Prema TRM Labs izvještaju za prvu polovinu 2025. godine, više od 80% od 2,1 milijarde USD ukradenih u kripto napadima otišlo je kroz kompromitovanje seed fraza i privatnih ključeva. Phishing napadi su te iste godine odnijeli dodatnih 410 milijuna USD samo u prvoj polovini godine, a prosječan napad je bio deset puta veći nego godinu ranije. Svaka od tih krađa počela je istim korakom: neko je saznao tuđu seed frazu. Ovaj vodič objašnjava šta je seed fraza, kako funkcioniše, kako je sigurno pohraniti i zašto se nikad i ni pod kojim okolnostima ne dijeli ni s kim.
Šta je seed fraza i kako funkcioniše
Seed fraza (poznata i kao fraza za oporavak ili recovery phrase) je niz od 12 ili 24 nasumično generisane engleske riječi koji nastaje pri prvom postavljanju kripto novčanika. Ona nije lozinka u uobičajenom smislu – ona je matematički ključ koji može regenerisati cijeli novčanik, sve adrese i sve privatne ključeve, na bilo kom uređaju na svijetu.
Analogija koja to dobro opisuje: seed fraza je kao kombinacija za trezor. Ne trezor, ne novac unutra – nego kombinacija. Ko god ima kombinaciju, može otvoriti trezor s bilo kojeg mjesta bez obzira na to gdje se fizički nalaze i ko je originalni vlasnik. Upravo zbog toga je čuvanje seed fraze jednako važno kao i čuvanje samog kripta. Više o tome šta su kripto novčanici i kako rade ključevi možeš naći u vodiču o kripto novčanicima.
BIP-39 – standard koji stoji iza seed fraze
BIP-39 (Bitcoin Improvement Proposal 39) je otvoreni standard koji definira kako se seed fraze generišu u kripto novčanicima. Standard koristi listu od tačno 2048 engleskih riječi. Svaka seed fraza se sastoji od 12, 18 ili 24 riječi nasumično odabranih iz te liste.
Broj mogućih kombinacija za 12-riječnu seed frazu je 2048 na dvanaestoj potenciji. Za 24-riječnu: 2048 na dvadesetčetvrtoj, što je oko 2,96 puta 10 na sedamdeset devetoj. Da bi se to lakše predočilo: vjerovatnoća da neko pogodi tvoju seed frazu nasilnim probijanjem manja je od vjerovatnoće da bacaš novčić i dobiješ glavu 256 puta zaredom. Ni najmoćnija superračunala ne mogu probiti seed frazu nasilnom metodom u razumnom vremenu.
Problem nikad nije bila matematička sigurnost seed fraze. Problem je uvijek bila ljudska greška u pohrani ili dijeljenju.
Razlika između seed fraze, privatnog ključa i lozinke
Ova tri pojma zbunjuju gotovo sve početnike jer se uvijek zajedno pojavljuju. Evo jasne razlike:
| Pojam | Šta štiti | Ako se izgubi | Dijeli se |
|---|---|---|---|
| Lozinka | Pristup aplikaciji na jednom uređaju | Možeš je resetovati seed frazom | Nikad |
| Privatni ključ | Jednu kripto adresu | Gubiš pristup toj adresi | Nikad |
| Seed fraza | Cijeli novčanik i sve adrese | Gubiš pristup svemu zauvijek | Nikad ni s kim |
Privatni ključ matematički dokazuje da si vlasnik jedne kripto adrese i daje pravo slanja sredstava s te adrese. Seed fraza je master ključ koji može regenerisati sve privatne ključeve u novčaniku. Lozinka je samo lokalna zaštita aplikacije i može se resetovati – ali samo ako imaš seed frazu. Više o tome kako blockchain bilježi vlasništvo i šta su adrese možeš naći u objašnjenju šta je blockchain.
Gdje se seed fraza ne smije čuvati
U augustu 2025. jedan kripto korisnik izgubio je 783 BTC-a (vrijednih oko 91 milijun USD) nakon što su ga prevaranti manipulacijom naveli da otkrije pristup svom novčaniku. Ranije te iste godine, drugi korisnik je izgubio više od 330 milijuna USD u BTC-u kroz višemjesečnu operaciju socijalnog inženjeringa. U oba slučaja problem nije bila tehnička ranjivost – problem je bila seed fraza.
