Co to jest NFT (Non-Fungible Token)?

TL;DR — co warto wiedzieć o NFT w 2026

NFT (Non-Fungible Token) to unikalny token na blockchainie, najczęściej oparty o standardy ERC-721 lub ERC-1155 na Ethereum (oraz Metaplex na Solanie). W przeciwieństwie do kryptowalut typu Bitcoin czy ETH — które są wymienialne (fungible), 1:1 — każdy NFT ma odrębny tokenId i metadane, co czyni go niezamiennym z innym egzemplarzem. Kluczowy snapshot:

• Co to jest: cyfrowy certyfikat własności wpisany w smart kontrakt — nie sam plik JPG, lecz zapis “kto kontroluje token X w kontrakcie Y”, powiązany z metadanymi (często na IPFS/Arweave).
• Jak działa: właściciel = ten, kto kontroluje klucz prywatny portfela (MetaMask, Phantom, Ledger); transfer, mint i sprzedaż wykonują smart kontrakty, każda akcja kosztuje gas.
• Czy bezpieczne: technologia jest neutralna, ale ekosystem 2024-2026 to rug pulle, wallet drainery (Inferno, Pink), phishing przez lookalike domains, sleepminting i wash trading. Wallet drainery same skradły >494 mln USD od ok. 332 tys. ofiar w 2024 (raport Scam Sniffer). Bezpieczeństwo NFT = higiena portfela, nie sama technologia.

NFT vs FT vs SBT — porównanie

Cecha	NFT (Non-Fungible Token)	FT (Fungible Token)	SBT (Soulbound Token)
Wymienialność	Niewymienialny (1 ≠ 1)	Wymienialny 1:1	Niewymienialny i nieprzenośny
Standard	ERC-721, ERC-1155, Metaplex	ERC-20 (Ethereum), SPL (Solana)	ERC-5114, EIP-4973 (draft)
Główne zastosowanie	Sztuka cyfrowa, gaming, ticketing, RWA	Kryptowaluty, stablecoiny, governance	Identity, dyplomy, członkostwa, reputation
Czy można sprzedać	Tak (OpenSea, Blur, Magic Eden)	Tak (Uniswap, Binance, Coinbase)	Nie — z definicji przypisany do portfela
Przykład	CryptoPunks, BAYC, Pudgy Penguins	USDC, USDT, DAI, UNI	POAP, Gitcoin Passport, Ethereum Name Service stamps

W praktyce trzy kategorie reprezentują trzy różne modele własności: NFT to “unikalne aktywo z rynkiem wtórnym”, FT to “wymienialna jednostka wartości lub uprawnienia”, SBT to “niezbywalny dowód czegoś o Tobie” (ukończenia kursu, członkostwa w DAO, weryfikacji KYC). Każda z nich ma odmienny profil ryzyka — NFT i FT można ukraść przez drainer, SBT z definicji nie da się przenieść (więc nie da się też skraść w klasyczny sposób — ale klucz dający dostęp do tożsamości pozostaje wektorem ataku).

Standardy i architektura NFT

ERC-721 — pierwszy standard NFT

ERC-721 (Ethereum Request for Comments 721, finalizowany w 2018) to fundamentalny standard NFT na Ethereum. Każdy token ma unikalny tokenId, interfejs definiuje funkcje ownerOf(tokenId), transferFrom(from, to, tokenId), approve(operator, tokenId), safeTransferFrom. Klasyczne kolekcje (CryptoKitties, CryptoPunks v2, Bored Ape Yacht Club, Pudgy Penguins) są ERC-721.

ERC-1155 — multi-token standard

ERC-1155 (zaproponowany przez Enjin, 2019) pozwala emitować w jednym kontrakcie zarówno NFT, jak i FT — np. unikalny miecz (ERC-721 style, 1 sztuka) oraz tysiąc identycznych mikstur lecznicze (ERC-20 style, batchable). Standard wykorzystują m.in. The Sandbox, Adidas Originals, OpenSea Shared Storefront. Główne zalety: batch transfers (jeden tx zamiast kilkudziesięciu), niższe koszty gas, łatwiejsza obsługa kolekcji semi-fungible.

