A kriptód nincs biztonságban, 4 alattomos trükk amiről nem beszélnek

Haladó kriptocsalások: a kriptovilág most veszélyesebb, mint valaha. Ha kihagyod ezt a cikket a következő áldozat akár te lehetsz.

A kriptocsalások ma már nem csak technikai hibákból erednek

A modern kriptotámadások nem feltétlen egy-egy hibára épülnek, hanem több különböző csatornát egyszerre használnak fel: a tárca-felületeken kicsalt aláírásoktól (eth_sign / „vak aláírás”) a láncok közti hidakon át az árforrások manipulálásáig és az internet-infrastruktúra (BGP/DNS) eltérítéséig.

Ebből adódóan egyetlen gyenge pont — egy félrevezetett felhasználó, egy kompromittált validator vagy egy rosszul konfigurált oracle — könnyen láncreakciót indíthat, és jelentős pénzügyi veszteséghez vezethet. Lépésről lépésre kifejtjük a leggyakoribb támadási mintákat és biztonsági tippeket adunk mindegyikhez. Így világos képet kapsz arról, mi fenyegeti a felhasználókat és a protokollokat — és mit tehetsz, hogy ne válj áldozattá.

1) Malicious on-chain signature a „Claim your reward” kriptocsapda

Az üzenetek aláírása a blokkláncon teljesen alapvető dolog: így hagyod jóvá a tranzakciókat, azonosítod magad a DApp-okban (decentralizált alkalmazásokban), vagy veszel részt egy airdropban.

A probléma ott kezdődik, hogy ugyanez az aláírás lehet a támadók legfőbb fegyvere is.

Az egyik legveszélyesebb funkció az eth_sign. Ez lehetővé teszi, hogy bármilyen üzenetet aláírj a privát kulcsoddal, nyers hexadecimális formában (hosszú 0x… kódként). A gond az, hogy a wallet ilyenkor nem mutatja meg, mit hagysz jóvá, te csak egy kódot látsz, de a támadó ezzel az aláírással később akár teljes hozzáférést szerezhet a tokenjeidhez.

Olyan, mintha egy apróbetűs kitételt írnék alá egy adásvételi szerződésben: azt hiszed, ez csak rutin, pedig valójában korlátlan hozzáférést adsz a pénzedhez. Nem kell, hogy azonnal lopjanak — várhatnak hónapokat, amíg nagyobb összeg érkezik a tárcádba, és aztán egyetlen lépéssel kivehetik. Ha már adtál ilyen engedélyt, azonnal vond vissza (pl. revoke.cash).

Rövid hétköznapi példa

Előtted egy Twitter-poszt: „Free NFT airdrop - claim now!”.
A weboldal profi, megbízhatónak tűnik, kéri a wallet-csatlakozást. Ez önmagában nem gyanús.

A baj ott kezdődik, amikor a MetaMask feldob egy ablakot: csak hexet (pl. 0x12ab...) és egy Sign gombot látsz. Te rányomsz, mert azt hiszed, ez csak azonosítás. Később a támadó ezzel az aláírással egy okosszerződést hív meg, és kiüríti a tárcádat, akkor és úgy, amikor akarja.

Hogyan csinálják a támadók?

1. Előkészítés: hamis oldalakat hoznak létre, amik hivatalos NFT-piacnak, kriptotőzsdének vagy DeFi platformnak látszanak.

2. Odacsalás: hirdetések, phishing e-mailek vagy közösségi médiás posztok („limited airdrop”, „verify now”).

3. Aláírás kicsalása: a hamis oldal wallet-csatlakozás után eth_sign aláírást kér. Amit te ártalmatlan üzenetnek látsz, az valójában engedélyt ad a támadónak, hogy tokeneket mozgasson a tárcádból.

