V poslední době se doslova roztrhl pytel s nejrůznějšími kryptoměnovými podvody a scamy. Řada uživatelů přichází o své úspory v souvislosti s podvodnými tokeny vytvářející podvodné smart kontrakty, které nakonec vysají peněženku uživatele. Často je přitom poměrně těžké rozeznat podvod od pravé webovky nabízející nové tokeny. V následujícím textu se podíváme na podvodné smart kontrakty, krádeže seedů a ukážeme některé z populárních podvodů. Na řadu z nich mohl narazit začínající i pokročilý investor a přijít o své kryptoměny. Stačí přitom zvýšená pozornost při nákupech tokenů, případně je možné využít řadu nástrojů, které na scamy a podvody upozorňují.
Podvodné smart kontrakty dokáží vykrást peněženku
Jako základ tohoto článku posloužilo twitterové vlákno uživatele Axel Bitblaze, který popisuje vlastní zkušenost z roku 2021. V té doby bylo přes noc z jeho peněženky ukradeno 70 % prostředků. V jeho případě naštěstí pomohla burza Binance, která vystopovala jeho prostředky až ke zloději. Axel Bitblaze nakonec zjistil, že v jeho případě byl zlodějem dokonce člověk, kterého osobně znal. Své kryptoměny tedy získal zpět. Takové štěstí ale naprostá většina okradených uživatelů nemá a o své prostředky přijdou nadobro. V poslední době je hodně rozšířený hlavně scam Inferno Drainer, který vytváří podvodné smart kontrakty a vysává peněženky uživatelů. Existuje ale řada další podvodů, které využívají smart kontrakty k okradení nepozorného uživatele. K okradení uživatelů tímto způsobem používají podvodníci nejčastěji airdropy tokenů. Z airdropu totiž uživatel může získat kryptoměny zdarma, což přesvědčí řadu investorů k tomu, aby klikli na podvodný odkaz.
Pozor na připojení peněženky na podvodných webovkách
Falešný airdrop může být nebezpečný ve chvíli, kdy připojíte svou peněženku na podvodné stránce a potvrdíte smart kontrakt nebo až ve chvíli, kdy přijmete falešné tokeny. Airdropy okrádající uživatele přitom často sdílí twitterový účet s desítkami tisíc sledujícími a uživatelé jsou často přesvědčeni, že účet s tolika sledujícími nemůže být podvod. Nezapomeňte ale, že účet na Twitteru se dá ukrást, případně mohou podvodníci nakoupit sledující a nově také zaplatit modrý odznak. Ten by měl uživatelům pomoci při identifikaci podvodných účtů, v podání Elona Muska se ale bohužel stalo toto ověření jen dalším nástrojem podvodníků. Ani ověřený účet s hromadou sledujících není zárukou bezpečnosti. Níže se můžete podívat na screenshot účtu, který předkládá Axel Bitblaze jako ukázku toho, že falešný účet je jen těžké rozeznat. Uvedený účet má 22 tisíc sledujících, ověření uživatele i podivné ověření firmy a může investory přesvědčit o své legitimitě.
Jako příklad můžeme uvést falešný airdrop tokenu Blur, během kterého bylo ukradeno 300 tisíc dolarů. Podvodné stránky (samozřejmě ale i ty pravé) požadují od uživatelů připojení peněženky. Pokud tedy máte v prohlížeči rozšíření Metamask, stačí jen pár kliků a vaše peněženka se otevře útočníkům. Po připojení podvodníci zkontrolují, zda máte na peněžence nějaké prostředky. Pokud je peněženka prázdná nebo nově vytvořená, stránka ji odmítne z různých důvodů. Nejčastěji to bývá zamítnutí kontrolními boty. Vše je samozřejmě podvod, útočníci pouze nemají zájem o peněženky bez prostředků. Pokud ale na peněžence nějaké prostředky máte, nabídne vám web podepsání smart kontraktu, ze které byste měli získat tokeny zdarma. Podvodníkům ale v podstatě podepíšete smart kontrakt, pomocí kterého mohou vykrást vaši peněženku. Níže se můžete podívat na připojení peněženky. Důležitý je zejména screenshot vpravo, který upozorňuje, že daná stránka žádá o zobrazení adresy, zůstatku na účtu, aktivitu účtu a také navrhování transakcí. Při připojování peněženky si můžete také ověřit, že adresa webu odpovídá danému projektu.
