Zero-Transfer-Betrug nimmt im Krypto-Ökosystem an Bedeutung zu; im Jahr 2023 wurden dabei über 40 Millionen US-Dollar gestohlen.
Mithilfe eines Zero-Transfer-Phishing-Angriffs gelang es einem Betrüger am 1. August, Tether USDT im Wert von 20 Millionen US-Dollar zu stehlen, bevor er vom Stablecoin-Emittenten Tether auf die schwarze Liste gesetzt wurde.
Laut einem Update des On-Chain-Analyseunternehmens PeckShield hat ein Zero-Transfer-Betrüger 20 Millionen USDT von der Opferadresse 0x4071...9Cbc erbeutet. Die eigentliche Adresse, an die das Opfer das Geld senden wollte, war 0xa7B4BAC8f0f9692e56750aEFB5f6cB5516E90570; es wurde jedoch stattdessen an eine Phishing-Adresse gesendet: 0xa7Bf48749D2E4aA29e3209879956b9bAa9E90570.
Die Wallet-Adresse des Opfers erhielt zunächst 10 Millionen USD von einem Binance-Konto. Das Opfer schickte die Summe dann an eine andere Adresse, bevor der Betrüger einstieg. Der Betrüger schickte dann eine gefälschte Zero-USDT-Token-Überweisung vom Konto des Opfers an die Phishing-Adresse. Ein paar Stunden später schickte das Opfer 20 Millionen USDT an den Betrüger, weil es dachte, es würde die Summe an die gewünschte Adresse überweisen.
Das Wallet wurde vom USDT-Emittenten Tether umgehend eingefroren, was angesichts der Schnelligkeit dieser Aktion für Aufsehen sorgte.
Benutzer überprüfen im Allgemeinen die ersten oder letzten fünf Ziffern einer Wallet-Adresse, nicht die gesamte Adresse, was dazu führt, dass sie die Vermögenswerte an eine Phishing-Adresse senden. Das Opfer wird dazu verleitet, eine Transaktion für null Token aus seiner Wallet an eine Adresse zu senden, die einer Adresse ähnelt, an die es bereits zuvor Token gesendet hat.
Wenn das Opfer beispielsweise 100 Münzen an eine Adresse für eine Umtauscheinzahlung schickt, könnte der Angreifer 0 Münzen aus der Brieftasche des Opfers an eine Adresse schicken, die ähnlich aussieht, aber vom Angreifer kontrolliert wird. Beim Anzeigen dieser Transaktion in seinem Transaktionsverlauf könnte das Opfer annehmen, dass die angezeigte Adresse die richtige Einzahlungsadresse ist, und seine Münzen an die Phishing-Adresse schicken.
Zero-Transfer-Phishing-Betrug ist im vergangenen Jahr im Krypto-Ökosystem recht prominent geworden, wobei mehrere Fälle ans Licht gekommen sind. Einer der ersten Fälle eines Zero-Transfer-Betrugs ereignete sich im Dezember 2022, seitdem sind durch solche Angriffe über 40 Millionen Dollar verloren gegangen.