Przewodnik po adresach portfeli kryptowalutowych: Znajdź bezpiecznie adres swojego portfela
Adres portfela to w kryptowalutach coś najbliższego numerowi domu. Informuje sieć, gdzie wrzucić swoje monety i jest to jedyna informacja, którą musisz podać za każdym razem, gdy ktoś chce Ci zapłacić. To sprawia, że jest to proste w teorii, ale niebezpieczne w praktyce. Wpisz jeden zły znak, zaufaj nieodpowiedniemu schowkowi lub wpisz adres, który właśnie wkleił złośliwe oprogramowanie do bufora, a pieniądze przepadną. Transakcje kryptowalutowe nie są odwracalne. Twój bank nie może skontaktować się z drugą stroną i zażądać zwrotu pieniędzy. Błędny adres portfela jest nieodwracalny w prawie każdym przypadku, dlatego przewodnik po adresach portfeli powinien znaleźć się na liście lektur każdego nowego posiadacza kryptowaluty.
Ten poradnik został napisany dla osób, które chcą wysyłać i odbierać kryptowaluty bez utraty miesięcznej pensji z powodu błędu, którego można uniknąć. Omawia on, w jaki sposób adres portfela jest unikalnym identyfikatorem w blockchainie, jakie formaty istnieją, jak znaleźć adres portfela w najpopularniejszych aplikacjach portfelowych oraz jakie są konkretne nawyki bezpieczeństwa, które zapewniają bezpieczeństwo środków w 2026 roku. Każda z tych zasad istnieje, ponieważ prawdziwi ludzie stracili prawdziwe pieniądze, ignorując je. Według Chainalysis udział skradzionej wartości kryptowalut pochodzącej z naruszeń indywidualnych portfeli wyniósł 44% w 2024 roku, w porównaniu z zaledwie 7,3% w 2022 roku. Atakujący o wiele częściej atakują teraz zwykłe portfele niż giełdy, a błędy w adresach portfeli są furtką do ataku.
Czym jest adres portfela i jak działa
Zapomnij o żargonie. Adres portfela kryptowalutowego to unikalny ciąg liter i cyfr, stos znaków, który w zasadzie mówi: wrzuć moje kryptowaluty tutaj. Długa historia portfela oznacza po prostu, że otrzymujesz do niego środki od jakiegoś czasu. Każdy w sieci blockchain może przesyłać do niego środki. Tylko osoba posiadająca klucz prywatny może ponownie wypłacić te monety – ta osoba ma dostęp do Twojego salda prywatnego i nikt inny nie ma do niego dostępu. Sam adres to unikalny ciąg, różniący się od wszystkich innych adresów, które kiedykolwiek wygenerowano, a ta unikalność pozwala sieci prawidłowo kierować płatności.
Wyobraź to sobie jak konto bankowe. Numer Twojego konta jest częścią publiczną, a adres portfela działa jak numer konta bankowego pod niemal każdym istotnym względem. Podajesz go swobodnie, na fakturach, w czekach, w każdej formie płatności. Całkowicie w porządku. Teraz pomyśl o swoim PIN-ie. Nigdy byś go nikomu nie powiedział. To w zasadzie podział na klucze publiczny i prywatny, tylko z większą ilością obliczeń. Adres publiczny jest jak numer konta. Klucz prywatny jest jak PIN. Udostępnij pierwszy. Chroń drugi, jakby to były wszystkie Twoje oszczędności, bo w rzeczywistości nim są. Udostępnij swój adres portfela, gdy ktoś musi Ci zapłacić; nigdy nikomu nie udostępniaj swoich kluczy prywatnych, z żadnego powodu, nigdy.
