Oszustwo związane z zatruwaniem adresów: jak działa i jak go unikać
Wyobraź sobie, że wysyłasz kryptowalutę tak, jak zwykle. Otwierasz portfel, przeglądasz historię transakcji, kopiujesz adres, którego używałeś już kilkanaście razy, wklejasz go i klikasz „Wyślij”. Przelew potwierdza się w kilka sekund. Jedyny problem polega na tym, że pieniądze właśnie trafiły do nieznajomego, który poświęcił ogromną moc obliczeniową, aby utworzyć adres niemal identyczny z Twoim, a blockchain zrobił dokładnie to, co mu kazałeś. To, w jednym zdaniu, nazywa się zatruwaniem adresów: bez skradzionych kluczy, bez złośliwego oprogramowania, tylko fałszywa wersja Ciebie umieszczona w Twoich własnych rekordach. Ten poradnik wyjaśnia, jak działa oszustwo, jakie przybiera formy, ile ludzie faktycznie tracą i kilka nawyków, które zapobiegają oszustwom polegającym na zatruwaniu adresów, zanim wyślesz środki w niewłaściwe miejsce.
Czym właściwie jest zatrucie adresowe?
Address poisoning to atak phishingowy wymierzony w Twoją pamięć i ekran, a nie w kryptografię. Twoje klucze prywatne nigdy nie są naruszane. Nic nie zostaje wykradzione, odszyfrowane ani zhakowane. Zamiast tego, oszustwo opiera się na jednym leniwym ludzkim nawyku: adres blockchain to długi, nieczytelny zbiór liter i cyfr (coś w stylu 0x4a3f...c91d), a prawie nikt nie czyta go w całości. Sprawdzamy pierwsze cztery znaki, sprawdzamy ostatnie cztery, wzruszamy ramionami i przechodzimy dalej.
To wzruszenie ramion to cała słabość. Stwórz adres, który zawiera te widoczne znaki, pokaż go komuś, kto już mu ufa, a masz spore szanse na przypadkowe otrzymanie płatności. Okrutne jest to, co następuje później. Przelewy w łańcuchu bloków są ostateczne, więc nie ma banku, do którego trzeba dzwonić, ani opłaty do cofnięcia; w chwili potwierdzenia pieniądze należą do kogoś innego. Ubezpieczenia i obciążenia zwrotne, mechanizmy bezpieczeństwa, które ratują ludzi w tradycyjnych finansach, po prostu tu nie istnieją. Zatruwanie adresów nie psuje blockchaina. Odrywa twoją uwagę, a następnie pozwala łańcuchowi zrobić dokładnie to, czego twoja uwaga nie zauważyła.
Jak działa zatruwanie adresów w kryptowalutach
Choć efekt wydaje się magiczny, mechanizm jest banalny. Skuteczny atak zatruwający adresy przebiega w trzech krokach, które każdy, kto bada łańcuch, może powtórzyć.
Krok 1: generowanie adresu podobnego
Najpierw atakujący wybiera cel, zazwyczaj adres, z którego często przesyłane są pieniądze, a następnie uruchamia generator adresów vanity. Oprogramowanie analizuje pary kluczy kandydatów, aż znajdzie taką, której adres zaczyna się i kończy tymi samymi znakami, co adres, na który ofiara regularnie wysyła wiadomości. Dopasowanie kilku znaków jest tanie, co jest niewygodne: po tym, jak aktualizacja Fusaka w Ethereum obniżyła opłaty, jedna z analiz wykazała, że atakujący wykorzystali trzy miliony transferów pyłu za około 5175 dolarów. Przy takich cenach zatruwanie działa jak fabryka, a nie jak kradzież.