Metaplex na Solanie

Na Solanie dominuje Metaplex Token Metadata Program — nie pojedynczy “ERC-721 dla Solany”, lecz program (smart contract) opisujący standardy metadanych dla SPL tokenów emitowanych w supply = 1. Solana NFTs są tańsze w obrocie (gas fees ułamki centa vs $5-50 na Ethereum), ale ich ekosystem (Magic Eden, Tensor) jest mniejszy i historycznie miał inne problemy security (m.in. atak na Solana Wallet w sierpniu 2022 — Slope wallet leak, ok. 8 mln USD strat).

Metadata — on-chain vs off-chain

To najczęściej niezrozumiały aspekt NFT. Sam token na blockchainie zawiera tylko ID i wskaźnik (URI) do metadanych — nie sam obraz. Plik JPG/PNG/MP4 najczęściej leży na:

• IPFS (InterPlanetary File System) — rozproszony storage, adres pliku = hash CID; jeśli żaden węzeł nie “pin’uje” pliku, może zniknąć,
• Arweave — “permanent storage” z opłatą jednorazową, projektowany pod długoterminową dostępność,
• Scentralizowany serwer projektu — najgorszy wariant; jeśli zespół zamknie hosting, NFT pokazuje broken image (tzw. “NFT rot” — udokumentowane przypadki znikania metadanych z dużych kolekcji),
• On-chain — pełna grafika zakodowana w samym kontrakcie (np. CryptoPunks v2, Bitcoin Ordinals); droższe w mincie, ale niezniszczalne.

Z punktu widzenia bezpieczeństwa: kupując NFT sprawdź, gdzie leży metadata. Off-chain hosting na serwerze projektu = single point of failure. On-chain lub Arweave = maksymalna trwałość.

Jak działa NFT — od mintu do transferu

Mint

Mint to emisja nowego tokena. Twórca deploy’uje smart kontrakt (najczęściej z OpenZeppelin ERC-721 template), użytkownik wywołuje funkcję mint(), płaci gas + ewentualną cenę mintu (mintPrice), i smart kontrakt zapisuje ownerOf(tokenId) = msg.sender. W EIP-2981 (Royalty Standard) twórca może zdefiniować % opłatę od każdej kolejnej sprzedaży.

Transfer i ownership proof

Każdy transfer to wywołanie transferFrom(from, to, tokenId). Ownership = match msg.sender == ownerOf(tokenId) lub posiadanie approve od ownera. Cała historia widoczna na Etherscan (Ethereum) lub Solscan (Solana) — adres, blok, hash transakcji. To główna zaleta blockchain provenance: niefałszowalna historia własności.

Royalties — kontrowersja 2023-2026

EIP-2981 zdefiniował standard, ale to marketplace decydują, czy go respektują. Blur w 2023 wymusił “0% royalty mode” wbrew twórcom (większy obrót, mniejsze koszty trader’om), co rozpoczęło wojny royalty na rynku. W 2026 OpenSea wrócił do enforced royalties (z opcjonalnym opt-out), Magic Eden ma podobny model. Z punktu widzenia bezpieczeństwa: nie zakładaj, że royalties trafią do twórcy — wiele kolekcji obchodzonych przez “no-royalty” platformy.

