Jak chronić swoje kryptowaluty przed inżynierią społeczną w 2026 roku

Większość exploitów kryptowalutowych w nadchodzącym roku nie będzie spowodowana błędem zero-day w Twoim ulubionym protokole, twierdzą eksperci ds. bezpieczeństwa kryptowalut. Będzie to spowodowane przez Ciebie. 

Dzieje się tak, ponieważ rok 2025 pokazał, że większość włamań nie zaczyna się od złośliwego kodu; zaczynają się od rozmowy, powiedział Nick Percoco, dyrektor ds. bezpieczeństwa giełdy kryptowalut Kraken, w rozmowie z Cointelegraph. 

Od stycznia do początku grudnia 2025 roku dane z Chainalysis pokazują, że branża kryptowalutowa odnotowała kradzieże na kwotę ponad 3,4 miliarda dolarów, przy czym lutowe naruszenie Bybit stanowi prawie połowę tej sumy. 

Podczas ataku złoczyńcy uzyskali dostęp poprzez inżynierię społeczną, wstrzyknęli złośliwy payload JavaScript, który pozwolił im zmodyfikować szczegóły transakcji i wyprowadzić środki.

Co to jest inżynieria społeczna? 

Inżynieria społeczna to metoda cyberataku, która manipuluje ludźmi, zmuszając ich do ujawnienia poufnych informacji lub wykonania działań zagrażających bezpieczeństwu. 

Percoco powiedział, że pole bitwy o bezpieczeństwo kryptowalut będzie w umyśle, a nie w cyberprzestrzeni. 

Wskazówka 1: Stosuj automatyzację tam, gdzie to możliwe 

Naruszenia łańcucha dostaw również okazały się kluczowym wyzwaniem w tym roku, według Percoco, ponieważ pozornie drobne naruszenie może okazać się destrukcyjne w późniejszym czasie, ponieważ "to cyfrowa wieża Jenga, a integralność każdego pojedynczego bloku ma znaczenie." 

W nadchodzącym roku Percoco zaleca zmniejszenie punktów zaufania ludzkiego poprzez działania takie jak automatyzacja obrony tam, gdzie to możliwe, oraz weryfikacja każdej interakcji cyfrowej poprzez uwierzytelnianie w "przejściu od reaktywnej obrony do proaktywnej prewencji."

"Szczególnie w kryptowalutach najsłabszym ogniwem pozostaje ludzkie zaufanie, wzmocnione przez chciwość i FOMO. To jest szczelina, którą atakujący wykorzystują za każdym razem. Ale żadna technologia nie zastąpi dobrych nawyków," dodał.

Wskazówka 2: Izoluj infrastrukturę

Lisa, kierownik operacji bezpieczeństwa z SlowMist, powiedziała, że złoczyńcy coraz częściej atakowali ekosystemy deweloperskie w tym roku, co w połączeniu z wyciekami danych uwierzytelniających w chmurze, stworzyło możliwości wstrzykiwania złośliwego kodu, kradzieży tajemnic i zatruwania aktualizacji oprogramowania. 

"Deweloperzy mogą zmniejszyć te zagrożenia poprzez przypinanie wersji zależności, weryfikację integralności pakietów, izolację środowisk budowania i przeglądanie aktualizacji przed wdrożeniem," powiedziała. 

Wchodząc w rok 2026, Lisa przewiduje, że najważniejsze zagrożenia prawdopodobnie będą wynikać z coraz bardziej wyrafinowanych operacji kradzieży danych uwierzytelniających i inżynierii społecznej. 

"Złoczyńcy już wykorzystują deepfake'i generowane przez AI, dostosowany phishing, a nawet fałszywe testy rekrutacyjne dla deweloperów, aby uzyskać klucze do portfeli, dane uwierzytelniające w chmurze i tokeny podpisujące. Te ataki stają się coraz bardziej zautomatyzowane i przekonujące i spodziewamy się, że ten trend będzie kontynuowany," powiedziała. 

Aby pozostać bezpiecznym, rada Lisy dla organizacji polega na wdrożeniu silnej kontroli dostępu, rotacji kluczy, uwierzytelniania opartego na sprzęcie, segmentacji infrastruktury oraz wykrywania i monitorowania anomalii. 

Osoby fizyczne powinny polegać na portfelach sprzętowych, unikać interakcji z niezweryfikowanymi plikami, sprawdzać tożsamości za pośrednictwem niezależnych kanałów i traktować z ostrożnością niechciane linki lub pliki do pobrania.

Wskazówka 3: Dowód tożsamości w walce z deepfake'ami AI

Steven Walbroehl, współzałożyciel i dyrektor techniczny firmy Halborn zajmującej się cyberbezpieczeństwem blockchain, przewiduje, że wzmocniona przez AI inżynieria społeczna odegra znaczącą rolę w podręcznikach hakerów kryptowalutowych.