Krok 2: zatruwanie historii transakcji
Następnie atakujący umieszcza ten imitujący adres w Twoich rekordach, tak aby wyglądał jak adres, z którym miałeś już wcześniej do czynienia. Może wysłać Ci niewielką ilość prawdziwego tokena, uruchomić przelew o zerowej wartości lub podsunąć Ci fałszywy token. Niezależnie od sposobu wykonania, cel jest ten sam: sprawić, by fałszywy adres pojawił się w Twojej historii obok prawdziwego, z tymi samymi pierwszymi i ostatnimi znakami.
Krok 3: pułapka kopiuj-wklej
Potem czekają. Następnym razem, gdy będziesz chciał zapłacić swojemu stałemu odbiorcy, dla wygody kopiujesz adres bezpośrednio z historii ostatnich transakcji. Widoczne znaki się zgadzają, nic nie wygląda podejrzanie i wysyłasz. Zrób to na autopilocie, a możesz przypadkowo wysłać tokeny na adres podobny zamiast na ten, który miałeś na myśli. Blockchain wykonuje przelew poprawnie, tylko do niewłaściwej osoby. Właśnie dlatego zatruwanie adresów jest czasami nazywane pułapką kopiuj-wklej i dlaczego działa równie dobrze na ostrożnych, doświadczonych użytkownikach, jak i na początkujących. To, co czyni je tak skutecznymi, to czas — wpis zatruwający jest często wsuwany w ciągu kilku minut od prawdziwej transakcji, więc fałszywy adres znajduje się dokładnie tam, gdzie twoje oko spodziewa się prawdziwego. Nie jesteś nieostrożny, ale efektywny, a to właśnie na efektywności liczy atakujący.
Trzy rodzaje zatruwania adresów
Badanie naukowe przeprowadzone w 2025 roku przez Carnegie Mellon podzieliło ataki w świecie rzeczywistym na trzy formy. Różnią się one sposobem, w jaki fałszywy adres zostaje podłożony, co zmienia to, czemu nie należy ufać w historii.
| Typ | Jak podłożyć fałszywy adres | Powiedz |
|---|---|---|
| Drobny transfer (kurzu) | Prawdziwa, ale niewielka kwota w formie tokenu wysłana z adresu podobnego do adresu | Nieoczekiwana, nieoczekiwana kwota przychodząca |
| Transfer o wartości zerowej | Transfer tokenów „0”, który nadal rejestruje zdarzenie Transferu w historii | Pokazuje Twój własny adres jako nadawcę, wartość 0 |
| Fałszywy token | Fałszywy kontrakt imitujący prawdziwy token (sfałszowany USDT lub USDC) | Nazwa tokena wygląda poprawnie, adres kontraktu nie |
Spośród tych trzech, transfer o wartości zerowej to wariant zatruwania adresu, który najbardziej dezorientuje użytkowników, ponieważ może sprawiać wrażenie, że pochodzi z Twojego własnego adresu. Jest to możliwe, ponieważ niektóre kontrakty tokenów pozwalają każdemu na emisję zdarzenia „Transfer” dla zerowej wartości tokenów bez zgody właściciela, więc atakujący tworzy skrypt wpisu, który wiernie wyświetla Twój portfel. Historycznie rzecz biorąc, BNB Smart Chain był znacznie częściej atakowany niż Ethereum dzięki niższym opłatom, ale obniżka opłat Fusaka odwróciła tę sytuację, przenosząc większość aktywności na Ethereum.
Ile pieniędzy kradnie adres zatrucia
Zatruwanie adresów brzmi jak błąd zaokrąglenia, dopóki się tego nie zsumuje. Poniższe liczby są celowo opatrzone datą, ponieważ w tym zakątku świata kryptowalut liczby zmieniają się szybko, a ubiegłoroczne sumy znacznie zaniżają skalę problemu.
