Jak rozpoznać fałszywą aplikację MetaMask?

Kupuj kryptowaluty BLIKiem ⚡

Błyskawiczne wpłaty bez opłat i prowizji na giełdzie OKX.

Kup krypto z 0% prowizji

Siema, bardzo dobrze że zakładasz taki wątek, bo to co się teraz odwala na rynku to jest jakiś totalny dziki zachód. Codziennie na Discordach czy Telegramie widzę posty ludzi, których wyczyścili do zera, bo pobrali jakiś lewy portfel krypto. Scamerzy mają teraz taki budżet, że sklonowanie UI zajmuje im dosłownie moment, a potem tylko czeszą naiwnych, którzy się nie zorientowali w porę.

Pytałeś o te fałszywe aktualizacje wołające o frazę seed - tak, to stary jak świat numer, ale ciągle działa na świeżaków. Wygląda to przeważnie tak, że odpalasz sobie portfel, a tam wyskakuje ci na twarz jakiś czerwony komunikat o rzekomym "critical error" albo info, że sieć Ethereum przechodzi migrację i musisz natychmiast zsynchronizować konto. Klikasz dalej i wyskakują pola na twoje 12 lub 24 słowa. Zapamiętaj to raz na zawsze: prawdziwy lisek NIGDY nie poprosi cię o wpisanie seed phrase po zalogowaniu do apki. Te słowa wpisujesz absolutnie tylko wtedy, gdy sam przywracasz portfel po formacie telefonu czy przesiadce na nowy sprzęt. Jakakolwiek apka krzycząca o podanie seeda w trakcie zwykłego użytkowania to na bank fałszywa aplikacja MetaMask i zwykły drainer, który w ułamek sekundy wyprowadzi ci wszystkie tokeny i NFTki na zagraniczne giełdy.

Co do tego, jak rozpoznać fałszywą aplikację MetaMask w samych sklepach App Store i Google Play, to twoja taktyka z linkami jest jedyną słuszną. Szukanie przez lupkę w sklepie to proszenie się o to, żeby zostać rekt. Zgooglowanie hasła to zresztą to samo – scamerzy masowo wykupują reklamy w Google Ads i ich chamski phishing wisi często jako pierwszy, sponsorowany wynik tuż nad oryginalną stroną. Nie jeden krypto weteran stracił tak swoje ETH. Wchodzisz tylko przez oficjalny link, sprawdzasz czy w URL nie ma jakiejś literówki i stamtąd lecisz do sklepu. Ostatnio czytałem na grupie, jak gość stracił wszystko przez taka głupotę, bo kliknął w pierwszy lepszy link z wyszukiwarki.

Kolejna sprawa przy rozkminianiu jak odróżnić scam od oryginału, to kwestia rozszerzeń do przeglądarek, bo o tym w swoim poście zapomniałeś wspomnieć. Na PC masz ten sam syf co na mobilkach. Klonują wszystko 1:1. Zawsze patrz na liczbę pobrań i opinie. Oryginalny portfel od Consensys ma grube miliony instalacji, a podrobiona apka metamask wrzucona przez jakiegoś hakera będzie miała ich tysiąc albo dwa, plus w opór fejkowanych recenzji pisanych przez farmy botów. Wiadomo, wszystko zachwalające, że to "the best Web3 wallet".

Dam ci od siebie jeszcze jeden pro-tip, taki z kategorii absolutnego musu, jeśli chcesz tu przetrwać. Jeżeli obracasz w krypto czymś więcej niż stoma dolcami na waciki, to zapomnij o trzymaniu głównego depo na gołym hot wallecie. Kupujesz fizycznego Ledgera albo Trezora, parujesz go z lisiorem i śpisz spokojnie. Wtedy, nawet jak przez pomyłkę podepniesz się pod scamerski airdrop albo pobierzesz fałszywy portfel z lewego źródła, to bez fizycznego wciśnięcia guzików na sprzęcie nikt ci hajsu nie ruszy. Traktuj liska tylko jako interfejs do łączenia się z deksami, a klucze trzymaj na hardware.

Trzymajcie się tam w tym krypto grajdole, weryfikujcie każdy link trzy razy, nie zapisujcie seeda na pulpicie w pliku tekstowym i edukujcie znajomych. Im mniej kasy popłynie do scamerów, tym szybciej zawiną się z rynku.

Kupuj kryptowaluty BLIKiem ⚡

Błyskawiczne wpłaty bez opłat i prowizji na giełdzie OKX.

Kup krypto z 0% prowizji

Siema, chłopaki wyżej wyczerpali temat linków i ledgera, więc ja dorzucę trochę inne spojrzenie od strony stricte technicznej. Sam siedzę w kodzie i widzę, na czym ludziska najczęściej się wykładają.

Jeśli rozkminiacie jak rozpoznać fałszywą aplikację MetaMask, to musicie wziąć pod lupę temat pliczków APK na Androida. Sporo osób, żeby obejść jakieś blokady albo z czystego lenistwa, pobiera instalki z losowych stron w necie zamiast z legitnego sklepu. Prawda jest taka, że fałszywa aplikacja MetaMask krąży tam gęściej niż memy na Twitterze. Nigdy nie ładujcie krypto apek z zewnętrznych mirrorów i dziwnych repetytoriów. Sklejenie złośliwego kodu z oryginalnym interfejsem to dla hakera dosłownie chwila roboty. Instalujesz to i nawet nie wiesz, że pod maską działa skrypt kradnący twoje klucze.

Druga mega ważna sprawa to uprawnienia apki. Prawdziwy lisek prosi o dostęp do aparatu tylko i wyłącznie wtedy, gdy sam świadomie klikniesz skanowanie kodu QR do jakiejś płatności. Z kolei podrobiony portfel krypto często odkleja się od rzeczywistości i już przy pierwszym odpaleniu żąda dostępu do kontaktów, mikrofonu, lokalizacji czy nawet czytania SMS-ów. Zastanów się, po co portfelowi Web3 twoje SMS-y? Oczywiście po to, żeby wyłapywać kody 2FA z normalnych giełd. Jak przy instalacji wyskakuje wam litania dziwnych zgód do odklikania, to od razu usuwajcie to z telefonu.

Zwracajcie też uwagę na detale wizualne. Chińskie i ruskie klony często mają zrypane fonty, napisy nie mieszczą się w ramkach albo przyciski są krzywo poustawiane. Kiedyś ziomek z roboty pokazał mi swój ekran, bo mu niby sieć nie chciała działać. Odpalam, a tam logo liska mialo jakieś dziwne, rozmazane piksele na krawędziach. Niby głupota, ale po szybkiej weryfikacji wyszło, że to totalny scam do phishingu, który na jego szczęście po prostu się zawiesił i nie zdążył wyciągnąć seeda.

Jeszcze jeden cichy zabójca to podmienianie schowka. Czasem ciężko rozpoznać fałszywy soft, bo wszystko wygląda i klika się normalnie, ale gdy kopiujesz adres żeby przelać komuś hajs, złośliwy program wkleja adres scamera. Dlatego sprawdzajcie początek i koniec adresu bezpośrednio przed kliknięciem "potwierdź".

W krypto trzeba być paranoikiem, inaczej szybko zostaniecie dawcami płynności. Trzymajcie się!