Szybki powrót do matematyki, bo to pomaga zrozumieć resztę. Twój klucz prywatny to po prostu ogromna liczba losowa, 256 bitów, i gdybyś kiedykolwiek musiał ją wpisać, spędziłbyś tam całe popołudnie. Pomnóż ją przez krzywą eliptyczną (secp256k1 dla Bitcoina, Ed25519 dla Solany, szczegóły, których nie potrzebujesz), a otrzymasz klucz publiczny. Zahaszuj ten klucz publiczny, skróć go, dodaj sumę kontrolną i prefiks, a otrzymasz adres portfela. Cały łańcuch działa tylko w jednym kierunku. Nigdy, przenigdy nie odzyskasz klucza prywatnego z adresu. Na tym polega cała sprawa.
A blockchain? Szczerze mówiąc, nie obchodzi go, kim jesteś. Żadnych pól z imieniem. Żadnych kolumn z adresem e-mail. Żadnych numerów paszportów. Każdy przelew jest rejestrowany na blockchainie jako prosty ruch między dwoma adresami, z kwotą i znacznikiem czasu. Twój adres jest pseudonimowy, co nie jest tym samym, co anonimowy, ponieważ każdy ruch jest trwały i publiczny, ale nie jest też powiązany z Twoim prawdziwym imieniem i nazwiskiem. Skąd zazwyczaj bierze się powiązanie między „tym ciągiem 0x” a „Tobą, tą osobą”? Z dwóch miejsc. Z formularza KYC, który wypełniłeś na Coinbase lub Binance. Albo z tego jednego razu, kiedy na Twitterze podałeś swój adres obserwującemu i o nim zapomniałeś. Sam blockchain nigdy nikomu o tym nie powiedział. Bezpieczne korzystanie z adresu blockchain zaczyna się od zrozumienia, że tak właśnie działają adresy portfeli: publiczne z założenia, prywatne tylko wtedy, gdy zachowasz ostrożność.
Zrozumienie adresów portfeli w łańcuchach bloków
Każdy łańcuch zapisuje adresy na swój własny sposób. A różne formaty adresów portfeli nie mieszają się ze sobą. Ani trochę. Adres portfela Ethereum odrzuci Bitcoiny. Adres Solana zignoruje USDT wysłane na Tron. Wyślij do innego portfela w niewłaściwym łańcuchu, a zazwyczaj stracisz środki. Nie ma przycisku cofania. Twoim najlepszym przyjacielem w tym całym bałaganie jest prefiks. Rzuć okiem na pierwsze kilka znaków, a dowiesz się, w którym łańcuchu znajduje się adres. `bc1`. `0x`. `T`. `r`. `L`. Naucz się tych pięciu, a wyłapiesz większość błędów w niewłaściwym łańcuchu, zanim się pojawią. Adresy Bitcoin obejmują rodzinę 1/3/bc1. ETH obejmuje każdy łańcuch EVM. Pozostałe znajdują się w swoim własnym kącie.
Skąd więc ten bałagan? Prosta odpowiedź: nikt nie koordynował. Każdy blockchain po prostu wybierał własne reguły kodowania, kiedy tylko miał na to ochotę. Bitcoin zaczął od Base58Check, potem dodał Bech32, a potem Bech32m dla Taproot. Ethereum wybrał zwykły heksadecymalny z doklejoną później sumą kontrolną z różnymi wielkościami liter. Solana wybrał Base58, ale pominął bajt sumy kontrolnej dodawany przez Bitcoin na końcu. W gruncie rzeczy kryptografia wszędzie wygląda dość podobnie. Krzywe eliptyczne, funkcje skrótu, ta sama garść nudnych bloków. Ale opakowanie wokół tych bloków to miejsce, w którym każdy łańcuch postanowił działać po swojemu. Oprogramowanie portfela próbuje to wszystko przed Tobą ukryć. Przeważnie działa. Aż do momentu, w którym przestaje.