| Przypadek lub miara | Kwota | Gdy | Wynik |
|---|---|---|---|
| Studia Carnegie Mellon / USENIX (ETH + licencjat) | 270 mln prób, 83,8 mln dolarów strat, 17 mln ofiar | Lipiec 2022 do czerwca 2024 | Największe badanie do tej pory |
| Zapakowany wieloryb Bitcoin | ~68 mln dolarów wysłano do sobowtóra | Maj 2024 | Zwrócono środki; atakujący zarobił około 1,49 mln dolarów |
| Pojedyncza ofiara USDT | 49,9 mln dolarów | Grudzień 2025 | Pranie pieniędzy za pośrednictwem Tornado Cash |
| Straty Ethereum (ScamSniffer) | 62 mln dolarów | Grudzień 2025 do stycznia 2026 | Łącznie za dwa miesiące |
Warto się zatrzymać na kilku z tych przypadków. Ofiara ataku „owiniętego” bitcoina, która w maju 2024 roku straciła prawie 68 milionów dolarów , faktycznie odzyskała środki, ponieważ atakujący (po praniu pieniędzy i negocjacjach) zwrócił większość i odszedł z około 1,49 miliona dolarów; śledczy później powiązali tę pojedynczą kampanię z 82 031 sfałszowanymi adresami. Prawie nikt nie ma tyle szczęścia. Ofiara ataku „USDT” o wartości 49,9 miliona dolarów w grudniu 2025 roku zobaczyła, jak pieniądze zniknęły prosto do Tornado Cash, bez możliwości ich odzyskania i odzyskania.
Ten trend jest naprawdę niepokojący. Po tym, jak aktualizacja Fusaka obniżyła opłaty za Ethereum, miesięczna liczba prób zatrucia sieci wzrosła ponad pięciokrotnie, a w styczniu 2026 roku Citi zasygnalizowało , że rekordowe 2,8 miliona transakcji dziennie w Ethereum było spowodowane głównie zatruwaniem spamu, a nie rzeczywistym wykorzystaniem ekonomicznym. Na początku 2026 szacunki branżowe dotyczące skumulowanych strat sięgały około pół miliarda dolarów. Niepokoi mnie nie sprytność oszustwa, ale jego cena: kilka tysięcy dolarów w opłatach pozwala na zakup milionów prób, a atakujący potrzebuje tylko jednej z nich, aby przeprowadzić atak.
Zatruwanie, podszywanie się i zatruwanie IP
Słowo „zatruwanie” (ang. „poisoning”) jest używane w odniesieniu do bardzo różnych ataków, dlatego warto je rozróżnić. Zatruwanie adresów, o którym mowa w tym artykule, to oszustwo kryptowalutowe polegające na umieszczeniu w historii użytkownika adresu podobnego do adresu. Podszywanie się pod adres jest szerszym pojęciem i zazwyczaj oznacza podszywanie się pod domniemanego nadawcę wiadomości lub transakcji, aby podszyć się pod kogoś. Z kolei „zatruwanie adresów IP”, którego ludzie czasami szukają przez pomyłkę, odnosi się do ataków sieciowych, takich jak zatruwanie pamięci podręcznej ARP lub DNS, które nie mają nic wspólnego z portfelami kryptowalut . Ten sam czasownik, trzy niepowiązane ze sobą światy.
Jak chronić się przed zatruciem adresowym
Prawie każda obrona przed zatruciem adresów sprowadza się do jednej zasady: nigdy nie ufaj własnej historii transakcji i nigdy nie kopiuj adresów bezpośrednio z niej. Fałszywy adres znajduje się właśnie tam, bo tam go szukasz. Wyrobienie sobie kilku nawyków wokół tej idei, a atak w większości przestanie działać.
Sprawdź cały adres, nigdy imię i nazwisko
Sprawdź cały ciąg, a przynajmniej jego spory fragment od środka, a także końce. Atakujący może łatwo dopasować pierwsze i ostatnie kilka znaków, ale dopasowanie długiego ciągu w środku jest znacznie trudniejsze. Większość współczesnych portfeli stosuje standard sumy kontrolnej EIP-55, a nowsze konwencje wyświetlania uwypuklają większą część adresu, dzięki czemu niezgodności są łatwiejsze do wykrycia.