Główne use cases NFT w 2026

• Sztuka cyfrowa — Beeple (“Everydays: The First 5000 Days” — 69,3 mln USD w Christie’s, marzec 2021), Pak (“Merge” — 91,8 mln USD, grudzień 2021), Tyler Hobbs (Fidenza), Refik Anadol. Rynek po cooldownie 2022-2023 ustabilizował się na poziomie ~1-2 mld USD volume rocznie (vs szczyt 25 mld w 2021).
• Gaming items — Axie Infinity, Gods Unchained, Illuvium, The Sandbox. Tu Ronin Bridge hack (marzec 2022, 625 mln USD wykradzionych przez Lazarus Group/APT38 Korea Płn.) pokazał systemowe ryzyko cross-chain bridges.
• Identity i credentials (SBT, POAPs) — POAP (Proof of Attendance Protocol) dla uczestnictwa w eventach, Gitcoin Passport jako sybil-resistance, Ethereum Name Service (ENS — name.eth jako Web3 identity).
• Real-world assets (RWA) — tokenization nieruchomości, win, obligacji. Pilotaże m.in. BlackRock BUIDL, Ondo Finance, Centrifuge. W Polsce eksperymenty UKNF (Urząd Komisji Nadzoru Finansowego) w ramach piaskownicy regulacyjnej.
• Ticketing — Ticketmaster pilotuje NFT tickets od 2022 (m.in. Avenged Sevenfold, koncerty NBA), Coachella sprzedawał lifetime pass NFT (Coachella Keys Collection, 2022).
• Brand loyalty — Nike .SWOOSH (Polygon-based), Starbucks Odyssey (zakończony grudzień 2024 — ostrzegawcza historia), Reddit Collectible Avatars (>10 mln użytkowników na pikowo, też zakończony w 2024).

NFT a bezpieczeństwo — kluczowe zagrożenia 2026

To sekcja, dla której powstał ten wpis. nFlo zajmuje się cyberbezpieczeństwem, a krypto/Web3 to dziś jeden z najgorętszych terenów ataków na konsumentów. Krajobraz zagrożeń NFT 2024-2026:

Rug pulle

Twórcy emitują kolekcję, marketingują w Discord/X, zbierają ETH/SOL z mintu, po czym zamykają projekt i znikają. Klasyczne case’y:

• Frosties (styczeń 2022) — 1,1 mln USD; twórcy (Stone i Nguyen) zatrzymani przez FBI/IRS w marcu 2022, postawieni w stan oskarżenia za wire fraud.
• Evolved Apes (październik 2021) — 2,7 mln USD; twórca “Evil Ape” zniknął z funduszami marketingowymi.
• Big Daddy Ape Club (Solana, styczeń 2022) — 1,3 mln USD na minus.

Sygnały ostrzegawcze: anonimowy zespół bez doxxed identity, brak audit smart kontraktu, agresywny FOMO marketing, premie dla wczesnych “whitelist”, ownership kontraktu nie renounced (twórca może zmienić logic post-mint).

Wallet drainery — top wektor 2024-2026

Wallet drainer to złośliwy skrypt podpinany pod fałszywą stronę claim/mint/airdrop. Po połączeniu portfela i podpisaniu transakcji (najczęściej setApprovalForAll lub permit) drainer zyskuje uprawnienia do transferu wszystkich tokenów z portfela. Ekosystem 2024:

• Inferno Drainer — najsłynniejszy phishing kit, wycofany przez operatorów w listopadzie 2023 po skradzeniu ~80+ mln USD od ~100 tys. ofiar.
• Pink Drainer — następca, ok. 75 mln USD od >21 tys. ofiar (2024).
• Angel Drainer, Pussy Drainer, Monkey Drainer — kolejne odsłony.

Łączny szacunek strat 2024 (raport Scam Sniffer): >494 mln USD od ok. 332 tys. ofiar — to 67% więcej niż w 2023.

Sleepminting

Atak na provenance. Złośliwy twórca wykorzystuje lukę w smart kontrakcie, by zminować NFT „w imieniu” znanego adresu (np. Beeple) — historia transakcji pokazuje, że NFT przeszedł z adresu Beeple → atakującego, sugerując fałszywie, że artysta sam sprzedał dzieło. Po raz pierwszy zademonstrowane publicznie w 2021 przez Monsieur Personne na “Sleepminted Beeple”.

Copyminting

Najprostszy wektor: kradzież cudzej sztuki i wystawienie jako swoja na OpenSea/Magic Eden. OpenSea raportował w 2022, że >80% NFT zminowanych darmowym creator toolem to plagiat, spam lub fake. Marketplace wdrożyły image hash detection i community reporting, ale arms race trwa.

Wash trading

Sztuczne pumpowanie ceny przez handel między własnymi portfelami (lub portfelami związanych aktorów). Raport Chainalysis 2022 wykrył setki kolekcji NFT z >25% wolumenu pochodzącego z wash trading. Cel: stworzyć iluzję płynności i wysokich cen, by zwabić prawdziwych kupujących. TRM Labs i Chainalysis Reactor dziś specjalizują się w detekcji wash trading patterns.

