Laut einem Forscher von Forta Network nutzen Betrüger verschiedene Techniken, um das Geld der Benutzer zu stehlen. Bei einigen davon ist es lediglich erforderlich, die Adresse Ihrer Wallet zu kennen.
Nach Angaben des Blockchain-Sicherheitsunternehmens Forta Network haben Betrüger im Mai mindestens 7.905 Blockchain-Wallets eingerichtet, um Kryptowährungen einzusammeln, die sie von normalen Benutzern gestohlen haben.
Forta hat vor Kurzem seinen eigenen Token auf den Markt gebracht und betreibt ein Netzwerk von Bots, die verschiedene Arten von Betrug auf den Blockchains Ethereum, Binance Smart Chain, Polygon, