serwisów z mechanizmem dziedziczenia. Casa Wallet oferuje funkcję „dostępu dziedzicznego" — jeśli przez określony czas nie logujesz się do portfela, uruchamiana jest procedura przekazania dostępu wyznaczonemu spadkobiercy przez kilka etapów weryfikacji.

Po czwarte. Social recovery przez smart kontrakt. Niektóre rozwiązania portfelowe pozwalają na wyznaczenie „guardians" — zaufanych osób, które wspólnie mogą przywrócić dostęp do Twojego konta. Funkcja ta jest zaimplementowana w szeregu portfeli opartych na account abstraction.

Po piąte. Multisig z rozproszonym dostępem. Utwórz multisig 2-z-3, gdzie jeden klucz masz Ty, drugi małżonek/partner, trzeci prawnik. Na co dzień zarządzasz portfelem za pomocą pierwszych dwóch kluczy, a w sytuacji awaryjnej małżonek i prawnik mogą uzyskać dostęp wspólnie.

Część XIV. Najczęściej zadawane pytania: eksperckie odpowiedzi na kluczowe pytania czytelników

Czy można ukraść Bitcoin, włamując się do blockchainu?

Robert Stanley: Nie. Blockchain Bitcoin nie został ani razu zhakowany przez ponad 16 lat istnienia. Wszystkie kradzieże Bitcoin to kradzieże kluczy, a nie włamania do protokołu. Blockchain to nieprzystępna twierdza. Klucze to zamek w drzwiach Twojego domu — można go podrobić, ukraść albo podstępem skłonić Cię do jego oddania.

Co jest bezpieczniejsze — Ledger czy Trezor?

Robert Stanley: Oba to doskonałe rozwiązania, i oba są znacznie bezpieczniejsze niż przechowywanie na giełdzie czy w gorącym portfelu. Kluczowa różnica: Trezor jest open-source (kod dostępny do niezależnej weryfikacji). Ledger jest closed-source (kod zamknięty), ale używa certyfikowanych układów zabezpieczających. Dla większości użytkowników oba rozwiązania są więcej niż wystarczające. Wybieraj według wygody, ceny i wsparcia dla potrzebnych Ci monet.

Czy prawdą jest, że Monero jest nie do wyśledzenia?

Robert Stanley: Monero jest znacznie trudniejszy do śledzenia niż Bitcoin czy Ethereum, dzięki ring signatures, stealth addresses i confidential transactions. Ale „nie do wyśledzenia" to zbyt mocne stwierdzenie. Punkty wejścia i wyjścia (wymiana na inne waluty) tworzą podatności. Badacze pracują nad metodami statystycznej deanonimizacji. W praktyce Monero stanowi poważną przeszkodę w prowadzeniu dochodzeń, ale nie niepokonalną — zwłaszcza gdy użytkownik popełnia błędy.

Czy potrzebuję portfela sprzętowego, jeśli mam w krypto tylko 500 dolarów?

Robert Stanley: Niekoniecznie, ale warto. Tangem kosztuje 55 dolarów — to 11% Twoich 500 dolarów. Jeśli planujesz rozbudowywać portfel, warto zacząć od właściwych nawyków. Jeśli 500 dolarów to Twój maksymalny wkład i nie planujesz go zwiększać — możesz poradzić sobie z dobrym gorącym portfelem (MetaMask, Trust Wallet) z solidnym hasłem i 2FA.

Co zrobić, jeśli podpisałem złośliwą transakcję?

Robert Stanley: Natychmiast: sprawdź przez revoke.cash, jakie approvals nadałeś, i cofnij je. Przenieś wszystkie pozostałe środki na nowy, czysty portfel. Jeśli środki zostały już wyprowadzone — działaj zgodnie z protokołem: dokumentuj hashe transakcji, kontaktuj się z giełdami, specjalistami od forensics i policją.

Jak sprawdzić, czy strona protokołu DeFi jest prawdziwa, a nie phishingowa?

Robert Stanley: Kilka sprawdzeń: korzystaj z zakładek dla często odwiedzanych stron (nie googluj za każdym razem — w reklamach zdarzają się linki phishingowe). Sprawdzaj certyfikat SSL. Porównuj URL znak po znaku. Używaj rozszerzeń takich jak MetaMask Snaps lub Pocket Universe, które ostrzegają przed podejrzanymi stronami. Jeśli masz wątpliwości — zweryfikuj link na oficjalnym Discordzie lub Twitterze projektu.

Czy można ubezpieczyć kryptoaktywa?

Robert Stanley: Tak, to rozwijający się obszar. Zdecentralizowane protokoły ubezpieczeniowe (Nexus Mutual, InsurAce, Unslashed) oferują pokrycie ryzyk włamań do smart kontraktów. Koszt to zazwyczaj 2–10% ubezpieczonej kwoty rocznie. Rozwiązania scentralizowane: fundusz SAFU na Binance, ubezpieczenia niektórych custodianów. Gracze instytucjonalni korzystają z tradycyjnych ubezpieczeń przez Lloyd's of London i wyspecjalizowanych ubezpieczycieli.

Jak rozpoznać, że token to scam (honeypot)?

Robert Stanley: Sprawdź kontrakt tokena przez Token Sniffer lub GoPlusLabs. Czerwone flagi: niemożność sprzedania tokena, ukryte funkcje mint (tworzenie nowych tokenów z niczego), wysoki ukryty podatek od sprzedaży (hidden tax), niezablokowana płynność (LP unlocked), anonimowy zespół bez historii. Jeśli choć dwie z tych flag są obecne — trzymaj się z daleka.