Ráno jste bohatí a večer nemáte jedinou kryptoměnu
Narazit můžete také na podvod s airdropy, které vám opravdu pošlou na peněženku tokeny. Ráno vstanete a Metamask vám ukáže, že máte na účtu tokeny v hodnotě několika tisíc dolarů bez toho, abyste museli cokoliv investovat. Tokeny ale není možné prodat a chyba vás svede na web podvodníků. Tento podvod začíná tím, že zloděj rozešle velkou spoustu tokenů na adresy nejrůznějších jedinců. Pro lepší iluzi pravosti tokenu zařídí zloděj likviditu u jeho tokenu na nějaké z populárních burz, jako například Pancakeswap. Podvodníci dělají nejrůznější transakce, díky čemu poskytují likviditu tokenu, aby to vypadalo, jako by existovala skutečná obchodní aktivita. Pokud vám takový token ve vaší peněžence přistane, po kontrole decentralizované burzy si budete jistí, že jste bohatí. Máte tokeny za tisíce dolarů a na burze s ním obchoduje hromada lidí. Ve chvíli, kdy se ale rozhodnete tokeny prohodit, například do etheru, nadšení rychle vyprchá. V případě, že jste dostali podvodný token vám totiž burza napíše chybu. Smart kontrakty jsou napsány tak, aby skončily chybou, ve které se dozvíte, že tokeny vám ve skutečnosti vymění na webové stránce projektu.
Chybová hláška je nastavena tak, aby zavedla uživatele na podvodnou stránku. Na obrázku výše je vidět, že chybová hláška odvádí uživatele na web wavax.net, kde může očekávat pomoc při výměně tokenů. Je to samozřejmě jen trik a zloděj se snaží dostat uživatele na stránku, kde připojí svoji peněženku a podepíše podvodný smart kontrakt. Ten samozřejmě může stát uživatele všechny prostředky, přestože se jen snaží vyměnit získané tokeny za ethery. Pokud peněženku připojí a nevšimne si problému, může namísto spousty peněz mít prázdnou peněženku. V obou případech sázejí podvodníci hlavně na nepozornost uživatele, který si nezkontroloval adresu a bezhlavě se vším souhlasí a vše potvrzuje. Nezapomeňte vždy daný smart kontrakt zkontrolovat na Etherscanu, kde komunita přidává k peněženkám, transakcím i smart kontraktům popisky. Včas se tak můžete dozvědět, že se jedná o podvodný smart kontrakt, který rozhodně není radno pouštět do své peněženky. Na Etherscanu pak můžete zkontrolovat také vydavatele tokenu a jeho další projekty. Snáze zde odhalíte, zda se jedná o podvod nebo reálný projekt.
Nikomu cizímu nepomáhejte obnovit peněženku ze seedu
Existují dva nejčastější podvody spojené se seedem ke kryptoměnové peněžence. V prvním případě vám podvodník pošle svůj seed a prosí o obnovení prostředků. Obnovení peněženky ale zapříčiní odepsání poplatků a vy přijdete o peníze. Ve druhém případě může podvodník zmanipulovat vás, abyste dobrovolně odevzdali svůj seed. Jakkoliv se to může zdát hloupé, existuje řada zkušených investorů, kteří se nechají zmanipulovat k odevzdání seedu. Zloděj se může vydávat za burzu či jinou instituci spojenou s vašimi prostředky. V případě, že se napadený uživatel začne bát o své celoživotní úspory, strach a stres jej donutí rozhodovat se špatně. Seed proto nikdy nikomu neříkejte a rozhodně jej nemějte uložený online, ani na fotografii. Naopak ani nečekejte, že by vám někdo cizí poslal seed k peněžence s 3000 bitcoiny a vy byste byli jediní, kdo mu může pomoci ztracené peníze získat zpět. Jedná se samozřejmě opět o podvod.
Seed cizího uživatele vás může stát peníze
Pokud používáte Twitter, tento typ zprávy vám jistě už také přišel. Někdo je v nesnázích, má hromadu peněz v kryptoměnách a vy jste jediní, kdo mu může pomoci. Na obrázku níže je vidět, že se účet JuneJohnson vydává za studenta, který získal 6800 USDT a neví, jak si peníze poslat na účet. Za pomoc nabízí 300 USDT a ve zprávě rovnou přidává také svůj seed, protože ho zjevně moc nezajímá, zda budete souhlasit nebo ne. Pokud zadáte seed do některé z peněženek uvidíte, že slibované prostředky tam opravdu jsou a stačí pouze zaplatit gas fee (transakční poplatek) za převod USDT. Pokud se zaplacením transakčních poplatků budete souhlasit, budou ihned přesunuty na peněženku podvodníka, který se vás snažil přesvědčit, že potřebuje pomoci. Navíc se většinou jedná o multi-signature peněženky, takže s prostředky nemůžeme sami manipulovat. Proto je útočník ochotný prozradit vám svůj seed a nalákat vás na plnou peněženku. Bez druhého podpisu totiž nebudete schopni prostředky utratit ani v případě, že uhradíte podvodníkem požadovaný gas fee.