Azonnali védekezés, amit már ma bevezethetsz:

1. Használj külön “eldobható” tárcát claimekhez.: A fő kriptotárcádat soha ne kösd össze airdroppokkal. Legyen egy külön, amiben csak a díjakhoz (gas fee) elég összeg van.

2. Soha ne írj alá érthetetlen hexet.: Ha a wallet nem írja ki emberi nyelven, mit hagysz jóvá, zárd be az ablakot.

3. Ne adj korlátlan engedélyt (uint256.max).: Mindig adj pontos, limitált összeget. Ha „unlimited”-et kér, azonnal gyanakodj.

4. Revoke eszközök használata.: Ha engedélyeztél valamit, de bajt sejtesz, vond vissza az engedélyeket pl. revoke.cash segítségével.

5. Tartsd a fő kriptódat hardveres tárcában.: Ledger vagy Trezor: nagyobb összeget soha ne tárolj hot walletben.

6. Kapcsold be a biztonsági figyelmeztetéseket.: MetaMask Security Alerts, Wallet Guard, Pocket Universe. Ezek előre szólnak, ha gyanús engedélyt kérnek.

7. Mindig ellenőrizd a linket.: A csalók gyakran csak egy karaktert változtatnak meg (pl. uniswap --> unisvvap). 

Tanulság

Mindig légy nagyon óvatos és gyanakvó mert a gyanakvás sosem bűn, különösen minden olyan ajánlattal, ami sürget. A csalók szándékosan teremtenek időnyomást („csak ma érhető el”, „5 percen belül lejár”, „csak az első 50 ember kapja meg”), hogy ne legyen időd végiggondolni és ellenőrizni, valódi-e az ajánlat. Ez ugyanaz a pszichológiai manipuláció, amit a social engineering támadásoknál is használnak, erről részletesen írtam az előző cikkemben: Hogyan lopják el a kriptódat? A 6 leggyakoribb támadási módszer

2) Cross-chain bridge risk - amikor a láncok közötti híd a gyenge láncszem

A cross-chain bridge (láncok közötti híd) lehetővé teszi, hogy az egyik blokklánc hálózatról átvigyél eszközöket egy másikra. Például, ha 3 Ethereum (ETH)-ot át akarsz tenni a Solana (SOL) láncra a bridge zárolja a 3 ETH-t az Ethereum oldalon, és kibocsát 3 wrapped ETH-t (wETH) a Solana hálózaton.

Ez kényelmes megoldás, mert így egyszerre több lánc előnyét is kihasználhatod: gyorsabb tranzakciók, olcsóbb díjak, vagy speciális DeFi lehetőségek.

De van egy nagy bökkenő: a kényelem ára a biztonság. A hidak több összetevőből állnak (okosszerződés, validátorok, hálózati infrastruktúra) és bármelyik hibája elég ahhoz, hogy egy támadó kiürítse a teljes locked összeget. Nem véletlen, hogy a DeFi történetének legsúlyosabb hackjei éppen itt történtek: a bridge-ek adják az összes Web3 hack közel 70%-át.

Hogyan támadják a hidakat?

1. Hamis befizetés

   Egy logikai hiba vagy sebezhetőség miatt a támadó „eltüntetett” befizetésnek láttatja magát: a híd vagy az okosszerződés úgy kezeli az eseményt, mintha valóban érkezett volna X összeg, ezért a másik láncon kibocsátódnak a wrapped tokenek, de a tényleges érték sosem érkezett meg. Példa: a támadó egy hibát használ ki, ami a bridgenek azt mondja, hogy érkezett 1000 token a másik láncon emiatt létrejön 1000 wToken, amelyet a támadó elad, miközben a forrásláncon nincs valódi befizetés.