Smart contract exploits

Techniczne luki w samym kodzie kontraktu:

• Re-entrancy — atakujący wywołuje funkcję, która rekursywnie wywołuje samą siebie zanim stan zostanie zaktualizowany (klasyczny vector od DAO Hack 2016, dotyka też niektóre NFT minty),
• Integer overflow/underflow — manipulacja liczbami całkowitymi,
• Front-running / MEV — atakujący widzi pending transakcję i wstawia własną przed nią (np. snipuje rzadkie NFT w trakcie listingu).

OpenZeppelin, Trail of Bits, ConsenSys Diligence to wiodące firmy auditujące kontrakty. Brak audytu = czerwona flaga.

Lookalike domain phishing

Najprostszy i najczęstszy wektor. Atakujący kupuje domenę typu opensea-claim.io, blur-airdrop.com, magiceden-rewards.xyz, opensea.ws, 0pensea.io (zero zamiast O), tworzy pixel-perfect kopię strony, wabi linkiem w Twitter ads, Discord DM, mailem. Po połączeniu portfela następuje drainer signing. CSIRT NASK regularnie ostrzega o takich kampaniach na polskich użytkownikach krypto przez Listę Ostrzeżeń na incydent.cert.pl.

Social engineering na Discord/Telegram

Fałszywy “moderator projektu” pisze DM: „Hej, ekskluzywny mint dla early supporters, kliknij tutaj”. Discord oficjalni mod’owie nigdy nie piszą pierwsi w DM w sprawach mintów — to żelazna zasada większości projektów. Mimo to schemat działa, bo ofiary chcą wierzyć w whitelisty.

Jak chronić się przed scamami NFT — 10 zasad

1. Hardware wallet (Ledger, Trezor) dla aktywów o wartości. Klucz prywatny nie opuszcza urządzenia, podpis odbywa się offline. Koszt 60-150 USD, ROI w jednym uniknionym drainerze.
2. Osobny “hot wallet” do mintowania — minimum ETH/SOL niezbędne do operacji; aktywa o wartości trzymane w cold storage, do którego rzadko się łączysz dApp.
3. Nigdy nie podpisuj blind transactions. Jeśli MetaMask/Phantom pokazuje surowy hex zamiast czytelnej akcji (“Approve OpenSea to transfer all your CryptoPunks”) — odmów. Ledger Live ma “Blind Signing” tryb, włączaj tylko gdy faktycznie potrzebny.
4. Verified badge na marketplace. OpenSea, Blur, Magic Eden weryfikują oficjalne kolekcje (niebieska/fioletowa odznaka). Nie ufaj linkom z Discord/Telegram/X — wpisz adres marketplace ręcznie, znajdź kolekcję, dopiero stamtąd link do mintu.
5. Revoke.cash review co kwartał. revoke.cash lub etherscan.io/tokenapprovalchecker pokazują wszystkie aktywne approval na Twoich tokenach. Wycofuj dostęp do kontraktów, których już nie używasz — to najwyższy priorytet higieny.
6. Bookmark oficjalnych domen. Wpisuj opensea.io, blur.io, magiceden.io ręcznie lub z zakładek. Nigdy nie klikaj z reklam Google (atakujący kupują ads na nazwy marketplace), nigdy z Discord/Telegram DM.
7. 2FA z kluczem sprzętowym (YubiKey) dla maili (Gmail/ProtonMail), Discord, OpenSea, Twitter. SMS 2FA jest łamliwy przez SIM swap.
8. Nigdy nie udostępniaj seed phrase. Żaden legalny support (MetaMask, OpenSea, Coinbase) nigdy, ale to nigdy nie poprosi o Twoje 12 lub 24 słowa odzyskiwania. Każda taka prośba = scam.
9. Czytaj Etherscan/Solscan przed mintem. Sprawdź: ile unique holders, kiedy contract deployed (świeży = ryzyko), ownership renounced czy nie, czy kontrakt zaaudytowany (linki w “Contract” tab).
10. Symulacja transakcji. Rabby Wallet, Wallet Guard, Pocket Universe, Fire Extension pokazują przed podpisem, co transakcja faktycznie zrobi z Twoim portfelem (“You’ll lose 5 ETH and 12 NFTs”). To darmowe narzędzia, których brak instalacji jest dziś rażącym zaniedbaniem.