Oto rzecz, która zaskakuje ludzi. Jedna fraza początkowa może obsługiwać dziesiątki portfeli w dziesiątkach łańcuchów jednocześnie. Nowoczesne portfele kryptowalut generują nowy, unikalny adres portfela dla każdego rodzaju posiadanej kryptowaluty, a wszystkie one odwołują się do tych samych 12 lub 24 słów, które zapisałeś podczas konfiguracji. Otwórz portfel wielołańcuchowy obsługujący BTC, ETH i SOL, a zobaczysz trzy zupełnie różne ciągi znaków. Każdy na swoim własnym rejestrze. Przenoszenie monet na jednym z nich nie ma absolutnie żadnego wpływu na pozostałe. Jak to możliwe? Wystarczy kilka standardów: BIP32, BIP39, BIP44. Spośród nich BIP44 definiuje ścieżkę pochodną, więc pojedyncza fraza jednoznacznie mapuje adres portfela Bitcoin tu, adres portfela Ethereum tam, adres Solana tam. Naprawdę wygodne. To również brutalny pojedynczy punkt awarii. Utrata frazy oznacza, że wszystko, co znajduje się dalej, zniknie wraz z nią.
Rodzaje formatów adresów portfeli kryptowalutowych w 2026 r.
Oto główne formaty adresów portfeli, z którymi się spotkasz. Naucz się rozpoznawać prefiks na pierwszy rzut oka, a zauważysz zaskakująco dużo błędów, zanim się pojawią.
| Łańcuch | Format | Prefiks | Długość | Notatki |
|---|---|---|---|---|
| Bitcoin | Dziedzictwo P2PKH | `1` | 26–34 | Najstarszy format, nadal ważny |
| Bitcoin | P2SH | `3` | 34 | Skrypt hash, często multisig |
| Bitcoin | SegWit Bech32 | `bc1q` | 42 | Niższe opłaty, tylko małe litery |
| Bitcoin | Macica | `bc1p` | 62 | Najnowszy format z ulepszoną prywatnością |
| Ethereum | EVM hex | `0x` | 42 | Ten sam format na Polygon, Arbitrum, Base |
| Solana | Baza58 | `(bez prefiksu)` | 32–44 | Rozróżnianie wielkości liter |
| Tron | Base58Check | `T` | 34 | Używany do TRC20 USDT |
| Litecoin | Dziedzictwo / Bech32 | `L`, `M`, `ltc1` | 26–62 | Podobnie jak Bitcoin |
| XRP (Ripple) | Baza58 | `r` | 25–35 | Wymaga znacznika docelowego na giełdach |
| Dogecoin | Dziedzictwo | `D` | 34 | Dziedziczenie forka Bitcoina |
Bitcoin jest tym bałaganiarskim. Cztery rodzaje adresów portfeli bitcoin, ponieważ sieć stale dodawała nowe formaty, nie psując starych. Starsze adresy zaczynające się od 1 to oryginalny format pay-to-public-key-hash z 2009 roku. Nadal ważny. Nadal działa. Nadal najwolniejszy i najdroższy do wydawania. Adresy zaczynające się od 3 to pay-to-script-hash, dodany w 2012 roku w celu obsługi multisig i innych sztuczek wymagających użycia skryptów. Adresy SegWit Bech32 zaczynające się od bc1q pojawiły się w 2017 roku za pośrednictwem BIP 173. Adresy Taproot Bech32m zaczynające się od bc1p pojawiły się w 2021 roku w ramach BIP 350. Dlaczego w ogóle istniał BIP 350? Ponieważ Bech32 miał dziwactwo: końcowe znaki p pozwalały atakującym przemycać znaki q niezauważone. Nie jest to rodzaj błędu, którego chcesz w formacie adresu dla waluty. Wszystkie cztery typy są dziś ważne, ale pobierają różne opłaty, a niektóre stare serwisy nadal nie mogą wysyłać wiadomości do nowszych. Co samo w sobie stanowi pewne zagrożenie.