W marcu co najmniej trzech założycieli projektów kryptowalutowych zgłosiło udaremnienie próby kradzieży poufnych danych przez rzekomo północnokoreańskich hakerów za pomocą fałszywych rozmów Zoom wykorzystujących deepfake'i.

Walbroehl ostrzega, że hakerzy używają AI do tworzenia wysoce spersonalizowanych, świadomych kontekstu ataków, które omijają tradycyjne szkolenia z zakresu świadomości bezpieczeństwa.

Aby z tym walczyć, sugeruje wdrożenie kryptograficznego dowodu tożsamości dla wszystkich krytycznych komunikacji, uwierzytelniania opartego na sprzęcie z wiązaniem biometrycznym, systemów wykrywania anomalii, które ustalają normalne wzorce transakcji, oraz ustanowienie protokołów weryfikacji przy użyciu wcześniej udostępnionych sekretów lub fraz. 

Wskazówka 4: Zachowaj swoje kryptowaluty dla siebie

Ataki klucza francuskiego, czyli fizyczne ataki na posiadaczy kryptowalut, były również dominującym tematem 2025 roku, z co najmniej 65 zarejestrowanymi przypadkami, według listy GitHub Jamesona Loppa, bitcoinowego OG i cypherpunka. Szczyt ostatniej hossy w 2021 roku był wcześniej najgorszym rokiem w historii, z łącznie 36 zarejestrowanymi atakami 

Użytkownik X o pseudonimie Beau, były oficer CIA, powiedział we wpisie na X z 2 grudnia, że ataki klucza francuskiego są wciąż stosunkowo rzadkie, ale nadal zaleca użytkownikom kryptowalut podjęcie środków ostrożności, nie rozmawiając o bogactwie ani nie ujawniając posiadanych kryptowalut lub ekstrawaganckich stylów życia online jako początek. 

Sugeruje również stanie się "trudnym celem" poprzez używanie narzędzi do czyszczenia danych w celu ukrycia prywatnych informacji osobistych, takich jak adresy domowe, oraz inwestowanie w ochronę domu, taką jak kamery bezpieczeństwa i alarmy. 

Wskazówka 5: Nie oszczędzaj na sprawdzonych i prawdziwych wskazówkach dotyczących bezpieczeństwa 

David Schwed, ekspert ds. bezpieczeństwa, który pracował w Robinhood jako dyrektor ds. bezpieczeństwa informacji, powiedział, że jego główną wskazówką jest trzymanie się renomowanych firm, które demonstrują czujne praktyki bezpieczeństwa, w tym rygorystyczne i regularne audyty bezpieczeństwa przez strony trzecie ich całego stosu, od smart kontraktów po infrastrukturę.

Jednak niezależnie od technologii, Schwed powiedział, że użytkownicy powinni unikać używania tego samego hasła do wielu kont, wybrać token sprzętowy jako metodę uwierzytelniania wieloskładnikowego i zabezpieczyć frazę seed poprzez bezpieczne zaszyfrowanie jej lub przechowywanie offline w bezpiecznej, fizycznej lokalizacji.

Radzi również używanie dedykowanego portfela sprzętowego dla znaczących zasobów i minimalizowanie zasobów na giełdach.

Powiązane: Spear phishing to główna taktyka północnokoreańskich hakerów: Jak pozostać bezpiecznym

"Bezpieczeństwo zależy od warstwy interakcji. Użytkownicy muszą zachować czujność podczas podłączania portfela sprzętowego do nowej aplikacji internetowej i muszą dokładnie zweryfikować dane transakcji wyświetlane na ekranie urządzenia sprzętowego przed podpisaniem. Zapobiega to 'ślepemu podpisywaniu' złośliwych kontraktów," dodał Schwed.

Lisa powiedziała, że jej najlepsze wskazówki to używanie tylko oficjalnego oprogramowania, unikanie interakcji z niezweryfikowanymi URL-ami i oddzielanie środków w konfiguracjach hot, warm i cold. 

Aby przeciwdziałać rosnącemu wyrafinowaniu oszustw, takich jak inżynieria społeczna i phishing, Percoco z Kraken zaleca "radykalny sceptycyzm" przez cały czas, poprzez weryfikację autentyczności i zakładanie, że każda wiadomość jest testem świadomości.

"I pozostaje jedna uniwersalna prawda: żadna legalna firma, usługa ani możliwość nigdy nie poprosi o Twoją frazę seed lub dane logowania. W momencie, gdy to zrobią, rozmawiasz z oszustem," dodał Percoco. 

Tymczasem Walbroehl zaleca generowanie kluczy przy użyciu kryptograficznie bezpiecznych generatorów liczb losowych, ścisłą segregację między środowiskami deweloperskimi a produkcyjnymi, regularne audyty bezpieczeństwa i planowanie reagowania na incydenty z regularnymi ćwiczeniami. 

Magazyn: Gdy przepisy dotyczące prywatności i AML są sprzeczne: Niemożliwy wybór projektów kryptowalutowych