Oferują mi „gwarantowany zwrot" w krypto. Czy to oszustwo?

Robert Stanley: W 99% przypadków — tak. W krypto nie ma „gwarantowanego" zwrotu. Nawet staking ETH, który jest najbliższy „stopie wolnej od ryzyka", wiąże się z ryzykiem slashingu i zmiennością bazowego aktywa. Każdy, kto obiecuje „gwarantowane 50% miesięcznie" — to oszust. Bez wyjątków.

Czym jest „drainer" i jak się przed nim chronić?

Robert Stanley: Drainer to złośliwy smart kontrakt, który po podłączeniu portfela i podpisaniu transakcji automatycznie wyprowadza wszystkie tokeny i NFT. Drainery rozprzestrzeniają się przez phishingowe strony, fałszywe airdropy i zainfekowane serwery Discord. Ochrona: nie podłączaj portfela do nieznanych stron, używaj „pustego" portfela do interakcji z nowymi serwisami, korzystaj z rozszerzeń ochronnych (Pocket Universe, Wallet Guard).

Jak działa pranie skradzionych kryptowalut?

Robert Stanley: Typowy schemat: po kradzieży środki są natychmiast dzielone na dziesiątki lub setki adresów. Następnie część przechodzi przez miksery (Tornado Cash, ChipMixer). Część jest konwertowana przez DEX-y na inne tokeny. Część jest przenoszona przez mosty do innych blockchainów. Końcowe kwoty trafiają na CEX lub desk OTC w celu wymiany na fiat. Według danych TRM Labs, północnokoreańscy hakerzy korzystają głównie z chińskojęzycznych serwisów do prania pieniędzy, a typowy cykl od kradzieży do wypłaty gotówki trwa około 45 dni.

Podsumowanie: kluczowe wnioski i rekomendacje

Alexander Mercer: Robert, podsumujmy. Co najważniejszego powinien wynieść nasz czytelnik?

Robert Stanley: Dziesięć kluczowych wniosków z naszej rozmowy.

Po pierwsze. Krypto zostawia ślady. Blockchain to publiczna księga rachunkowa. Całkowite „zniknięcie" ze skradzionymi środkami jest niezwykle trudne. Chain forensics to prawdziwa branża, która chwyta przestępców.

Po drugie. Skala zagrożeń rośnie. 3,4 miliarda dolarów skradzione w 2025 roku. Państwowi hakerzy, profesjonalne grupy przestępcze, zorganizowane oszustwa — to nie „haker-amator".

Po trzecie. Główny wektor ataków to nie kod, lecz klucze. 70% kradzieży wiąże się z kompromitacją kluczy prywatnych i fraz seed. Ochrona kluczy to priorytet numer jeden.

Po czwarte. Portfel sprzętowy to konieczność, nie opcja. Jeśli masz w krypto więcej niż 1 000 dolarów — kup portfel sprzętowy. To najlepiej wydane 79 dolarów.

Po piąte. Nie podpisuj tego, czego nie rozumiesz. Każda podpisana transakcja to potencjalny wektor ataku. Jeśli nie masz pewności — nie podpisuj.

Po szóste. Szybkość reakcji decyduje o wszystkim. W przypadku kradzieży pierwsza godzina jest krytyczna. Miej plan działania przygotowany z wyprzedzeniem.

Po siódme. Dywersyfikacja przechowywania. Zasada 5/25/70: 5% na giełdzie, 25% w gorącym portfelu, 70% na portfelu sprzętowym/w multisig.

Po ósme. Fraza seed — na metalu, nie w chmurze. Nigdy nie przechowuj cyfrowej kopii frazy seed. Zapisuj ją na metalowej płytce i przechowuj w kilku fizycznych lokalizacjach.

Po dziewiąte. Sprawdzaj projekty przed inwestowaniem. Audyty, bug bounty, multisig, timelock, Proof of Reserves — to minimalny zestaw wymagań dla „godnego zaufania" projektu.

Po dziesiąte. Edukacja to najlepsza ochrona. Im więcej wiesz o mechanizmach ataków, tym mniejsze ryzyko, że staniesz się ofiarą. Właśnie dlatego poświęciliśmy cztery godziny na ten wywiad — abyś był uzbrojony w wiedzę.

Posłowie redakcji

Nasza rozmowa z Robert Stanley trwała ponad cztery godziny i każda minuta była wypełniona praktyczną wiedzą. Celowo przygotowaliśmy ten materiał w możliwie najbardziej szczegółowej formie, ponieważ w kwestiach bezpieczeństwa kryptoaktywów powierzchowność może kosztować realne pieniądze.

Kluczowa myśl przewijająca się przez cały wywiad brzmi następująco: kryptowaluty to jednocześnie niesamowita wolność i niesamowita odpowiedzialność. Nie ma tu banku, który „wszystko naprawi". Tu sam jesteś swoim bankiem, służbą bezpieczeństwa i audytorem. Im wcześniej to zaakceptujesz — tym lepiej chronione będą Twoje aktywa.

Do dalszego zgłębiania tematu polecamy: raport Chainalysis „Crypto Crime 2025/2026", blog TRM Labs poświęcony crypto forensics, platformę Immunefi do nauki bug bounty, serwis revoke.cash do sprawdzania i cofania token approvals, a także materiały edukacyjne Binance Academy i Ledger Academy.

Analizy Alexander Mercer oraz eksperckie materiały z zakresu cyberbezpieczeństwa kryptoaktywów można śledzić na portalu iTrusty.io.