2. Validator kompromittálás

   A validator kompromittálás lényege, hogy a híd működését felügyelő kulcsokat (digitális aláírásokat) a támadó megszerzi. A legtöbb hídnál elég a kulcsok többsége ahhoz, hogy bármilyen tranzakciót érvényesítsenek. Ha például 5 validator közül 3-at átvesz, akkor már ő dönthet arról, milyen átutalások történjenek. Ez olyan, mintha egy cégnél a három aláíró közül hármat megvesztegetnének: innentől bármit aláírhatnak, és a papír hivatalosan érvényes. A kriptovilágban ez azt jelenti, hogy a támadó jogosulatlanul kiveheti a zárolt tokeneket a hídból.

3. Okosszerződés sebezhetőségek

   Egy rosszul megírt vagy nem auditált szerződés kiskaput adhat. Például fedezet nélküli wrapped tokeneket bocsát ki a támadó, majd gyorsan eladja őket a piacon, mielőtt észrevennék.

4. Hálózati támadások (BGP hijack)

   Nem mindig a kód a gyenge pont. Előfordult, hogy támadók a hálózati réteget vették át: meghamisították az internetes útvonalakat, így a felhasználókat egy hamis bridge oldalra terelték. A pénzük nem a valódi szerződésbe került, hanem a támadóhoz.

Miért különösen veszélyes?

Amíg a kriptódat a saját tárcádban tartod, annak biztonságát maga a blokklánc garantálja, pl.: az Ethereum (ETH) vagy a Solana (SOL) hálózata. Egy hálózati támadás sem tudja közvetlenül elvenni a pénzedet.

De amikor egy hídba küldöd át, onnantól már nem a blokklánc védi, hanem a híd kódja és a működtetői (validátorok). Ha a hidat feltörik, a bent lévő fedezet eltűnhet, és a kezedben lévő wrapped tokenek egyik pillanatról a másikra értéktelenné válhatnak.

Védekezés: mit tehetsz felhasználóként?

• Ne küldj nagy összeget egyszerre. Mindig tesztelj kis összeggel, mielőtt komolyabb értéket mozgatnál.

• Csak megbízható, auditált hidat használj. Ellenőrizd, volt-e több független audit, és kik és mikor végezték azokat.

• Mindig ellenőrizd a linket betűről betűre. A csalók gyakran csak egy karaktert változtatnak meg (pl. uniswap → unisvvap).

• Nézd meg a védelmi funkciókat. Van-e multisig validáció, timelock frissítéseknél, rate limit vagy aktív monitoring?

• Tarts külön tárcát a napi használathoz. A fővagyon mindig maradjon cold walletben. A napi kisebb tranzakciókra használj egy másik „eldobható” tárcát, így egy esetleges átverésnél korlátozott a kár.

• Fejlesztői oldalról: rendszeres penetration testing, dApp audit és aktív bug bounty program segít csökkenteni a rejtett hibák kockázatát.

Tanulság:

A cross-chain bridge egy kényelmes, de kockázatos eszköz. Olyan, mintha egy közös széfbe helyeznéd a pénzed másokkal együtt: ha a széf kulcsát ellopják, mindenki bukik. Használd tudatosan, mindig légy gyanakvó és sose feledd: a kriptovaluta biztonság a saját döntéseidnél kezdődik.

3) Oracle manipuláció és flash-loan támadások: hogyan torzítják el a kriptoárakat egy szempillantás alatt?

A price oracle (árforrás) olyan adatcsatorna, amely a külvilágból hozza be az árfolyamokat a blokkláncra. Például egy DeFi protokoll (decentralizált pénzügyi alkalmazás) az oracle-től kérdezi meg, mennyibe kerül most az Ethereum (ETH) dollárban.

Ha az árforrást valaki meg tudja vezetni, az egész rendszer rossz adatok alapján működik és ebből komoly pénzt lehet kivenni.

A támadók ehhez gyakran használják a flash loan-t (villámhitel). Ez egy különleges kölcsön: fedezet nélkül lehet felvenni akár több tízmillió dollárt is, de csak egyetlen tranzakció idejére. Ha a kölcsön végén nem fizetik vissza, az egész művelet automatikusan visszafordul, tehát a támadó kockázat nélkül próbálkozhat.

