Sybil Millionaires: Wie Airdrop-Jäger Projekte austricksen und Vermögen erbeuten

„An einem Abend kann man bis zu 10 hochwertige Accounts erstellen. Das ist kein Hexenwerk, sondern alltägliche Arbeit. Deshalb haben so viele Leute Angst davor“, sagt Ilya, ein 33-jähriger Ukrainer, dessen Haupteinkommensquelle aus Airdrops stammt.
Ilya (er bat CoinDesk, seinen Namen zu ändern) handelt ebenfalls gewinnbringend mit Kryptowährungen, aber Airdrops haben in den letzten Monaten die meiste Zeit in Anspruch genommen, erzählte er mir über Zoom und sprach aus einem „südeuropäischen Land“.
Ilya ist einer der vielen Kryptohändler, die mit Sybil-Angriffen auf Token-Airdrops Geld verdienen. Mit anderen Worten: Sie eröffnen mehrere Konten bei einem Blockchain-Projekt, das seine Token per Airdrop verteilen soll, und schnappen sich dann so viele Token wie möglich. (Der Name „Sybil“-Angriff geht auf ein Buch aus dem Jahr 1973 zurück, in dem es um eine Frau mit dissoziativer Identitätsstörung geht.)
Weiterlesen: Arbitrum wird neuen Token per Airdrop verteilen und zu DAO wechseln
Die Angriffe nutzen die schwache Fähigkeit der Projekte aus, gefälschte Konten zu identifizieren und auszusortieren, und ziehen aus jedem Airdrop Zehn- und Hunderttausende von Dollar ab. Nachdem sie Token erhalten haben, verkaufen sie diese sofort.
Rennen um kostenloses Geld
Dezentrale Finanzprojekte (DeFi) nutzen Airdrops – die Vergabe kostenloser Token an die Wallets aktiver Mitglieder ihrer Blockchain-Community – um mehr Nutzer anzuziehen und Aktivitäten auf der Blockchain des Projekts zu fördern, etwa durch die Bereitstellung von Liquidität für dezentrale Börsen oder die Interaktion mit Smart Contracts und anderen Transaktionen.
Mit Airdrops versuchen Projekte, aktive Benutzer zu identifizieren und zu belohnen, ohne Token an Personen zu verteilen, die in letzter Minute vor dem Airdrop Konten erstellt haben, um Token zu ergattern, ohne sich tatsächlich am Projekt zu beteiligen. Nachdem sie die Token erhalten haben, verkaufen diese Personen sie sofort, was den Preis des Tokens nach unten zieht.
Sybil-Angreifer versuchen immer wieder, das System auszutricksen, indem sie gesunde Blockchain-Aktivitäten mehrerer Konten imitieren, die einer Person oder einem Team gehören. So wird die Organisation eines Airdrops für Projekte zu einem endlosen Maulwurfspiel – und sie sind weit davon entfernt, zu gewinnen.
Während des jüngsten Airdrops für das Ethereum-Skalierungsprotokoll Arbitrum erhielten beispielsweise Benutzer und Entitäten, die mehrere Adressen kontrollieren, laut Forschern fast 48 % aller verteilten Token.
Sybil Millionäre
Ilya ist 33 und seit sechs Jahren ist Kryptospekulation sein Hauptberuf. „Ich bin Ende 2016 damit angefangen, vor dem ICO-Hype“, sagt er. Er war Inhaber eines kleinen Unternehmens und handelte in der Ukraine mit Getreide, bevor er ins Online-Marketing einstieg. Als er von Krypto erfuhr, änderte sich alles. Er investierte in mehrere Initial Coin Offerings und seine Rendite verzehnfachte sich.
Nachdem der ICO-Hype abgekühlt war, kamen Initial Exchange Offerings (IEO), dann der DeFi-Wahnsinn 2020 und dann die Obsession mit Non-Fungible Token (NFT). Wenn man einem Trend voraus ist, so Ilya, ist das nur ein kostenloses Geldgeschenk, und Airdrops sind nur die neueste heiße Gelegenheit.