Co zrobić, jeśli padłeś ofiarą scamu NFT

Sześć kroków, w kolejności (czas reakcji w godzinach, nie dniach):

1. Disconnect wszystkich dApps od portfela. MetaMask: Settings → Connected sites → Disconnect all. Phantom analogicznie.
2. Revoke approvals natychmiast. revoke.cash lub etherscan.io/tokenapprovalchecker — wykonaj revoke dla każdego nieznanego kontraktu. Wymaga gas, ale to jedyna metoda zatrzymania dalszego drainingu, jeśli atakujący ma aktywne approval.
3. Przenieś pozostałe aktywa na świeży portfel (nowy seed phrase, idealnie hardware wallet). Skompromitowany portfel traktuj jako trwale spalony.
4. Zgłoś do marketplace — OpenSea, Blur, Magic Eden mają formularze report. Tagowanie scam contract pomaga zamrozić listingi i ostrzec innych użytkowników.
5. Zgłoś do CERT Polska przez incydent.cert.pl (szczególnie jeśli atakujący używał PL domeny lub kierował kampanię na polskich użytkowników). Złóż też zawiadomienie o przestępstwie na policji przez gov.pl — krypto-oszustwa mieszczą się w art. 286 KK (oszustwo). Realnie odzysk środków bardzo trudny, ale zgłoszenie jest niezbędne do każdego późniejszego trackingu.
6. Tag adresu scammera publicznie. Etherscan ma funkcję zgłaszania adresów. Narzędzia jak Chainalysis Reactor i TRM Labs wykorzystują tagi społeczności do śledzenia funduszy — Twoje zgłoszenie pomaga organom ścigania.

Realistyczne oczekiwania: jeśli środki przeszły przez mixery (Tornado Cash do sankcji OFAC w 2022, później Railgun, eXch, Sinbad), szansa odzysku to <5%. Profilaktyka jest jedyną skuteczną strategią.

Krajobraz regulacyjny 2026

• EU — MiCA (Markets in Crypto-Assets Regulation) — rozporządzenie weszło w fazy 2024-2025. NFT są w MiCA explicite wyłączone spod większości obowiązków (art. 2.3), o ile są “unikalne i niewymienialne”. Fractional NFTs i kolekcje quasi-fungible wpadają w zakres regulacji.
• Polska — UKNF, GIIF — UKNF nadzoruje rynek finansowy; tokenization RWA i security tokens podlega ustawie o obrocie instrumentami finansowymi. GIIF (Generalny Inspektor Informacji Finansowej) wymaga KYC/AML od marketplace operującego dla polskich rezydentów — Coinbase, Kraken, ZondaCrypto wdrożone, NFT-only marketplace OpenSea/Blur formalnie poza zakresem ale FATF Travel Rule może objąć w 2026-2027.
• OFAC sanctions — sankcje OFAC dotykają nie tylko klasycznych transakcji, ale i NFT. Tornado Cash został umieszczony na liście SDN w sierpniu 2022. Adresy oznaczone przez OFAC są blokowane przez większość marketplace (Tornado Cash addresses → automatic block na OpenSea od września 2022).
• FATF Travel Rule — od 2024 wymaga, by VASP (Virtual Asset Service Providers) przesyłali dane nadawcy/odbiorcy przy transakcjach >1000 USD. NFT marketplace formalnie obejmuje od planowanego wdrożenia 2025-2026.
• USA — IRS Treatment — NFT są klasyfikowane jako collectibles dla celów podatkowych (od marca 2023 — IRS Notice 2023-27), co oznacza wyższy capital gains tax niż przy klasycznych aktywach kapitałowych (28% vs 20%).
• Chainalysis Crypto Crime Report 2024 dokumentuje, że krypto-scamy (w tym NFT scam) wyniosły >5 mld USD strat globalnie, z drainers reprezentującymi największy wzrost rok do roku.