Hogyan zajlik a támadás?

1. Villámhitel felvétele: a támadó kölcsönvesz hatalmas összeget (pl. 10 millió dollárnyi ETH).

2. Ár eltorzítása: ezzel a pénzzel egy gyengébb, alacsony likviditású piacon mesterségesen felhúzza vagy lenyomja egy token árát.

3. Oracle becsapása: a rendszer ebből a piacból olvassa az árat, így valódinak hiszi a manipulált értéket.

4. Haszonszerzés: a támadó túl sok hitelt vesz fel, ártatlan felhasználók pozícióit likvidáltatja, vagy szintetikus tokeneket ad ki irreális áron.

5. Villámhitel visszafizetése: a profitból visszafizeti a kölcsönt, a maradék nyereség az övé. Az egész folyamat pár másodperc alatt lemegy.

Miért veszélyes ez a kriptovilágra?

• Hitelezés (lending platformok): hamis ár miatt a támadó több kölcsönt kap, mint kellene, vagy ártatlan felhasználók veszítik el a fedezetüket.

• Likviditási poolok (AMM-ek, pl. Uniswap): a mesterséges árakon váltás közben a támadó kiszívhatja a teljes likviditást.

• Szintetikus eszközök: rossz ár alapján túl sok mesterséges token bocsátható ki, ami kiüríti a protokoll tartalékát.

• Felhasználói veszteségek: a kár nem „a protokollt” éri, hanem végső soron a te pénzedből történik.

Rövid példa:

Képzeld el, hogy egy hitelező protokoll az Uniswap ETH/DAI pool árát figyeli fedezetértékeléshez.

Egy támadó villámhitellel felpumpálja az ETH árát a poolban tízszeresére. Az oracle ezt „igazinak” látja, így a protokoll sokkal több DAI-t ad kölcsön, mint kellene. A támadó elteszi a DAI-t, majd visszafizeti a villámhitelt. Az egész pár másodperc alatt megtörténik, és veszteség marad a rendszerben.

Hogyan védekeznek ez ellen?

• Decentralizált oracle-hálózat (pl. Chainlink, Band Protocol): több független adatforrást használnak, így nem elég egyetlen piacot manipulálni.

• Időalapú átlagár (TWAP): ne az aktuális, pillanatnyi árat használja a protokoll, hanem hosszabb időszak átlagát. Ezt nagyságrendekkel drágább lenne torzítani.

• Több forrás + medián: a medián kiszűri a szélsőséges értékeket, ezért sokkal nehezebb manipulálni.

• Vészfék: ha az ár túl gyorsan változik (pl. 50% egy perc alatt), a rendszer automatikusan leállítja a kölcsönzést vagy a likvidálást.

• Audit és folyamatos megfigyelés: külső biztonsági auditok, kódellenőrzések és valós idejű monitoring segíthet időben észlelni a támadást.

4) DNS/BGP hijack of official sites - amikor az internet útvonalát térítik el

A BGP hijack (útvonal-eltérítés) és a DNS hijack (domain-eltérítés) olyan támadások, amikor a hackerek nem közvetlenül a blokkláncot vagy az okosszerződést támadják meg, hanem az internet alaprétegét manipulálják.

Képzeld el az internetet egy hatalmas térképként, ahol minden adatcsomag megtalálja az útját egyik városból a másikba. A BGP olyan, mint egy GPS, ami irányt mutat. Ha valaki meghamisítja a GPS-t, az adatok nem a valódi célhoz (például a Celer Bridge szerverhez) mennek, hanem egy hamis, támadó által irányított másolathoz.

A DNS hijack hasonló: amikor beírod a helyes webcímet (például myetherwallet.com), de a háttérben a domain egy hamis IP-címhez vezet. Te a csaló weboldalára kerülsz, ami első ránézésre teljesen úgy néz ki, mint az eredeti - miközben a bejelentkezési adataid és tranzakcióid a támadóhoz kerülnek.

