Opublikowano: 15 May 2026 Zaktualizowano: 17 May 2026
Błędy początkujących z portfelami krypto
Większość strat w krypto nie wynika z zaawansowanego hakowania. Dzieje się przez przewidywalne błędy, których można uniknąć — pominięty backup, zaufanie złej stronie albo błędne odczytanie adresu. Jeśli nie masz jeszcze pewności, czym jest portfel krypto, zacznij tam. Ten poradnik omawia najczęstsze błędy i dokładnie pokazuje, co zrobić zamiast tego. Bez żargonu.
Błąd 1: niezapisanie seed phrase
Kiedy tworzysz nowy portfel — MetaMask, Trust Wallet, Ledger albo inny self-custody wallet — generuje on seed phrase: 12 albo 24 słowa będące backupem całego portfela.
Wiele aplikacji pozwala kliknąć “skip” albo “remind me later” przy kroku backupu. Początkujący często tak robią, zwłaszcza gdy tylko testują portfel i nie mają tam jeszcze dużych środków. Potem wpłacają więcej, telefon się psuje albo resetuje, a środki przepadają na zawsze.
Co zrobić zamiast tego: zapisz seed phrase na papierze w chwili tworzenia portfela. Nie przechodź dalej przez krok backupu bez zapisania jej. Sprawdź backup przed wpłatą znaczących środków. Zobacz pełny poradnik bezpieczeństwa seed phrase.
Błąd 2: robienie screenshota seed phrase
Screenshot wydaje się łatwym backupem. Problem: na większości telefonów screenshoty automatycznie synchronizują się z usługami cloud — iCloud na iPhone, Google Photos na Androidzie. Przejęte konto cloud albo aplikacja z dostępem do zdjęć może ujawnić obraz.
Co zrobić zamiast tego: zapisz słowa na papierze. Trzymaj papier w fizycznie bezpiecznym miejscu. Jeśli chcesz trwalszy backup, rozważ metalowe płytki backup odporne na ogień i wodę.
Błąd 3: przechowywanie seed phrase cyfrowo
Przechowywanie seed phrase w jakiejkolwiek formie cyfrowej — notes app, Google Doc, email do siebie, password manager — tworzy ekspozycję online. Typowe przykłady strat:
- Notes app zsynchronizowany z iCloud — przejęty Apple ID ujawnił notatkę
- Email do siebie — konto email zostało zhakowane
- Password manager — master password został wyłudzony albo konto cloud zostało przejęte
- Plik o nazwie “seed phrase” na komputerze — malware go znalazł
Co zrobić zamiast tego: trzymaj seed phrase wyłącznie offline i fizycznie. Bez kopii cyfrowych.
Błąd 4: fałszywe aplikacje portfeli
Fałszywe aplikacje portfeli wyglądają identycznie jak prawdziwe. Używają tej samej nazwy, tego samego logo i tych samych screenshotów. Pojawiają się w App Store albo Google Play. Gdy “tworzysz portfel” w fałszywej aplikacji, seed phrase, którą pokazuje, jest już znana atakującemu. Czeka, aż wpłacisz środki, a potem je wyprowadza.
W innych przypadkach fałszywe aplikacje proszą o “import istniejącego portfela” przez wpisanie prawdziwej seed phrase — którą atakujący natychmiast przechwytuje.
Co zrobić zamiast tego:
- Pobieraj aplikacje portfeli tylko z oficjalnej strony portfela. Nie szukaj “MetaMask” w App Store — najpierw wejdź na metamask.io i użyj linku pobierania z tej strony.
- Sprawdź nazwę dewelopera w sklepie z aplikacjami. Porównaj ją z informacją na oficjalnej stronie.
- Sprawdź liczbę recenzji i instalacji, ale pamiętaj, że to też można fałszować. Nowe aplikacje z małą liczbą recenzji i świeżą datą publikacji są sygnałem ostrzegawczym.
Zobacz pełny poradnik jak unikać fałszywych aplikacji portfeli.
Błąd 5: wpisanie seed phrase na fałszywej stronie
Strony phishingowe naśladują prawdziwe strony portfeli. Pojawiają się w wynikach wyszukiwania, reklamach w social media, fałszywych wiadomościach supportu i kartach przeglądarki, których nie otwierałeś. Zachęcają do “connect” albo “restore” portfela przez wpisanie seed phrase.
