Vaš Kripto Novčanik Nije Bezbedan Koliko Mislite: 7 Kritičnih Ranjivosti Kripto Bezbednost

Vaš Kripto Novčanik Nije Bezbedan Koliko Mislite: 7 Kritičnih Ranjivosti

17. March 2026.

FBI-jev godišnji izveštaj o kripto prevarama za 2025. godinu dokumentovao je 5,6 milijardi dolara gubitaka, od čega je 70% bilo direktno vezano za kompromitovane novčanike — ne za exploite protokola. Ovo je podatak koji industrija sklona ka tehnici previše često zanemaruje: za prosečnog korisnika, slabija karika nije pametni ugovor koji koristi, nego novčanik koji koristi da bi mu pristupio.

1. Nezaštićeno Čuvanje Seed Fraze

Seed fraza od 12 ili 24 reči je master ključ za ceo vaš kripto portfolio. Ko je ima, ima sve. Uprkos ovoj fundamentalnoj činjenici, istraživanje Chainalysis-a iz 2024. pokazalo je da 34% ispitanika čuva seed fraze na digitalnom uređaju — u fotografijama, tekstualnim fajlovima, email-ovima ili cloud storage-u. Svaka od ovih opcija ranjiva je na malver, cloud hakerski napad ili phishing napad koji ne mora ni da cilja vas direktno.

Jedino sigurno čuvanje seed fraze je fizička kopija na papiru — ili još bolje, na metalnoj ploči otpornoj na vatru i vodu — u fizički zaštićenom mestu, bez ikakvog digitalnog zapisa koji bi bio dostupan napadaču koji kompromituje vaš uređaj ili cloud nalog.

2. Phishing Sajtovi Koji Kopiraju Interfejse Novčanika

Napadači redovno postavljaju savršene kopije popularnih web novčanika — MetaMask, Phantom, Rainbow — na lažne domene koji se razlikuju za jedan ili dva karaktera od originala. Google oglasi se koriste da postave ove sajtove na vrh rezultata pretrage, iznad pravih sajtova. Kada korisnik uveze seed frazu u lažni novčanik, sredstva su izgubljena u sekundi. Google je tokom 2025. blokirao više od 2.000 ovakvih lažnih oglasa — ali novi se stalno pojavljuju. Jedina pouzdana zaštita je korišćenje bookmark-ova za sve kripto sajtove.

3. Blind Signing Transakcija

Kada interagujete sa DeFi protokolom, novčanik vas često traži da potpišete transakciju koja prikazuje samo heksadecimalni niz podataka — bez čitljivog opisa onoga što zaista odobravate. Ovo se zove blind signing. Napadači koriste ovu tehniku za ice phishing napade: prezentuje vam se transakcija koja izgleda bezazleno, ali zapravo odobrava napadaču da troši sve vaše ERC-20 tokene ili NFT-ove bez ograničenja.

Ledger i Trezor su uveli clear signing funkcije koje dekoduju transakcije u čitljiv opis direktno na uređaju — pre nego što pritisnete dugme za potvrdu. Ovo bi trebalo biti obavezan uslov pri izboru hardware novčanika.

4. Ranjivosti Browser Ekstenzija

MetaMask, Phantom i drugi browser extension novčanici inherentno su ranjivi na napade koji ciljaju sam pregledač. Maliciozne ekstenzije mogu čitati podatke iz memorije pregledača, interceptovati komunikaciju između extension-a i web stranica ili manipulisati DOM-om da promene adresu primaoca bez da korisnik primeti. Tokom 2024. godine, napad na Chrome extension ekosistem kompromitovao je više od 30 ekstenzija — uključujući neke direktno vezane za kripto upravljanje sredstvima.

5. SIM Swap Napadi na SMS Autentifikaciju

Ako koristite SMS-baziranu dvofaktorsku autentifikaciju za kripto berze, ranjivi ste na SIM swap napade. Napadač kontaktira vašeg mobilnog operatera, tvrdi da je vi i traži prenos broja na novu SIM karticu pod njihovom kontrolom. Sa vašim brojem, presreće sve SMS kodove i pristupa vašim nalozima. Prema FTC podacima, SIM swap napadi su porasli za 400% od 2020. do 2025. Rešenje je apsolutno: nikad ne koristite SMS kao faktor autentifikacije za kripto servise — pređite na hardware security ključeve poput YubiKey ili autentifikator aplikaciju.

6. Address Poisoning Napadi

Address poisoning je napad u kome napadač šalje mikro-iznose iz adrese koja je pažljivo dizajnirana da izgleda slično vašim često korišćenim adresama — isti prvi i poslednji karakteri, ali različiti u sredini. Korisnici koji kopiraju adrese iz istorije transakcija bez verifikacije svakog karaktera šalju sredstva napadaču misleći da šalju poznataom primaocu. Pravilo bez izuzetka: uvek proverite prvih i poslednjih šest karaktera svake adrese pre bilo koje transakcije.

7. Kompromitovani Hardware Novčanici iz Druge Ruke

Hardware novčanici — Ledger, Trezor, Coldcard — zlatni su standard bezbednosti, ali isključivo ako su kupljeni direktno od proizvođača ili ovlašćenih distributera. Hardware novčanici kupljeni iz druge ruke, sa tržišta poput eBay-a ili Amazon-a od trećih prodavaca, mogu biti fizički modifikovani da eksfiltriraju seed fraze čim ih generišete. Tokom 2023. dokumentovana je serija modifikovanih Trezor uređaja prodavanih na eBay-u sa preinstaliranim firmware-om koji je slao seed fraze napadačima.

Zaključak

Blockchain protokoli napreduju ka sve većoj robusnosti. Ali veza između koda i korisnika — novčanik — ostaje najkrhkija tačka u celom lancu. Sedam ranjivosti opisanih ovde nisu teorijske — svaka je dokumentovana kao vektor stvarnih gubitaka u poslednjih godinu dana. Bezbednost kripto portfolija počinje razumevanjem ovih vektora napada i implementacijom zaštitnih mera pre nego što postanu relevantne na sopstvenom iskustvu.

Izvor: FBI Internet Crime Complaint Center (IC3) Cryptocurrency Fraud Report, 2025. Chainalysis Crypto Crime Report 2024. FTC Consumer Sentinel Network, SIM Swap Data 2025.

← Nazad na BlockchainSecurity.rs
Scroll to Top