Ethereum wybrało łatwiejszą drogę. Tylko jeden format. 0x, po którym następuje 40 znaków szesnastkowych. To wszystko. Ten sam ciąg 0x działa w Ethereum, Polygon, Arbitrum, Base, Optimism, wszystkim, co obsługuje EVM. Na dodatek Ethereum nakłada mieszaną sumę kontrolną zdefiniowaną w EIP-55, która kapitalizuje niektóre litery na podstawie skrótu keccak-256 adresu z małą literą. Pomyłka w pojedynczym znaku? Suma kontrolna zazwyczaj to wyłapuje. Specyfikacja określa ją na około 99,9753% losowych literówek, co jest dobrą liczbą i tak, musiałem to sprawdzić. Ale oto pułapka. Ponieważ ten sam adres 0x jest ważny w każdym łańcuchu EVM, niebezpiecznie łatwo jest wysłać USDC w sieci głównej Ethereum na ten adres 0x i oczekiwać, że pojawi się w Polygon. Nie pojawi się. Każdy łańcuch ma własną księgę rachunkową. Każdy z nich ma swoją własną kopię kontraktu USDC. Nie komunikują się ze sobą. Ta awaria BEP20 vs ERC20 to jeden z najczęstszych scenariuszy strat w zgłoszeniach do pomocy technicznej giełdy. Kropka.
Jak znaleźć adres portfela w dowolnej aplikacji portfela
Wydaje się to trudniejsze, niż jest w rzeczywistości. Naprawdę. Przycisk ma inną etykietę w każdej aplikacji, ale proces uzyskania adresu portfela kryptowalutowego w 2026 roku składa się z tych samych czterech kroków.
1. Otwórz portfel. Wybierz kryptowalutę, w której chcesz otrzymać kryptowalutę – BTC, ETH, SOL – nie ma znaczenia.
2. Znajdź przycisk „Odbierz”. Niektóre aplikacje nazywają go „Żądanie”. Niektóre nazywają go „Wpłata”. To samo.
3. Pojawi się ekran z Twoim adresem zapisanym jako ciąg liter i cyfr, a pod spodem będzie znajdował się kod QR.
4. Skopiuj ciąg znaków lub po prostu pokaż kod QR osobie płacącej. Gotowe. W ten sposób znajdziesz adres swojego portfela i otrzymasz środki w dowolnym nowoczesnym portfelu.
Większość aplikacji portfelowych w 2026 roku wykonuje te same cztery kroki, niezależnie od tego, czy korzystasz z telefonu, komputera stacjonarnego czy rozszerzenia przeglądarki.
Portfele sprzętowe działają nieco inaczej i szczerze mówiąc, to właśnie tutaj kryje się prawdziwe bezpieczeństwo. Używasz Ledgera czy Trezora? Przechodzisz przez ten sam proces w Ledger Live lub Trezor Suite na swoim komputerze, ale samo urządzenie wyświetla adres odbiorcy na swoim małym ekranie. Zawsze patrz na ten ekran. Zawsze. Dopasuj go do tego, co pokazuje komputer. Jeśli różnią się choćby o jeden znak, przerwij to, co robisz. Na Twoim komputerze jest złośliwe oprogramowanie. Nie przesadzam, ta niezgodność to dokładnie to, co generuje porywacz schowka, a jedynym powodem, dla którego ją wykryłeś, jest to, że wyświetlacz portfela sprzętowego znajduje się na jego własnym małym chipie, do którego Twoja zainfekowana przeglądarka nie ma dostępu.
Portfele programowe, takie jak MetaMask, Trust Wallet, Phantom? Adres znajduje się u góry ekranu głównego lub po dotknięciu w sekcji „Odbierz”. Kopiuj i wklej, bez zbędnych ceregieli. Na giełdach Coinbase, Binance, Kraken i wszystkich innych znajdziesz adres w menu „Wpłata”. Miły dodatek na większości giełd: za każdym razem, gdy o niego poprosisz, otrzymasz nowy, unikalny adres. Pozostaw tę funkcję włączoną. To niewielki zysk dla prywatności bez żadnego wysiłku, a dodatkowo chroni saldo Twoich aktywów cyfrowych, utrudniając analizę łańcucha.