Najczęstsze scenariusze:
- Fałszywa strona odzyskiwania MetaMask: szukasz “MetaMask wallet not working” i klikasz wynik, który nie jest oficjalną stroną. Strona prosi o seed phrase, aby “naprawić” problem.
- Fałszywy support w mediach społecznościowych: publicznie piszesz pytanie o problem z portfelem. “Konto supportu” (fałszywe) odpisuje w DM i prosi o seed phrase.
- Podmiana browser extension: złośliwe rozszerzenie zastępuje prawdziwe rozszerzenie MetaMask fałszywym i przechwytuje seed phrase przy kolejnym logowaniu.
Co zrobić zamiast tego: dodaj oficjalne strony portfeli do zakładek. Nigdy nie klikaj reklamowych linków “wallet” z wyszukiwarki. Jeśli strona prosi o seed phrase, żeby “connect” — to zawsze scam.
Błąd 6: wysłanie krypto na zły adres
Adresy blockchain to długie ciągi znaków. Jeden zły znak wysyła środki na zupełnie inny adres albo na adres, który w ogóle nie istnieje. W obu przypadkach środki przepadają.
Najgroźniejsza odmiana to clipboard hijacking. Malware na komputerze po cichu podmienia skopiowany tekst na adres atakującego. Kopiujesz adres znajomego, wklejasz go — ale malware już go podmienił. Wysyłasz do atakującego.
Co zrobić zamiast tego:
- Po wklejeniu adresu sprawdź, czy pierwsze 4 i ostatnie 4 znaki pasują do oryginału.
- Przy większych kwotach najpierw wyślij małą transakcję testową i potwierdź, że dotarła.
- Używaj kodów QR, gdy to możliwe — trudniej je podmienić niż tekst ze schowka.
Błąd 7: wysłanie w złej sieci
Przy wysyłaniu USDT albo innych tokenów istniejących na wielu blockchainach sieć ma znaczenie. Wysłanie TRC20 USDT na adres ERC20 — albo BEP20 na adres TRC20 — może skończyć się trwałą stratą albo w najlepszym razie trudnym odzyskiwaniem.
Co zrobić zamiast tego: zawsze sprawdź, którą sieć obsługuje odbiorca. Sprawdź portfel odbiorczy albo ekran depozytu giełdy. Najpierw wyślij kwotę testową. Zobacz poradnik USDT networks explained.
Błąd 8: trzymanie wszystkiego na giełdzie
Wielu początkujących traktuje konto giełdowe — Kraken, Coinbase, Bitget — jak swój portfel. To nie jest portfel. Giełda trzyma private keys, nie ty. Jeśli giełda zamrozi wypłaty, zostanie zhakowana albo stanie się niewypłacalna, tracisz dostęp do środków.
Kilka dużych giełd miało w ostatnich latach poważne problemy. Znane powiedzenie społeczności krypto pasuje tutaj: “Not your keys, not your coins.”
Co zrobić zamiast tego: używaj giełd do kupna krypto, a potem przenieś środki do self-custody wallet do przechowywania. Zobacz nasze porównanie portfeli i poradnik po hardware wallets.
Błąd 9: zatwierdzanie nieznanych smart contracts
Gdy używasz DeFi apps, platform NFT albo Web3 tools, proszą one o “approve” transakcji. Niektóre approvals dają smart contract pozwolenie na przesuwanie tokenów z twojego portfela — czasem bez limitu, dopóki nie cofniesz uprawnienia.
Złośliwe projekty tworzą strony wyglądające jak legalne DeFi platforms. Podłączasz portfel, zatwierdzasz transakcję, a contract opróżnia portfel.
Co zrobić zamiast tego:
- Podłączaj portfele tylko do platform, które sprawdziłeś i którym ufasz.
- Używaj osobnego “hot wallet” z małą kwotą do interakcji DeFi — nigdy nie podłączaj głównego portfela do przechowywania do DeFi apps.
- Regularnie sprawdzaj i cofaj token approvals narzędziami takimi jak Revoke.cash.
- Przeczytaj, co transakcja faktycznie zatwierdza, zanim ją potwierdzisz.