Digitalni oblici pohrane koji su opasni
Svaki digitalni oblik pohrane seed fraze znači da ona postoji negdje na internetu ili na uređaju koji je na internetu – i može biti kompromitovana:
- Fotografija mobitelom – fotografije se automatski sinhronizuju u Google Photos ili iCloud koji su podložni phishingu i hakovanju
- Google Drive ili iCloud – cloud servisi su pristupačni s bilo kojeg uređaja, a pristup email nalogu koji je vezan za cloud je pristup i seed frazi
- Email sebi – email serveri nisu kriptovani na način koji bi zaštitio sadržaj od napadača koji dobije pristup nalogu
- Bilješke na telefonu – aplikacije za bilješke redovito se backupuju u cloud bez eksplicitne napomene korisniku
- Screenshot ekrana – funkcionalno isto kao fotografija, sinhronizuje se automatski
- Tekstualni fajl na računaru – malware može skenirati fajlove u potrazi za uzorcima koji izgledaju kao seed fraza
Zašto ti ni kripto podrška nikad ne smije tražiti seed frazu
Ovo je jedna od najvažnijih informacija u ovom vodiču. Ni MetaMask, ni Ledger, ni Trezor, ni Binance, ni ikoja druga legitimna platforma ili podrška ikad ne traže seed frazu. Bez iznimke.
Jedini trenutak u kome unosiš seed frazu je pri uvozu novčanika u legitimnu aplikaciju na svom uređaju – npr. kad instaliraš MetaMask na novom računaru i odabereš “Import an existing wallet”. Ni u jednoj drugoj situaciji unos seed fraze nije potreban.
Svaka poruka, email, web stranica, poziv ili DM koji traži seed frazu za “verifikaciju”, “ažuriranje sigurnosti”, “povrat pristupa” ili bilo šta drugo – prevara je. Detalje o sigurnom korišćenju MetaMask novčanika možeš naći u MetaMask vodiču.
Kako pravilno pohraniti seed frazu
Seed frazu pohranjivaš fizički, van interneta.
Evo metoda od najlakše do najsigurnije, s prednostima i manama svake.
Papir – brza i dostupna metoda
Zapiši seed frazu rukom na papir još dok je prikazana na ekranu pri prvom postavljanju novčanika. Koristi hemijsku olovku ili tintaricu koja ne bledi. Napiši svaku od 12 ili 24 riječi u ispravnom redoslijedu s rednim brojem ispred – pogrešan redoslijed čini frazu beskorisnom.
Pohrani papir na suhom, tamnom, fizički sigurnom mjestu van računara i telefona. Napravi dvije kopije i pohrani ih na dvije različite lokacije – požar, poplava ili krađa na jednoj lokaciji ne smije biti razlog gubitka svega.
Mane papira: gori, mokri se i bledi tokom godina. Za kratkoročno čuvanje i manje iznose papir je dovoljan. Za dugoročno i veće iznose – metalna ploča.
Metalna ploča – zaštita od vatre i vode
Čelične kartice i metalne ploče za seed frazu su fizički predmeti od nerđajućeg čelika na koje se seed fraza ugravira ili utiska slovnim žigovima. Otporne su na vatru do 1400°C i potpunu vodenu imerziju – ni požar ni poplava ne mogu uništiti sadržaj.
Poznati brendovi su CryptoSteel, Cryptotag i Bilodeau. Cijena je od 30 do 100 EUR zavisno od modela. Bitna napomena: kad kupuješ metalnu ploču, nabaviš je bez upisane fraze i sam je graviraj – ne koristiš usluge graviranja treće strane jer bi to zahtijevalo dijeljenje seed fraze. Metalna ploča je dugoročno najsigurnija fizička opcija.
Passphrase – 25. riječ koju sam biraš
Passphrase je napredna sigurnosna opcija koja gotovo ne postoji opisana na bosanskom jeziku. To je dodatna riječ ili fraza koju sam dodaješ uz standardnih 12 ili 24 BIP-39 riječi. Nije dio BIP-39 liste – može biti bilo koja kombinacija slova, brojeva i znakova.