Jak korzystać z portfeli kryptowalutowych i wysyłać transakcje
Proces korzystania z portfeli kryptowalutowych do wysyłania kryptowalut jest niemal uniwersalny. Klikasz „Wyślij”, wklejasz lub skanujesz adres portfela odbiorcy, wybierasz kwotę, sprawdzasz opłatę i potwierdzasz. Blockchain następnie transmituje transakcję, górnicy lub walidatorzy umieszczają ją w bloku, a w ciągu kilku minut lub godzin odbiorca widzi, że środki dotarły. Wysyłanie i odbieranie kryptowalut jest proste i mechaniczne. Ryzyko tkwi wyłącznie w pośrednich krokach, a każda strata spowodowana wysłaniem kryptowalut na niewłaściwy adres wynika z pośpiechu.
Zanim klikniesz „potwierdź”, ważne są trzy rzeczy. Po pierwsze, upewnij się, że poprawny adres portfela dokładnie zgadza się z tym, który podał Ci odbiorca. Po drugie, upewnij się, że łańcuch jest zgodny. Wysyłanie USDT w Ethereum na adres USDT w Tron to klasyczny sposób na utratę pieniędzy przez drobną rozbieżność, a giełdy często używają różnych formatów adresów dla tego samego tokena w różnych sieciach. Po trzecie, sprawdź opłatę. Przepłacanie to marnotrawstwo; niedopłacanie może spowodować, że transakcja kryptowalutowa zostanie zablokowana na kilka dni.
Dobrym nawykiem przy większych przelewach jest transakcja testowa. Najpierw wyślij bardzo małą kwotę, poczekaj na jej dotarcie, a dopiero potem wyślij całą kwotę. Kilka centów wydanych na opłaty sieciowe to tania polisa ubezpieczeniowa i najlepsza ochrona przed literówkami, błędami kopiuj-wklej i atakami typu „address-surface” opisanymi w dalszej części tego poradnika.
Bezpieczne udostępnianie adresu portfela bez ryzyka
Adres jest publiczny. Całkowicie, jednoznacznie publiczny. Można go bezpiecznie udostępnić każdemu, kto musi Ci zapłacić, opublikować na swojej stronie internetowej i wydrukować na fakturze. Adresu portfela nie można użyć do kradzieży środków, może to zrobić tylko klucz prywatny, a cała idea kryptografii asymetrycznej polega na tym, że jedną stronę pary szyfrów należy wykrzyczeć na cały głos, a drugą zabrać do grobu.
Gdzie jest haczyk? Chodzi o prywatność i phishing, a nie o utratę salda. Opublikuj swój adres ETH publicznie, a każdy z eksploratorem bloków będzie mógł sprawdzić Twoje saldo, pełną historię transakcji, każdy NFT, którego kiedykolwiek używałeś, każdy podejrzany protokół DeFi, którego raz spróbowałeś i żałowałeś. Udostępnij to w grupie na Telegramie, a każdy uczestnik to zobaczy. Analityka on-chain w 2026 roku to dojrzała branża z dobrymi narzędziami i inteligentnymi ludźmi. W przypadku portfela z długą historią, ponowne wykorzystanie adresów równa się publikacji dziennika finansowego z Twoim imieniem i nazwiskiem na okładce.
A potem jest złota zasada, która nie traci na aktualności z każdym powtórzeniem: nigdy nie udostępniaj swoich kluczy prywatnych, frazy początkowej ani słów odzyskiwania. Ani agentowi wsparcia. Ani botowi do airdropów. Ani „przedstawicielowi Ledgera”, który wysłał Ci e-mail z informacją o aktualizacji oprogramowania. Ani Twojemu najlepszemu przyjacielowi. Dosłownie nikt uczciwy ich nie potrzebuje. Widziałem ludzi tracących pięciocyfrowe salda, bo wiadomość od „obsługi klienta” wydawała się pomocna i oficjalna. Nie była. Nigdy nie jest. Nigdy nikomu nie udostępniaj swoich kluczy prywatnych, bez względu na powód.