Jak nFlo pomaga w zabezpieczeniu krypto/Web3

Większość consumer-grade NFT scamów to phishing i socjotechnika — domena nFlo. Pomagamy firmom i osobom prywatnym:

• audytować higienę portfela i procedury podpisywania transakcji,
• wdrażać MFA z kluczem sprzętowym (YubiKey) na kontach maili i marketplace,
• prowadzić phishing awareness training dla zespołów Web3, gaming studios, NFT projects,
• analizować incydenty z wykorzystaniem Etherscan/Solscan tracking, Chainalysis Reactor, TRM Labs,
• reagować na incydenty po stronie infrastruktury (kompromitacja maili, social accounts używanych do operowania portfelami firmowymi).

Powiązane wpisy w słowniku: phishing, socjotechnika, malware, zabezpieczenia, scam.

FAQ

Co to jest NFT w prostych słowach?

NFT (Non-Fungible Token, niewymienialny token) to unikalny zapis własności w sieci blockchain. W odróżnieniu od kryptowalut, gdzie 1 ETH jest zawsze równy innemu 1 ETH (są wymienialne, fungible), każdy NFT ma odrębny identyfikator (tokenId) i metadane — i nie da się go zamienić 1:1 z innym tokenem. Najczęściej spotykane standardy to ERC-721 i ERC-1155 na Ethereum oraz Metaplex na Solanie. NFT może reprezentować cyfrowy obraz, item w grze, bilet na koncert, certyfikat ukończenia szkolenia (Soulbound Token), a nawet udziały we własności realnego aktywa (RWA). Kluczowy punkt: NFT to nie sam plik — to wpis w smart kontrakcie, a obraz JPG zwykle leży osobno na IPFS, Arweave albo serwerze projektu.

Czy NFT to oszustwo?

Sam NFT jako technologia nie jest oszustwem — to standard zapisu własności, używany legalnie m.in. przez Nike (.SWOOSH), Starbucks Odyssey, Reddit Collectible Avatars, Ticketmaster (NFT tickets), Adidas. Problem leży w konkretnych projektach i wektorach ataku: rug pulle (Frosties — 1,1 mln USD, Evolved Apes — 2,7 mln USD), wash trading, wallet drainery (Inferno, Pink), sleepminting i copyminting. Bezpieczeństwo NFT to przede wszystkim higiena portfela, nie sama technologia.

Jakie są najczęstsze scamy NFT w 2026?

Osiem kategorii: rug pulle, wallet drainery (Inferno, Pink, Angel — 494 mln USD strat w 2024 wg Scam Sniffer), lookalike domain phishing, sleepminting, copyminting, wash trading, fake mod DM na Discord, smart contract exploits (re-entrancy, integer overflow). Pierwsze 4 punkty stanowią >80% strat konsumenckich w segmencie NFT.

Jak chronić się przed scamami NFT?

Dziesięć zasad: hardware wallet (Ledger, Trezor), osobny hot wallet do mintowania, nie podpisuj blind transactions, sprawdzaj verified badge na OpenSea/Blur/Magic Eden, revoke.cash co kwartał, bookmark oficjalnych domen, 2FA z YubiKey, nigdy nie udostępniaj seed phrase, czytaj Etherscan/Solscan przed mintem, symulacja transakcji w Rabby/Wallet Guard/Pocket Universe.

Co zrobić, jeśli padłem ofiarą scamu NFT?

Sześć kroków: (1) disconnect wszystkich dApps, (2) revoke approvals na revoke.cash natychmiast, (3) przenieś pozostałe aktywa na świeży portfel (najlepiej hardware), (4) zgłoś do marketplace (OpenSea, Blur, Magic Eden), (5) zgłoś do CERT Polska na incydent.cert.pl + zawiadomienie o przestępstwie na gov.pl, (6) tag adresu scammera publicznie na Etherscan/Solscan. Realnie szansa odzysku <5%, jeśli środki przeszły przez mixery — profilaktyka jest jedyną skuteczną strategią.