Daleko větší problém je odevzdání vlastního seedu zlodějům
S tímto podvodem se pojí dvě protichůdná a zároveň pravdivá tvrzení. Většina uživatelů odmítá, že by se právě oni mohli nechat zmanipulovat k odevzdání seedu a zároveň se jedná o jeden z nejrozšířenějších typů podvodů. Přestože se může jako hlupák jevit každý, kdo takto naletí, není tomu tak. Podvodník dokáže často dostat uživatele pod tlak a ti se pak rozhodují úplně jinak, než by činili v klidu a bez stresu. Pokud někdo z důvěryhodného profilu napíše, že přijdete o všechny své úspory, pokud neověříte svou totožnost, může to rozhodit i toho nejotrlejšího investora. Podvodníci se často vyskytují na Telegramu nebo Discordu služby, kterou používáte a vydávají se za admina. Řada uživatelů totiž se svým problémem jde právě na Telegram nebo Discord služby a poptává pomoc adminů. Přestože ve většině skupin je napsáno, že vás admin nikdy sám nekontaktuje pomocí DM, řada uživatelů na tento trik skočí.
Podvodník se vás zeptá, zda je váš problém vyřešen a pokud ne, nabídne pomoc. Ve většině případů vám pošle odkaz na podvodnou stránku, kde musíte ověřit svou peněženku. Pokud ale na odkaz kliknete a svou peněženku připojíte, povolíte podvodníkovi vykrást z peněženky všechny prostředky. Případně může na webu požadovat vložení vašeho seedu, který mu taktéž poskytne plnou kontrolu nad vaší peněženkou. Přijít vám může také podvodný email, který se bude vydávat za oficiální email Metamasku. V emailu se dozvíte, že potřebují ověřit vaši identitu a vy musíte projít procesem KYC. V opačném případě budou zablokovány všechny vaše kryptoměny. Po kliknutí na odkaz pro ověření budete přesměrování na stránku, která je k nerozeznání od originálu a prvním krokem bude import peněženky prostřednictvím vložení seedu. Pamatujte, že peněženky jako Metamask nepotřebují KYC a nikdy se vás nikdo nebude ptát na váš seed.
Pozor na falešné Google reklamy
V poslední době se podvodníkům bohužel docela dobře daří obcházet také kontrolní mechanismy Google Ads. Mezi reklamami schválenými Googlem se aktuálně objevuje celá řada podvodných stránek. Pomocí reklam pak po vyhledávání na Googlu dostanete na prvním místě podvodný odkaz ve formě reklamy a až druhý odkaz vede na pravdou službu. Většina uživatelů ale kliká na první odkaz, protože Google platí za dobrý vyhledávač. Ve chvíli, kdy se dostanete na podvodnou stránku vypadající stejně, jako originál, budete vyzváni k připojení peněženky nebo importu pomocí seedu. V obou případech opět spadnete do pasti a přijdete o své prostředky na peněžence. V době, kdy meme tokeny zažívají velký boom hrozí velká šance, že natrefíte na podvod a opravdu se vyplatí být opatrný. Rozhodně také nedoporučujeme kupovat všechny různé tokeny v předprodeji. Raději vyberte několik zajímavých projektů a ověřte si jejich pravost pomocí Etherscanu nebo ScamSnifferu.
Dávejte proto dobrý pozor, kde peněženku připojujete, zejména při nákupu tokenů v předprodeji nebo přihlašování k airdropům. Nezapomeňte, že vám nikdo cizí nesvěří svých 3000 bitcoinů, abyste je poslali na jinou adresu. Nikdo nedává nic zadarmo a airdropy tokenů sledujte pouze na oficiálních kanálech projektu. Informace ověřujte a používejte Etherscan.io, který vám může pomoci odhalit podvod. Tamní komunita poměrně rychle reaguje na podvody a označuje peněženky i smart kontrakty, které okrádají uživatele. Případně můžete token zkontrolovat na webu ScamSniffer.io. Tato služba má dokonce rozšíření pro prohlížeč, které kontroluje tokeny v databázi scamů přímo při přecházení webu. Toto rozšíření je ale stále ve vývoji a jedná se o beta verzi. Mezi tyto rady můžeme přidat jedno zlaté pravidlo, které říká, že kryptoměny na burze nejsou vaše. Nemáte k nim totiž privátní klíče a všechny kryptoměny má pod správou burza. I ta se ale může stát cílem hackerů a vy můžete přijít o všechny své peníze. Větší částky proto vždy bezpečně ukládejte na hardwarovou peněženku.
Pokud jste se stali obětí podvodu, můžete dostat své peníze zpět. pokud stále vlastníte doklad o nákupu podvodníka. Na icwrecovery.com můžete najít důvěryhodnou vymáhací společnost, která vám pomůže vystopovat vaše peníze a identifikovat podvodníka. Když jsem propadl milostnému podvodu a přišel o všechny úspory na důchod, přišli mi na pomoc a pomohli mi získat zpět ztracené peníze, které byly asi 127 000 eur. Byl jsem požádán, abych poskytl podvodníkovi důkaz o svých transakcích, což jsem udělal, a poté jsem popsal, jak jsem o své peníze přišel. Vzhledem k tomu, že vám neúčtují, dokud vám nebudou vráceny peníze, rozhodl jsem se jim to zkusit. Děkujeme skupině icwrecovery.