Problem z błędnym adresem portfela: unikaj utraty środków
Wyślij kryptowalutę na niewłaściwy adres portfela, a pieniądze prawie za każdym razem przepadną. Blockchain nie posiada działu obsługi klienta. Żadnych obciążeń zwrotnych, ochrony przed oszustwami, ani przyjaznego pracownika, który mógłby cofnąć transakcję. Księga robi to, co jej kazałeś, nawet jeśli to była literówka.
Sposoby, w jakie ludzie faktycznie tracą fundusze, są dziwnie nudne. Wpisywanie adresu ręcznie było kiedyś głównym winowajcą, ale nikt przy zdrowych zmysłach nie wpisuje już 42 znaków szesnastkowych, więc w 2026 roku to się prawie nie zdarza. Przechwytywanie schowka już się zdarza. Cała rodzina trojanów Windows o nazwie „clippers”, z których najsłynniejszy to Laplas Clipper, sprzedawanych jako złośliwe oprogramowanie jako usługa za około 549 dolarów rocznie, dyskretnie obserwuje schowek i podmienia każdy skopiowany adres kryptograficzny na adres imitujący adres atakującego. Wklejasz, klikasz „wyślij”, a wygląda to zupełnie normalnie. Microsoft ukuł termin „cryware” dla całej tej kategorii i śledzi setki tysięcy infekcji rocznie.
Następnie mamy do czynienia z zatruwaniem adresów, które jest nowszą i naprawdę okrutną metodą. Atakujący generuje adres vanity, który odpowiada pierwszym i ostatnim czterem znakom adresu, z którym często dokonujesz transakcji. Wysyła Ci transakcję typu dust (lub o wartości zerowej), aby jego fałszywy adres pojawił się w historii Twojego portfela. Następnym razem, gdy potrzebujesz tego adresu, leniwie kopiujesz go z historii i pobierasz wersję atakującego. Badanie Carnegie Mellon CyLab opublikowane na początku 2025 roku odnotowało około 270 milionów prób zatrucia on-chain, które dotknęły 17 milionów ofiar między lipcem 2022 a czerwcem 2024 roku, z potwierdzonymi stratami w wysokości co najmniej 83,8 miliona dolarów. To już nie jest marginalne zagrożenie. To phishing na skalę przemysłową.
Najbardziej niesławny przypadek miał miejsce 3 maja 2024 roku. Wieloryb stracił 1155 WBTC, czyli około 68 milionów dolarów w tamtym czasie, na rzecz otrutego sobowtóra, który odpowiadał jego zwykłemu celowi z obu stron. Atakujący zwrócił większość środków tydzień później z przyczyn wciąż nierozstrzygniętych w społeczności, ale nawet doświadczeni użytkownicy, którzy powinni byli wiedzieć lepiej, dali się nabrać na sztuczkę z kopiowaniem historii. W grudniu 2024 roku inny trader dał się złapać w ten sam sposób i stracił blisko 50 milionów dolarów w USDT. Różni ludzie, różne blockchainy, ten sam leniwy nawyk: ufanie historii transakcji jako źródłu adresów.
| Błąd | Jak to się dzieje | Jak temu zapobiec |
|---|---|---|
| Literówka | Ręczne wpisywanie długiego adresu | Zawsze kopiuj i wklej lub skanuj kod QR |
| Szkodliwe oprogramowanie schowka | Oprogramowanie złośliwe zastępuje skopiowany adres | Sprawdź na ekranie portfela sprzętowego |
| Zatrucie adresu | Podobny adres w historii | Kopiuj z kontaktów lub nowego źródła |
| Zły łańcuch | USDT wysłany na ERC20 vs TRC20 | Dokładnie dopasuj łańcuch przed wysłaniem |
| Fałszywy kod QR | Fałszywy kod QR w miejscu publicznym | Sprawdź pierwsze i ostatnie 6 znaków |
Każdemu z tych błędów zapobiega ten sam podstawowy nawyk: zawsze dokładnie sprawdzaj adres przed wysłaniem i weryfikuj go na urządzeniu, którego złośliwe oprogramowanie nie może zainfekować. Skopiuj, wklej, a następnie porównaj adres znak po znaku, co najmniej sześć pierwszych i sześć ostatnich, z adresem źródłowym. Nieprawidłowy adres, na który wysłałaby prawidłowa aplikacja portfela, jest niemożliwy do odzyskania po rozesłaniu podpisu. W przypadku transakcji o dużej wartości właściwym portfelem jest portfel sprzętowy, ponieważ jego ekran jest odizolowany od komputera i nie można go zmodyfikować programowo.