Eine Person, die ich kenne, hat 200.000 Token von mehreren tausend Konten bekommen
„Airdrops sind ein rechtlich sichererer Weg, die Token eines Projekts zu verteilen als ICOs“, sagte Igor Pertsia, Gründer des Hypra-Venture-Fonds. Er sagte, dass besonders geschickte Sybil-Angreifer mit bis zu mehreren Millionen Dollar in Kryptowährungen aus einem einzigen Airdrop davonkommen können und dabei Projekte wie Ethereum Name Service (ENS), Sui, Aptos und andere ins Visier nehmen.
„Ich kenne Leute, die allein mit Arbitrum 1 bis 2 Millionen Dollar verdient haben“, sagte Pertsia gegenüber CoinDesk. „Anders als bei ICOs, von denen viele eher wie Ponzi-Systeme funktionierten, reden die Teilnehmer an Airdrops nicht viel darüber, denn je mehr Leute mitmachen wollen, desto weniger bekommt jeder einzelne.“
Die Beweise sind nicht nur anekdotisch. Blockchain-Forscher haben Krypto-Wallets entdeckt, die Arbitrum ARB-Token im Wert von über 1 Million Dollar aus verschiedenen anderen Wallets angehäuft haben, was darauf hindeutet, dass sie derselben Person gehören. In einigen Fällen stellte sich heraus, dass diese Wallets Phishing-Betrügern gehörten, die einfach das Geld aus den Wallets mehrerer Opfer saugten, wie sich später herausstellte.
Einige Benutzer mit mehreren Konten sammelten bescheidenere Token-Gesamtbeträge an. Forscher fanden mindestens 198 Adressen, die Gelder von mehreren anderen Adressen zusammenführten, nachdem der Kontostand erfasst und die Liste der berechtigten Wallets bestätigt worden war.
„Keine Raketenwissenschaft“
Ilya sei keiner dieser Arbitrum-Millionäre gewesen, sagte er. Mehrere seiner Konten wurden im Rahmen eines Sybil-Angriffs entdeckt und vom Airdrop ausgeschlossen. Aber fünf der von ihm eingerichteten Konten erhielten 20.000 ARB-Token – fast das Doppelte der maximalen Menge, die ein Konto während des Airdrops erhalten konnte (10.250 Token).
Ilya zögerte nicht, die Token für 1,40 Dollar pro Stück zu verkaufen, und erzielte damit einen Profit, der seine Ausgaben bei weitem überstieg: Um ein Qualitätskonto zu behalten, das nicht gekürzt wird, müsste er etwa 50 Dollar an Gasgebühren für Transaktionen im Netzwerk zahlen, sagte er.
„Eine Person, die ich kenne, hat 200.000 Token von mehreren tausend Konten bekommen. Er hatte ein Team von Leuten, die jeweils 500 Konten verwalteten“, sagte Ilya.
Ilya hat nur einen Mitarbeiter, der ihm bei der Verwaltung der Konten hilft. Dieser erhält einen regelmäßigen Gehaltsscheck und einen Anteil an den Gewinnen aus den Airdrops. Ilya sagte, technisches Fachwissen sei nicht notwendig, um einen profitablen Airdrop zu erkennen. Wenn man soziale Dynamiken analysieren und spüren könne, was der nächste Trend sein wird, sei das ausreichend.
An einem Abend könnten Sie bis zu 10 Qualitätskonten erstellen. Das ist keine Raketenwissenschaft, sondern nur tägliche Arbeit
Diese Konten am Leben zu erhalten, sei „keine Raketenwissenschaft“, und selbst Highschool-Kids können eine Reihe brauchbarer Blockchain-Wallets unterhalten, um mit Airdrops Geld zu verdienen. „Ich kenne ein paar Jungs, die noch nicht einmal 18 sind und jeweils 150 Konten betreiben, und einer von ihnen hat kürzlich 500.000 Dollar mit Airdrops verdient“, sagte er.
