Hacky krypto sázkovek 2024–2026: na co si dát pozor a jak chránit svůj účet

Hardwarová peněženka Ledger položená vedle notebooku se zámkem na obrazovce

Dvě fronty obrany — peněženka versus platforma

Sázkař, který chrání pouze svoji peněženku a ne svoji platformu, je polonechráněný. Sázkař, který spoléhá na bezpečnost platformy a zanedbá svou peněženku, je polonechráněný také. Krypto sázkovky jsou high-value cíl — sumy v hot peněženka operátorů jsou v desítkách až stovkách milionů USD, hackerské skupiny mají na ně připravené resources a sofistikované scénáře. V roce 2025 se do nelegálních krypto adres dostalo přibližně 154 miliard USD, o 162 procent více než rok předtím — kus z toho přes hacky platforem, kus přes social engineering jednotlivců. Stake.com čelila multi-milionovému hacku v září 2023, kdy útočník odčerpal přibližně 41 milionů USD z hot peněženka na Ethereu, Polygonu a BNB Chainu. Tahle událost není anomálie, je to vzor, který se opakuje.

V téhle stati rozebírám konkrétní typy útoků, příklady významných incidentů 2024–2026, vrstvy osobní obrany, signature phishing a co dělat, pokud jste se stali obětí.

Typy útoků na ETH sázkovky

Pět hlavních kategorií. První je hot peněženka drain — útočník získá přístup k privátnímu klíči peněženky operátora a převede ETH na svoji adresu. Toto je nejpřímější útok a nejvyšší dopad. Vektor přístupu obvykle není kryptografický (Ethereum klíče nejsou crackovatelné), je to procesní — kompromitovaná zaměstnanecká stanice, phishing na vývojáře, insider threat, slabě chráněný cloud storage s privátními klíči.

Druhá je smart contract exploit. Pokud sázkovka používá vlastní smart kontrakt pro escrow, vyplaty, prediktivní trhy, může být v kódu chyba (re-entrancy, integer overflow, oracle manipulation), kterou útočník využije pro neoprávněný odchod prostředků. Toto je technicky sofistikovanější útok, vyžaduje audit-quality reverse engineering.

Třetí je DNS hijack a domain spoofing. Útočník přesměruje doménu platformy na vlastní kopii, do které se přihlásí podvedené uživatelé a předají credentials. Toto napadá uživatele, ne platformu samotnou, ale dopad je stejný — uživatel přijde o ETH.

Čtvrtá je social engineering. Útočník kontaktuje uživatele (e-mail, Discord, Telegram) s tím, že je „Stake support“ a žádá ho o seed phrase, password, 2FA code. Bohužel počet úspěšných obětí tohoto útoku je zdaleka nejvyšší napříč všemi typy.

Pátá je signature phishing. Útočník navnadí uživatele, aby podepsal smart kontraktní transakci, která vypadá benigne (například „claim airdrop“), ale ve skutečnosti přesouvá ETH na adresu útočníka. Tento útok je v 2025 a 2026 v dramatickém vzrůstu.

Příklady incidentů 2024–2026

Konkrétní případy, ze kterých se dá učit.

Stake.com hack, září 2023, 41 milionů USD odčerpáno z hot peněženka na třech chains. Útok byl atribuován severokorejské Lazarus Group. Platforma Stake.com své zákazníky chránila — všechny ztráty pokryla z vlastního treasury, hráči nepřišli o ETH. To je standard, který velké platformy drží, ale ne všechny menší si mohou dovolit.

Curve Finance hack, červenec 2023, sice ne přímo sázková platforma, ale ekosystémově relevantní — exploitace re-entrancy chyby v Vyper kompilátoru vedla k ztrátě 70 milionů USD. Lekce: i auditovaný smart kontrakt může mít nepředvídanou chybu, pokud podléhající nástroje selžou.

FixedFloat hack, únor 2024 — instant exchange protokol používaný některými sázkaři pro KYC-less konverzi mezi tokeny. Útočník odčerpal 26 milionů USD v BTC a ETH. Platforma sice nesouvisí s gamblingem přímo, ale demonstruje princip — pomocné nástroje krypto sázkového flow mohou být napadené nezávisle na sázkovce samotné.

Munchables hack, březen 2024 — gaming projekt na Blast chain, kde insider vývojář s admin přístupem odčerpal 62 milionů USD. Po veřejném tlaku peníze vrátil. Lekce: i „neutrální“ gaming projekt může mít insider risk, který klasický audit nezachytí.

Pro úplnost: většina krypto sázkovek v 2024–2026 neměla masivní hack incident. Stake.com, Cloudbet, BC.Game, Thunderpick nehlásily žádný úspěšný útok na úrovni více než 10 milionů USD od 2023. Sektor se naučil hořkou lekci a investice do bezpečnosti rostou.

Osobní bezpečnostní vrstvy účtu

Co můžete dělat vy jako uživatel, abyste minimalizovali vlastní expozici. Pět vrstev, každá zvedá obtížnost útoku.