Zarówno Bitcoin, jak i Ethereum chronią przed prostymi literówkami dzięki wbudowanym sumom kontrolnym. Bitcoin korzysta z Base58Check, więc pojedynczy błędny znak w starym adresie zazwyczaj nie przejdzie sumy kontrolnej i nie zostanie wysłany. Ethereum dodaje sumy kontrolne EIP-55 z małymi i dużymi literami, aby wychwycić ten sam rodzaj błędu w adresach 0x. Te sumy kontrolne nie są skuteczne w przypadku złośliwych zamian, ponieważ adres atakującego jest również prawidłowym adresem. Pomagają one jedynie w przypadku uczciwych literówek.
Zarządzanie adresami portfeli i prywatnością w łańcuchu
Zarządzanie adresami portfela jest proste mechanicznie i skomplikowane w praktyce. W przypadku łańcucha takiego jak Bitcoin, najlepszą praktyką jest generowanie nowego adresu dla każdej przychodzącej płatności. Takie działanie przerywa połączenie między płatnościami i utrudnia zewnętrznemu obserwatorowi śledzenie ilości posiadanych kryptowalut. Wielokrotne używanie tego samego adresu wiąże każdą płatność z tą samą tożsamością blockchain i daje każdemu z eksploratorem bloków pełny wgląd w Twoją aktywność.
Ethereum jest inne. Ponieważ każdy adres Ethereum jest jednocześnie kontem z nonce i saldem, większość użytkowników i aplikacji używa jednego adresu do wszystkiego. Jest to wygodne, ale właśnie dlatego analiza łańcuchowa jest tak skuteczna w Ethereum. Jeśli zależy Ci na prywatności, minimum to świeży adres dla każdego projektu. Miksery i narzędzia do ochrony prywatności zapewniają większą ochronę, ale na wielu giełdach pojawiają się ostrzeżenia o niezgodności.
Biała lista to kolejny istotny element. Większość giełd i wiele przepływów portfeli sprzętowych pozwala na dodanie zaufanych adresów do białej listy, dzięki czemu środki mogą być wysyłane tylko do wstępnie zatwierdzonych odbiorców. W połączeniu z okresem oczekiwania na nowe wpisy, biała lista to jeden z najskuteczniejszych sposobów blokowania zarówno złośliwego oprogramowania w schowku, jak i przejęć kont, ponieważ atakujący nie może po prostu podmienić adresu na nowy.
Książki adresowe, kontakty i usługi nazw portfeli, takie jak ENS, ułatwiają codzienne życie, zastępując 42-znakowy ciąg szesnastkowy łatwą do zapamiętania etykietą, taką jak `alice.eth`. Etykiety te są wygodne, ale podatne na phishing. Ataki homograficzne Unicode rejestrują domenę, której glify wyglądają identycznie jak zaufana nazwa, ale używają znaków przypominających cyrylicę lub grekę, a ofiara kopiuje adres rozpoznany z fałszywej nazwy, nie zdając sobie z tego sprawy. Ten rodzaj ataku jest udokumentowany w sieci od dwóch dekad, a portfele kryptowalutowe, które automatycznie rozpoznają domeny ENS, SNS lub Unstoppable Domains, dziedziczą to samo ryzyko. Zawsze rozpoznaj nazwę ENS za pierwszym razem za pośrednictwem zaufanego interfejsu, upewnij się, że adres źródłowy odpowiada oczekiwanej osobie i zapisz go we własnej książce adresowej po weryfikacji.