Kako funkcioniše: isti seed fraza + različita passphrase = potpuno različit novčanik s potpuno različitim adresama. Ako napadač pronađe tvoju seed frazu ali ne zna passphrase, ne može pristupiti novčaniku jer dobiva drugu praznu adresu, ne tvoju. To seed frazu čini beskorisnom bez passphrase.
Mana: passphrase mora biti pohranjena ili zapamćena odvojeno od seed fraze. Ako zaboraviš passphrase, ni ti ne možeš pristupiti novčaniku. Nikad je ne pohranjuj na istom fizičkom papiru ili ploči kao seed frazu – pohranjuješ je odvojeno ili memorišeš.
Passphrase podržavaju Trezor Safe serija, Ledger svi modeli i većina hardware novčanika. Dostupna je i u MetaMasku i sličnim softverskim novčanicima.
Shamir Backup – podjela seed fraze na više dijelova
Shamir Backup je napredni sistem pohrane seed fraze koji se bazira na Shamirovom matematičkom protokolu dijeljenja tajne. Ne postoji objašnjen na bosanskom jeziku. Sistem funkcioniše ovako: umjesto jedne seed fraze, generišeš npr. 5 dijelova (shareova) od kojih su potrebna bilo koja 3 za oporavak novčanika. Ni jedan od dijelova sam za sebe nije dovoljan.
Praktična upotreba: jedan dio pohranjen kod tebe, jedan kod partnera ili supružnika, jedan kod roditelja ili pouzdanog prijatelja, jedan u sefu na drugoj lokaciji, peti kao rezerva. Poplava ili požar koji uništi jednu lokaciju ne uništava pristup novčaniku. Niko od pouzdanih osoba ne zna seed frazu jer ima samo dio koji je bezvrijedan bez ostalih.
Shamir Backup dostupan je na Trezor Safe 3, Safe 5 i Safe 7 modelima. Ledger ekvivalent je Ledger Recover koji ima drugu arhitekturu i kontroverzniju historiju – više o razlici između ova dva pristupa dostupno je u usporedbi Ledgera i Trezora.
Prijetnje seed frazi u 2025 – kako napadači dolaze do nje
Prema CertiK podacima za H1 2025, kompromitovanje privatnih ključeva i seed fraza bila je najskuplja kategorija napada s 1,71 milijardom USD ukradenih u 34 incidenta. Prosječna krađa u toj kategoriji bila je deset puta veća od prosječne phishing krađe. Evo kako se to dešava.
Phishing – lažni sajtovi koji traže seed frazu
Lažni MetaMask, lažni Ledger Live, lažni Trezor Suite – sajtovi identičnog izgleda koji traže unos seed fraze za “verifikaciju”, “ažuriranje” ili “oporavak”. U 2025. ovakvi napadi su postali visoko ciljani: umjesto masovnih spam emailova, napadači koriste AI koji analizira korisnikove javne aktivnosti na blockchain-u i kreira personalizovanu poruku prilagođenu konkretnom korisniku i konkretnim transakcijama koje je napravio.
Zaštita: jedina prava adresa za MetaMask je metamask.io. Jedina za Ledger je ledger.com. Jedina za Trezor je trezor.io. Bookmarkuješ ih i uvijek koristiš bookmark, nikad Google pretragu i nikad klik na oglas. Provjeri URL u adresnoj traci – lažni sajtovi koriste adrese s jednim dodatnim slovom ili crticom u domeni.
Clipboard malware – zamjena sadržaja pri kopiranju
Clipboard malware sjedi u pozadini računara i prati sadržaj međuspremnika. Ako iz nekog razloga kopiraš seed frazu (što ne treba raditi), malware je može presresti i pohraniti. Neke napredne varijante zamjenjuju kopiranu kripto adresu s napadačevom adresom u trenutku lijepljenja.
Zaštita: seed frazu uvijek unosiš ručno pri uvozu novčanika, nikad copy-paste. Koristiš antivirusni softver i redovito ažuriraj operativni sistem i preglednik.