První vrstva — silné, unikátní heslo. Žádné variace „Heslo123!“ nebo „MeSpravimSazu2026“. Použijte password manager (Bitwarden, 1Password, KeePassXC) a vygenerujte 20+ znaků náhodné heslo pro každou sázkovku. Pokud máte 5 sázkových účtů, máte 5 unikátních hesel.

Druhá vrstva — 2FA, ideálně FIDO2 hardware key (YubiKey, Solokey) místo SMS. SMS 2FA je zranitelná na SIM swap attack — útočník přesvědčí operátora, že přenechá vaše číslo na svoji kartu, a 2FA kódy chodí na něj. Hardware key tento útok eliminuje. Pokud hardware key nejde, alespoň TOTP authenticator (Google Authenticator, Authy), ne SMS.

Třetí vrstva — pro velké zůstatky používejte hardwarová peněženka (Ledger, Trezor, GridPlus). ETH na sázkovce zůstává pod kontrolou sázkovky, ale ETH, které vybráváte, posílejte přímo do hardwarová peněženka, nikoli do online hot peněženka typu MetaMask. Pro detailní vhled do hardware peněženek viz mou stať o Ledger hardware peněžence pro ethereum sázení.

Čtvrtá vrstva — separated browser profil pouze pro sázení. Žádné rozšíření (kromě password manageru), žádné jiné stránky, žádný download. Toto eliminuje cross-site scripting a malicious extension vektory.

Pátá vrstva — pravidelný audit vlastního bezpečnostního setupu. Kontrolujte session logs sázkovky (kdy a odkud jste se přihlásili), kontrolujte trusted devices, periodicky resetujte API keys. Méně než 1 procento všech krypto transakcí je klasifikováno jako nelegální, ale i to malé procento znamená miliardy USD a vy nechcete být ve statistice obětí.

Signature phishing — jak rozeznat

Signature phishing je v 2025–2026 nejrychleji rostoucí typ útoku. Princip: útočník vás přemluví, abyste podepsali smart kontraktní transakci, která vypadá nevinně, ale ve skutečnosti přesouvá ETH nebo NFT na adresu útočníka.

Konkrétní scénář: dostanete e-mail nebo Discord zprávu o údajném airdropu — „připojte peněženku a podepište, abyste získali 500 USDC zdarma“. Když podepíšete, transakce nepřevezme 500 USDC z útočníkovy peněženky, naopak — uděluje útočníkovi neomezený approval na váš USDC, který útočník během sekund odčerpá.

Jak se chránit: nikdy nepodepisujte transakci, jejímuž obsahu nerozumíte. MetaMask a další peněženka rozšíření zobrazují, co konkrétně transakce dělá. Pokud vidíte „setApprovalForAll“ nebo „unlimited approval“, to je červená vlajka. Pokud nerozumíte tomu, co podepisujete, nepodepisujte.

Druhý ochranný krok — pro DeFi a NFT use cases používejte separátní peněženku s malým zůstatkem. Vaše „sázková peněženka“ a vaše „NFT peněženka“ by neměly být tatáž. Pokud signature phishing zachytí vaši NFT peněženku, váš sázkový bankroll zůstane v bezpečí.

Co dělat, pokud jste se stali obětí

Pokud zjistíte, že váš účet byl kompromitován, jednejte rychle. Změňte heslo, odhlaste všechny aktivní sessions, kontaktujte support sázkovky. Pokud máte ETH ukradené z peněženky, ne ze sázkovky, je situace složitější — ETH transakce jsou nezvratné, žádný regulátor je nevrátí.

Reportujte incident — FAÚ (Finanční analytický úřad v ČR), Chainalysis Reactor (pokud máte přístup), Crystal Intelligence. Tyto subjekty sledují ukradené ETH a v některých případech (pokud útočník udělá chybu při praní) mohou pomoci ETH recover. Realita je ovšem tvrdá — méně než 5 procent ukradených krypto prostředků se v praxi vrací k oběti.

Lze ETH ukradené ze sázkovky vystopovat na Etherscan a získat nazpět přes právní cestu?

Etherscan vám umožní transakci sledovat — vidíte, kam ETH putuje. Problém začíná u praktického vymáhání. Útočník typicky ETH okamžitě posílá do mixeru nebo přes chain bridge na jiný blockchain, kde stopa zaniká. Právní cesta funguje pouze pokud se útočník identifikuje (například výběr na KYC-verifikovanou burzu) a jurisdikce spolupracuje. V praxi se vrátí méně než 5 procent ukradených prostředků.

Pokrývá nějaké pojištění (např. Coincover) ztráty z hacku ETH sázkovky pro CZ hráče?

Coincover a podobné krypto pojišťovny pokrývají specifické scénáře (ztráta seed phrase, hardwarová peněženka failure), ale typicky nepokrývají třetí stranu — pokud sázkovka ztratí váš ETH, vaše pojistka Coincover nepomáhá. Velké platformy (Stake, BC.Game, Cloudbet) mají vlastní treasury rezervu pro pokrytí uživatelských ztrát z platform-side incidentu, ale tato rezerva není formální pojištění, je to obchodní záruka, která může a nemusí být dodržena.

Vytvořeno redakcí „Ethereum Sazeni“.