Błąd 10: kupno hardware wallet z nieoficjalnego źródła
Hardware wallets sprzedawane na Amazon, eBay albo przez zewnętrznych resellerów były w udokumentowanych przypadkach modyfikowane. Wstępnie skonfigurowane urządzenie może przyjść z seed phrase ustawioną przez sprzedawcę — sprzedawca czeka, aż wpłacisz środki, a potem opróżnia portfel przy użyciu seed phrase, którą ci dał albo ukrył na urządzeniu.
Inna odmiana: urządzenie jest oryginalne, ale zawiera “wypełnioną” kartę startową z seed phrase i instrukcją, aby jej użyć. Ta seed phrase należy do sprzedawcy.
Co zrobić zamiast tego: kupuj hardware wallets wyłącznie bezpośrednio z oficjalnej strony producenta. Ledger z ledger.com. Trezor z trezor.io. Cena jest taka sama albo bardzo podobna — ryzyko nie.
Błąd 11: udostępnienie seed phrase komukolwiek z dowolnego powodu
Są różne wersje tej sytuacji:
- “Ekspert crypto” w social media oferuje pomoc w odzyskaniu portfela, ustawieniu DeFi albo “poprawie zwrotów” — i prosi o seed phrase.
- Fałszywy agent supportu kontaktuje się po tym, jak publicznie opiszesz problem z portfelem.
- Zaufany znajomy albo członek rodziny zostaje poproszony i udostępnia seed phrase, nie rozumiejąc ryzyka.
Nie istnieje legalny powód, dla którego ktokolwiek miałby potrzebować twojej seed phrase. Prawdziwy support, prawdziwy deweloper portfela i prawdziwy przedstawiciel giełdy nigdy o nią nie poproszą — nigdy.
Checklist bezpieczeństwa dla początkujących
Najczęstsze pytania
Jak początkujący najczęściej tracą krypto?
Najczęstszą przyczyną jest brak backupu seed phrase, a potem utrata dostępu do urządzenia. Drugą bardzo częstą przyczyną jest phishing — ktoś zostaje nakłoniony do wpisania seed phrase na fałszywej stronie portfela albo odpowiada fałszywemu supportowi. Obu sytuacjom można zapobiec podstawowymi środkami ostrożności.
Co zrobić, jeśli wpisałem seed phrase na fałszywej stronie?
Działaj natychmiast. Otwórz portfel w legalnej aplikacji albo na urządzeniu i przenieś wszystkie środki na zupełnie nowy adres portfela — wygenerowany z nową seed phrase, która nigdy nie była ujawniona. Nie zwlekaj. Jeśli atakujący dostał seed phrase, może opróżnić portfel w dowolnym momencie. Szybkość ma znaczenie.
Czy bezpiecznie używać tego samego portfela do DeFi i przechowywania oszczędności?
Nie jest to zalecane. Interakcje DeFi wymagają zatwierdzania smart contracts, co niesie ryzyko. Podatny albo złośliwy contract może opróżnić portfel. Częsty model to osobny “interaction wallet” z małą kwotą do DeFi i oddzielny portfel — najlepiej hardware wallet — do dłuższego przechowywania, którego nie podłączasz do dApps.
Wysłałem krypto na zły adres. Czy mogę je odzyskać?
W prawie wszystkich przypadkach: nie. Blockchain transactions są nieodwracalne. Po potwierdzeniu transakcji nie można jej anulować, zakwestionować ani cofnąć. Jeśli wysłałeś na adres giełdy, skontaktuj się z jej supportem — w niektórych sytuacjach mogą pomóc, ale nie ma gwarancji. Najpewniejsza metoda to zapobieganie: zawsze sprawdzaj pierwsze i ostatnie cztery znaki adresu.
Jak rozpoznać, czy aplikacja portfela jest prawdziwa czy fałszywa?
Sprawdź nazwę dewelopera w App Store albo Google Play. Oficjalne portfele publikują poprawną nazwę dewelopera na swojej stronie — na przykład MetaMask jest publikowany przez “Consensys”, a Trust Wallet przez “DApps Platform”. Uważnie czytaj URL w przeglądarce przed pobraniem czegokolwiek. Małe literówki w domenie, np. “rnetamask.io”, są red flag. Zobacz poradnik jak unikać fałszywych aplikacji portfeli.