Hogyan zajlik a támadás?

1. Hamis útvonal hirdetése (BGP hijack)

   A támadó bejelenti, hogy ő tudja a legjobb útvonalat bizonyos IP-címekhez (pl. Amazon szervereihez). A routerek elhiszik és a forgalmat hozzá irányítják.

   Példa: 2022-ben a Celer Bridge felhasználói egy hamis szerverhez csatlakoztak, amely rossz okosszerződésre irányította őket. Több százezer dollárt loptak így el.

2. Hamis DNS válasz (DNS hijack)

   A felhasználó beírja a címet (myetherwallet.com), de a DNS válasz már a támadó szerverére mutat. Az oldal teljesen ugyanúgy néz ki, csak a háttérben a támadóhoz kerülnek a bejelentkezési adatok.

   Példa: 2018-ban a MyEtherWallet felhasználói így kerültek egy ukrajnai hamis szerverre, ahol a privát kulcsaikat megszerezték.

3. Hamis JavaScript vagy frontend

   A támadó nemcsak a weboldalt másolja le, hanem módosított kódot ad vissza. Ez a kód a felhasználó tranzakcióit átirányítja egy támadó tárcájába.

   Példa: 2022-ben a KLAYswap felhasználói egy hamis JavaScript könyvtárat kaptak, amely minden utalásukat azonnal a támadó címére küldte.

Miért különösen veszélyes?

• Ez a támadás nem a blokklánc gyengesége, hanem az internet infrastruktúrájának sebezhetősége miatt működik.

• A felhasználó számára látszólag minden rendben van: a domain helyes, a weboldal kinézete is stimmel, sokszor még HTTPS-tanúsítvány is van.

• Valójában a háttérben a teljes adatforgalom más irányba megy.

Ez olyan, mintha a postás helyett egy csaló vinné a leveleidet: a címzett helyett ő bontja fel, olvassa el és ő dönt, mit kézbesít tovább.

Védekezés - mit tehetsz?

1. Váltás megbízható, DNSSEC-validáló feloldóra (DoH/DoT)

   Állíts be ismert DoH/DoT szolgáltatót pl. Quad9 (9.9.9.9) vagy Cloudflare (1.1.1.1) a számítógépen vagy routeren; így titkosított DNS-lekérések csökkentik a hamis válaszok esélyét. Ez nem teljes védelem BGP ellen, de hatékonyan csökkenti a DNS-manipulációt.

2. Ellenőrizd a tanúsítvány részleteit egyszerűen

   Kattints a böngésző zár ikonjára és nézd meg, ki adta ki a tanúsítványt és mely domainre szól; ha a kiadó furcsa vagy a domain nem stimmel, ne lépj tovább. Sok eltérítésnél bukik le itt a hamisítás.

3. Kövesd a projekt hivatalos csatornáit és status oldalt, ne csak a webet

   Ha a csapat GitHubon, Twitteren vagy Discordon megerősít hibát, alternatív URL-t vagy statusz üzenetet ad, használd azt, ne bízz meg véletlenszerű linkekben vagy hirdetésekben. Többszörös, független megerősítés csökkenti a kockázatot.

Fejlesztői oldalról:

• Teljes RPKI bevezetése (Route Origin Validation) a route-eltérítések csökkentéséhez.

• DNSSEC használata, hogy a DNS-válaszok alá legyenek írva.

• Monitoring eszközök (pl. BGPmon, Qrator Radar) a gyors észleléshez.

• Frontendek terjesztése IPFS-en vagy tartalom-hash alapján, hogy a felhasználó ellenőrizni tudja a betöltött oldal integritását.

Ha további biztonságtechnikai tippeket olvasnál:

Hogyan lopják el a kriptódat? A 6 leggyakoribb támadási módszer