Korzystaj z książki adresowej, nigdy nie kopiuj z historii
Zapisz adres każdego odbiorcy raz, po weryfikacji w zaufanym źródle, a następnie wysyłaj wiadomości z tego zapisanego kontaktu, zamiast kopiować adresy z ostatnich transakcji. Portfele takie jak MetaMask nazywają to Kontaktami; zasada jest wszędzie taka sama. Zapisanego wpisu nie da się zatruć przelewem przychodzącym, a o to właśnie chodzi.
Transakcje testowe, ekrany sprzętowe i listy dozwolonych wypłat
W przypadku dużych kwot, najpierw wyślij niewielką kwotę testową i upewnij się, że adres odbiorcy jest poprawny, zanim wyślesz resztę; kilka centów w opłatach to tanie zabezpieczenie przed pomyłką siedmiocyfrową. Portfele sprzętowe również tutaj pomagają, ponieważ pokazują prawdziwy adres docelowy na osobnym ekranie, którego złośliwe oprogramowanie na komputerze nie może po cichu przepisać. Firmy regularnie wypłacające kryptowaluty są szczególnie narażone, ponieważ kopiują i wklejają adresy przez cały dzień, często delegując to zadanie pracownikom, którzy mogli nigdy nie słyszeć o zatruwaniu. Dlatego zablokowanie wypłat na wstępnie zatwierdzonej liście dozwolonych (stały zestaw sprawdzonych adresów docelowych, od których system nie będzie odbiegał) całkowicie eliminuje ryzyko błędu ludzkiego. Jeśli akceptujesz płatności kryptowalutami za pośrednictwem bramki płatniczej, sprawdź, czy przypina ona adresy wypłat właśnie z tego powodu.
Co robią portfele i giełdy
Narzędzia nadrabiają zaległości, choć żadne z nich nie zastępuje powyższych nawyków. Eksploratory bloków, takie jak Etherscan, ukrywają lub oznaczają przelewy o zerowej wartości, aby nie zaśmiecały historii transakcji. Ledger Live i Trezor Suite filtrują podejrzane wpisy, a w marcu 2026 r. Trust Wallet wprowadził automatyczną ochronę przed zatruwaniem adresów w 32 łańcuchach . Scentralizowane giełdy niosą ze sobą własną wersję ryzyka, ponieważ użytkownicy wielokrotnie używają tego samego adresu depozytu, więc zatruty wpis może być równie kosztowny. Nic z tego nie jest niezawodne — zdeterminowany atakujący nadal może przemycić świeży sobowtór przez filtr, który go jeszcze nie napotkał — więc narzędzia te kupują marżę, a nie odporność. Traktuj każdą z tych funkcji jako siatkę bezpieczeństwa rozciągniętą pod własnym rozwagą, a nigdy jako jej zamiennik.
Kto jest celem ataku i jakie są tego konsekwencje
Kuszące jest założenie, że tylko nieostrożni nowicjusze dają się na to nabrać, ale dane mówią co innego. Największe straty ponoszą aktywni, doświadczeni nadawcy i firmy, a dokładniej osoby, które często przesyłają pieniądze i nauczyły się szybko wklejać bez patrzenia. Zatruwanie adresów jest tanie w użyciu, trwałe, gdy działa, i opiera się w całości na nawyku, który dzielimy prawie wszyscy, co czyni je tak trwałym oszustwem. Świadomość to w tym przypadku najważniejsze lekarstwo, ponieważ gdy już wiesz, że pułapka istnieje, pojedyncza czynność weryfikacji pełnego adresu ją rozbraja. Prawdziwe pytanie nie brzmi, czy rozumiesz oszustwo. Chodzi o to, czy nadal dałbyś się na nie nabrać o drugiej w nocy, przez telefon, płacąc komuś, komu płaciłeś już setki razy.