Socijalni inženjering – manipulacija kroz povjerenje
U 2025. dokumentovani su slučajevi u kojima su napadači kroz višemjesečnu manipulaciju simulirali biti legitimna kripto podrška ili čak bliski kontakti žrtve i na kraju dobili pristup seed frazi. Jedan korisnik je izgubio više od 330 milijuna USD u BTC-u na ovaj način. AI deepfake glasovni pozivi koji simuliraju glas poznatih osoba ili korisnikovih kontakata postali su dostupni alat napadačima.
Zaštita: svaki neočekivani kontakt koji se tiče kripto sigurnosti tretiraš kao potencijalnu prevaru dok ne dokažeš suprotno. Verifikuješ identitet osobe putem kanala koji nije isti kanal kojim te kontaktira. Više o svim vrstama kripto prevara i kako ih prepoznati možeš naći u vodiču o greškama početnika u kriptu.
Nasljedstvo kripto imovine – šta se dešava kad nema seed fraze
Procjenjuje se da je između 3 i 4 milijuna Bitcoina zauvijek izgubljeno jer su vlasnici umrli a da nikome nisu ostavili seed frazu ili upute za pristup novčaniku. Ovo je tema o kojoj gotovo niko ne govori u kripto zajednici a postaje sve relevantnija kako kripto imovina raste u vrijednosti.
Kako osigurati da nasljednici mogu pristupiti kriptu
Direktno ostavljanje seed fraze u testamentu nije dobra opcija jer testament postaje javni dokument po legalizaciji – svako ko ima pristup testamentu ima i pristup novčaniku.
Opcije koje funkcionišu:
- Pisano uputstvo u zatvorenoj koverti kod notara ili advokata – koverta sadrži upute gdje je seed fraza pohranjena, ne seed frazu samu. Nasljednici dobivaju upute, a seed fraza ostaje fizički zaštićena na lokaciji koju si odredio
- Shamir Backup s nasljednikom – nasljedniku daš jedan od dijelova Shamir Backupa. Bez tvog dijela i ostalih dijelova, taj dio je bezvrijedan za nasljednika dok si živ
- Hardware novčanik s pisanim uputama – fizički uređaj pohranjen na poznatoj lokaciji s pisanim uputama za nasljednike o tome gdje je seed fraza i kako pristupiti novčaniku
Za korisnike koji kupuju kripto u BiH i razmišljaju o dugoročnom planiranju, detalji o sigurnoj kupovini i pohrani dostupni su u vodiču za kupovinu kriptovaluta u BiH.
Šta raditi ako posumnjate da je seed fraza kompromitovana
Ako imaš razloga vjerovati da je tvoja seed fraza kompromitovana – unio si je na lažnom sajtu, fotografisao je, ili je neko vidio papirnu kopiju – ne čekaš ni minutu.
Akcija u slučaju kompromitovane seed fraze:
- Odmah kreiraš novi novčanik s novom seed frazom na čistom uređaju
- Nova seed fraza se generiše svježe – ne koristiš staru ni djelimično
- Premještaš sva sredstva s kompromitovanog novčanika na novi novčanik
- Brzina je ključna – ako napadač ima seed frazu a sredstva još nisu premještena, vi ste u utrci
- Stari novčanik više ne koristiš ni za šta
Ako su sredstva već nestala – nema tehničkog načina da ih vratiš. Kripto transakcije su nepovratne. Prijaviš prevaru policiji i platformi ali nemoj plaćati nikome ko tvrdi da može “povratiti” ukradeni kripto – to je recovery scam koji samo uzima dodatni novac. Više o prevarama koje treba poznavati dostupno je u vodiču o kripto prevarama koji pokriva sve vrste uključujući recovery scam. Detalje o sigurnom korišćenju Binancea kao najčešće korišćene platforme dostupni su u Binance vodiču.
Najčešća pitanja o seed frazi
Šta je seed fraza u kriptu?
Seed fraza (fraza za oporavak) je niz od 12 ili 24 nasumično generisane engleske riječi koji nastaje pri prvom postavljanju kripto novčanika. Ona je master ključ koji može regenerisati cijeli novčanik i sve privatne ključeve na bilo kom uređaju. Ko ima seed frazu, ima pristup svim kriptovalutama u tom novčaniku s bilo kojeg mjesta na svijetu.