„Die 20-Jährigen haben den ICO-Boom verpasst und jetzt gibt es eine neue Welle der Jungen und Hungrigen“, sagte Pertsia.
Es riskieren
Man weiß nie, welches Projekt eines Tages Tokens abwirft, daher überwachen Airdrop-Jäger mehrere Projekte, die vielversprechend erscheinen. Kriterien?
„Es sollte bekannt sein, es sollte eine Menge eingesammeltes Geld, viele Entwickler und namhafte Investoren geben, es sollte viel Hype darum geben und es sollte relevant sein für das, was im Moment in der Kryptowelt passiert“, sagte Ilya. Projekte, die diese Kriterien derzeit erfüllen, sind zksynk, StarkNet und LayerZero sowie alles, was mit der Skalierung von Ethereum zu tun hat, glaubt er.
Weiterlesen: Sam Kessler – Arbitrum zeigt, wie chaotisch (und knifflig) Krypto-Airdrops sein können
Während sie auf einen Airdrop warten, riskieren solche Jäger, ihr Geld zu verlieren, wenn das Projekt gehackt wird und ihm die gesamte Liquidität entzogen wird. DeFi-Protokolle sind zum Lieblingsziel von Hackern geworden und haben allein im Jahr 2022 2 Milliarden Dollar verloren, so das Blockchain-Analyseunternehmen Chainalysis. Insbesondere Cross-Chain-Brücken schienen eines der attraktivsten Angriffsziele zu sein.
„Die Leute haben Liquidität in die Bank gepumpt, in der Hoffnung auf einen Airdrop [in der Zukunft], und dann wird diese Brücke gehackt und irgendein Hacker entkommt mit Ihren 5.000 Dollar“, sagte Ilya. Er könne sich nicht erinnern, bei solchen Angriffen viel verloren zu haben, sagte Ilya, aber Leute, die er kenne, hätten Token im Wert von bis zu 10.000 Dollar im kürzlich ausgenutzten Euler-Kreditprotokoll. Zumindest habe der Angreifer sich freiwillig bereit erklärt, die Gelder zurückzugeben.
Jagd auf die Jäger
Alex Momot, CEO des Krypto-Startups Peanut Trade, sagte, sein Team habe die Sybil-Angriffe auf Airdrops genau beobachtet. Einer der Dienste, die Peanut anbietet, besteht darin, DeFi-Projekten zu helfen, solche Missbräuche zu vermeiden. Normalerweise seien die Taktiken der Airdrop-Jäger ziemlich einfach, sagte er: Sie führen ein absolutes Minimum an Transaktionen mit minimalen Token-Mengen durch, nur um die Berechtigungsschwelle zu überschreiten.
Jäger füllen ihre Wallets oft auf, indem sie Geld von einer zentralen Börse abheben. Da alle derartigen Abhebungen von der Hot Wallet einer Börse aus erfolgen, die die Coins vieler Benutzer an einem Ort zusammenfasst, ist es unmöglich zu sehen, wer genau die Token abgehoben hat. Dies erschwert die Identifizierung von Wallets, die Geld von derselben Wallet erhalten haben und somit anscheinend demselben Besitzer gehören.
Es gibt jedoch immer noch Möglichkeiten, Airdrop-Jäger mit mehreren Konten von der Verteilung auszuschließen. Beispielsweise können Projekte alle Wallets kürzen, die den Schwellenwert kaum überschreiten.
„Einerseits ist es nicht schlecht, dass Projekte auch auf diese Weise etwas Zugkraft bekommen, aber sie sind daran interessiert, echte Communities zu schaffen und echte Zugkraft zu haben“, sagte Momot. „Das Schlimmste ist, dass Projekte zum Zeitpunkt der Börsennotierung Millionen an Marktkapitalisierung verlieren, [weil] solche Benutzer sofort verkaufen.“