Vor Kurzem überstieg die Zahl der ARP-Angriffe auf die BSC- und ETH-Ketten 290.000 bzw. 40.000. Über 186.000 unabhängige Adressen haben durch ARP-Angreifer mehr als 1,64 Millionen US-Dollar verloren. In dieser kurzen Lektüre möchten wir eine umfassende Analyse der ARP-Poisoning-Angriffsszene und detaillierte Informationen dazu präsentieren, wie diese Angriffe verhindert und bewältigt werden können, falls und wenn sie stattfinden.

Krypto-Nutzer verlieren riesige Geldsummen an ARP-Angreifer

Seit ihrer Erfindung sind Kryptokonten und -transaktionen anfällig für Angriffe. Besonders in diesem Jahr haben wir eine wachsende Zahl verschiedener Arten und Formen von Angriffen erlebt. Diese hohe Angriffsrate ist für die Krypto- und Blockchain-Community insgesamt ein Grund zur Sorge. Der wichtigste Angriff ist der Adressvergiftungsangriff, auch ARP-Vergiftungsangriff genannt.

Beunruhigenderweise gab es in letzter Zeit einen Anstieg der ARP-Angriffe. Was die Trends betrifft, so explodiert die BSC-Kette seit dem 22. November, während die ETH-Kette seit dem 27. November explodiert, wobei das Ausmaß der Angriffe auf beide Ketten zunimmt. Außerdem überstieg die Anzahl der von den Angriffen betroffenen unabhängigen Adressen 150.000 bzw. 36.000. Bis heute wurden mehr als 340.000 Adressen auf der Kette vergiftet, insgesamt 99 Opferadressen, und mehr als 1,64 Millionen USD wurden gestohlen.

Erläuterung des ARP-Poisoning-Angriffs

Das Address Resolution Protocol (ARP) unterstützt den mehrschichtigen Ansatz, der seit den Anfängen der Computernetzwerke verwendet wird. ARP-Poisoning ist eine Art von Cyberangriff, bei dem Schwachstellen im weit verbreiteten Address Resolution Protocol (ARP) ausgenutzt werden, um den Netzwerkverkehr zu stören, umzuleiten oder auszuspionieren.

Da Sicherheit bei der Einführung von ARP im Jahr 1982 kein vorrangiges Anliegen war, haben die Entwickler des Protokolls nie Authentifizierungsmechanismen zur Validierung von ARP-Nachrichten eingebaut. Jedes Gerät im Netzwerk kann auf eine ARP-Anfrage antworten, unabhängig davon, ob die ursprüngliche Nachricht an es gerichtet war oder nicht. Wenn beispielsweise Computer A nach der MAC-Adresse von Computer B „fragt“, kann ein Angreifer auf Computer C antworten und Computer A würde diese Antwort als authentisch akzeptieren. Dieses Versäumnis hat eine Vielzahl von Angriffen ermöglicht. Durch den Einsatz leicht verfügbarer Tools kann ein Bedrohungsakteur den ARP-Cache anderer Hosts in einem lokalen Netzwerk „vergiften“ und den ARP-Cache mit ungenauen Einträgen füllen.

Wie es funktioniert

Bei Address Resolution Protocol (ARP)-Poisoning sendet ein Angreifer gefälschte ARP-Nachrichten über ein lokales Netzwerk (LAN), um die MAC-Adresse des Angreifers mit der IP-Adresse eines legitimen Computers oder Servers im Netzwerk zu verknüpfen. Sobald die MAC-Adresse des Angreifers mit einer authentischen IP-Adresse verknüpft ist, kann der Angreifer alle Nachrichten empfangen, die an die legitime MAC-Adresse gerichtet sind. Dadurch kann der Angreifer die Kommunikation mit der legitimen MAC-Adresse abfangen, ändern oder blockieren.

Eine aktuelle BSC-Umfrage von X-explore ergab, dass Hacker den ARP-Angriff durch Initiieren mehrerer 0-USD-Überweisungen beeinflussen. Nachdem OPFER A eine typische Transaktion von 452 BSC-USD an BENUTZER B sendet, erhält BENUTZER B sofort 0 BSC-USD von ANGREIFER C. Gleichzeitig überweist BENUTZER A innerhalb desselben Transaktions-Hashes selbst unkontrolliert 0 BSC-USD an ANGREIFER C (und realisiert damit eine „Hin- und Her“-Überweisungsoperation von 0 BSC-USD).

Warum Sie besorgt sein sollten

Als Blockchain-Benutzer kann der ARP-Poisoning-Angriff für Ihr Konto tödlich sein. Die direkteste Auswirkung eines ARP-Poisoning-Angriffs besteht darin, dass der für einen oder mehrere Hosts im lokalen Netzwerk bestimmte Datenverkehr stattdessen an ein vom Angreifer ausgewähltes Ziel umgeleitet wird. Welche Auswirkungen dies genau hat, hängt von den Einzelheiten des Angriffs ab. Der Datenverkehr könnte an die Maschine des Angreifers gesendet oder an einen nicht vorhandenen Ort weitergeleitet werden. Im ersten Fall gibt es möglicherweise keine erkennbaren Auswirkungen, während im zweiten Fall der Zugriff auf das Netzwerk behindert werden kann.