Koliko je seed fraza sigurna?
Matematički je izuzetno sigurna. Broj mogućih kombinacija za 12-riječnu seed frazu je 2048 na dvanaestoj potenciji. Ni najmoćnija superračunala ne mogu probiti seed frazu nasilnim pogađanjem u razumnom vremenu. Problem nije matematička sigurnost – problem je uvijek bila pogrešna pohrana ili dijeljenje seed fraze od strane vlasnika.
Može li se seed fraza pogoditi?
Praktično ne. Vjerovatnoća pogađanja 12-riječne seed fraze manja je od vjerovatnoće da bacaš novčić i dobiješ glavu 256 puta zaredom. Za 24-riječnu frazu ta je vjerovatnoća astronomski manja. Napadači ne pokušavaju pogađati seed fraze matematički – pokušavaju ih ukrasti kroz phishing, malware ili socijalni inženjering.
Šta je razlika između seed fraze i privatnog ključa?
Privatni ključ matematički dokazuje vlasništvo nad jednom kripto adresom i daje pravo slanja sredstava s te adrese. Seed fraza je master ključ koji može generisati sve privatne ključeve u novčaniku. Jedan novčanik može imati stotine adresa s posebnim privatnim ključevima – seed fraza regeneriše sve njih.
Šta je passphrase (25. riječ)?
Passphrase je dodatna riječ ili fraza koju sam biraš i dodaješ uz standardnih 12 ili 24 BIP-39 riječi. Isti seed fraza uz različitu passphrase daje potpuno različit novčanik s različitim adresama. Ako napadač pronađe seed frazu ali ne zna passphrase, pristupa praznom novčaniku. Passphrase mora biti pohranjena odvojeno od seed fraze ili zapamćena.
Šta uraditi ako izgubim seed frazu?
Ako si izgubio seed frazu ali još imaš pristup uređaju s instaliranim novčanikom – odmah premjesti sva sredstva na novi novčanik s novom seed frazom. Ako si izgubio i uređaj i seed frazu – pristup novčaniku je nepovratno izgubljen. Ni MetaMask, ni Ledger, ni Trezor ne mogu pomoći jer oni nikad nisu imali tvoju seed frazu.
Može li se seed fraza pohraniti u oblaku?
Ne. Pohrana seed fraze u Google Driveu, iCloudu, Dropboxu, emailu ili bilo kom cloud servisu znači da postoji digitalni zapis koji može biti kompromitovan ako neko dobije pristup tom nalogu. Seed frazu pohranjivaš isključivo fizički – na papiru ili metalnoj ploči, van interneta, na sigurnom fizičkom mjestu.
Šta je Shamir Backup?
Shamir Backup je sistem koji dijeli seed frazu na više dijelova od kojih je potreban samo dio za oporavak. Primjer: 5 dijelova od kojih su potrebna 3. Svaki dio pohranjen na drugoj lokaciji ili kod drugog pouzdanog člana porodice. Ni jedan dio sam za sebe nije dovoljan za pristup novčaniku. Dostupan je na Trezor Safe seriji (Safe 3, Safe 5, Safe 7).
Šta raditi ako sam upisao seed frazu na sumnjivoj stranici?
Odmah kreirati novi novčanik s novom seed frazom i premjestiti sva sredstva na novu adresu. Brzina je ključna. Ne čekaš da vidiš hoće li se nešto desiti jer napadači imaju automatizovane sisteme koji provjeravaju seed fraze i povlače sredstva čim ih zabilježe. Stari novčanik smatraš kompromitovanim i više ga ne koristiš.
Seed fraza je najvažnija stvar u kripto sigurnosti. Sve ostalo – lozinka, 2FA, hardware novčanik – su dodatni slojevi zaštite. Ali ni jedan od njih ne može zaštititi kripto ako seed fraza dospije u pogrešne ruke. Zapiši je pri prvom postavljanju, pohrani fizički na sigurnom i tajnom mjestu, i nikad je ne dijeli ni s kim ni pod kojim okolnostima.