Ataki typu „dust” to pokrewna sztuczka, często poprzedzająca zatrucie. Atakujący rozgłasza drobne transakcje na tysiące adresów, tak aby ofiara, gdy później skonsoliduje swoje niewydane środki, „dust” podróżował z nią i ujawnił klaster adresów należących do tego samego właściciela. Ofiara ataku WBTC z maja 2024 roku była monitorowana za pomocą „dust” przez tygodnie, zanim nastąpił prawdziwy atak. Portfele takie jak Wasabi, Samourai i Sparrow pozwalają teraz oznaczyć „dust” jako „nie wydawać”, aby zerwać połączenie.
Obsługa adresów portfeli: Zasady bezpieczeństwa na rok 2026
Obrona przed trzema największymi zagrożeniami: złośliwym oprogramowaniem w schowku, zatruwaniem adresów i transferami w niewłaściwym łańcuchu, sprowadza się do kilku nawyków, które albo się ma, albo nie. Oto one, celowo krótkie.
Używaj portfela sprzętowego do wszystkiego, czego nie możesz sobie pozwolić stracić. To nie jest opcjonalne, nie jest luksusem, nie jest paranoją. Ledger lub Trezor dają ci mały ekran fizyczny, do którego złośliwe oprogramowanie na twoim komputerze dosłownie nie może dotrzeć, a weryfikacja adresu odbiorczego na tym ekranie przed podpisaniem umowy blokuje zdecydowaną większość ataków na schowek. Kupuj w oficjalnym sklepie, a nie na eBayu. W listopadzie 2024 roku Ledger Donjon opublikował ujawnienie informacji o zakłóceniach napięcia w mikrokontrolerze Trezor Safe 3, co ma znaczenie tylko wtedy, gdy ktoś ma fizyczny dostęp do twojego urządzenia, ale właśnie to daje mu zmodyfikowane, używane urządzenie.
Włącz białą listę adresów wszędzie tam, gdzie obsługuje ją Twoja giełda. Ustaw zaufane adresy docelowe raz, pozostaw wydłużony okres oczekiwania i załatw tarcie. Większość przejęć kont polega na podmianie adresu wypłaty przez atakującego, a biała lista blokuje tę ścieżkę ataku. Niewielki koszt, ogromne korzyści.
Przeprowadź transakcję testową za każdym razem, gdy wysyłasz gdzieś w nowe miejsce. Kilka centów w opłatach zamiast utraty całej płatności przez pomyłkę BEP20/ERC20 – policz. Wyślij niewielką kwotę, poczekaj na potwierdzenie, sprawdź, czy dotarła, a następnie wyślij główny przelew. Ten jeden nawyk pozwala na wyłapanie literówek, złośliwego oprogramowania clipper, złego wyboru sieci i przypadkowego błędu giełdy – wszystko naraz.
Aktualizuj aplikacje portfela i rozszerzenia przeglądarki. Większość publicznych exploitów wciąż działa w przestarzałych wersjach, a fałszywa aktualizacja MetaMask to jeden z klasycznych sposobów na zastąpienie legalnego portfela zainfekowanym klonem. Zainstaluj łatkę, gdy pojawi się monit. To nudne. Nadal blokuje znaczną część rzeczywistych strat.
I jeszcze raz, bo powtarzanie to jedyna rzecz, która się sprawdza: udostępniaj swój publiczny adres portfela swobodnie, nigdy nie udostępniaj kluczy prywatnych, frazy początkowej ani słów odzyskiwania. Bez wyjątków. Dzień, w którym ktoś poprosi Cię o frazę początkową, to dzień, w którym zostaniesz oszukany, nawet jeśli zachowuje się uprzejmie.