Bis Freitag wurden 94 einzelne Adressen betrogen, wobei die Angreifer insgesamt 1.640.000 USD erbeuteten. Leider ist angesichts der zunehmenden Zahl der Ziele der Angreifer damit zu rechnen, dass in Kürze auch weiterhin eine große Zahl von Benutzern betrogen wird.

Arten von ARP-Poisoning-Transaktionen

Es gibt im Allgemeinen zwei Möglichkeiten, wie ein ARP-Poisoning-Angriff erfolgen kann. Dazu gehören:

Man-in-the-Middle (MiTM)-Angriff

MiTM-Angriffe sind die häufigsten und auch gefährlichsten. Beim MiTM sendet der Angreifer gefälschte ARP-Antworten an eine bestimmte IP-Adresse, normalerweise das Standard-Gateway für ein bestimmtes Subnetz. Dies führt dazu, dass die betroffenen Rechner ihren ARP-Cache mit der MAC-Adresse des Angreifer-Rechners füllen, anstatt mit der MAC-Adresse des lokalen Routers. Die betroffenen Rechner leiten dann den Netzwerkverkehr fälschlicherweise an den Angreifer weiter.

Denial-of-Service-Angriff (DoS)

Ein DoS-Angriff verweigert einem oder mehreren Opfern den Zugriff auf Netzwerkressourcen. Im Fall von ARP könnte ein Angreifer ARP-Antwortnachrichten senden, die Hunderte oder sogar Tausende von IP-Adressen fälschlicherweise einer einzigen MAC-Adresse zuordnen und so den Zielcomputer möglicherweise überlasten. Dieser Angriff kann auch auf Switches abzielen und möglicherweise die Leistung des gesamten Netzwerks beeinträchtigen.

Sitzungsentführung

Session-Hijacking-Angriffe ähneln Man-in-the-Middle-Angriffen, mit dem Unterschied, dass der Angreifer den Datenverkehr vom Computer des Opfers nicht direkt an das vorgesehene Ziel weiterleitet. Stattdessen erfasst der Angreifer eine echte TCP-Sequenznummer oder ein Web-Cookie des Opfers und verwendet es, um die Identität des Opfers anzunehmen.

Verhindern von ARP-Angriffen

Es gibt mehrere Möglichkeiten, Ihre Adresse vor ARP-Poisoning-Angriffen zu schützen. Einige davon sind:

Statische ARP-Tabellen

Sie können ARP-Angriffe verhindern, indem Sie alle MAC-Adressen in einem Netzwerk statisch ihren rechtmäßigen IP-Adressen zuordnen. Dies ist zwar sehr effektiv, stellt jedoch einen enormen Verwaltungsaufwand dar.

Switch-Sicherheit

Die meisten verwalteten Ethernet-Switches verfügen über Funktionen zur Abwehr von ARP-Poisoning-Angriffen. Diese Funktionen werden üblicherweise als Dynamic ARP Inspection (DAI) bezeichnet. Sie prüfen die Gültigkeit jeder ARP-Nachricht und verwerfen Pakete, die verdächtig oder bösartig erscheinen. 

Physische Sicherheit

Auch eine ordnungsgemäße Kontrolle des physischen Zugriffs auf Ihren Arbeitsbereich kann dazu beitragen, ARP-Poisoning-Angriffe abzuschwächen. ARP-Nachrichten werden nicht über die Grenzen des lokalen Netzwerks hinaus weitergeleitet, potenzielle Angreifer müssen sich daher in physischer Nähe des betroffenen Netzwerks befinden oder bereits Kontrolle über eine Maschine im Netzwerk haben.

Netzwerkisolation

Die Konzentration wichtiger Ressourcen in einem dedizierten Netzwerksegment mit erhöhter Sicherheit kann die potenziellen Auswirkungen eines ARP-Poisoning-Angriffs ebenfalls erheblich verringern.

Verschlüsselung

Obwohl die Verschlüsselung einen ARP-Angriff nicht wirklich verhindern kann, kann sie den potenziellen Schaden mindern.

Abschluss

ARP-Poisoning bleibt für Krypto-Nutzer eine Bedrohung und muss daher umgehend behoben werden. Wie alle Cyberbedrohungen begegnet man dem am besten mit einem umfassenden Informationssicherheitsprogramm.

Der erste Schritt im Kampf gegen die ARP-Poisoning-Plage ist die Sensibilisierung. Daher müssen Wallet-Apps Risikowarnungen verstärken, damit normale Benutzer beim Übertragen von Token auf solche Angriffe aufmerksam werden.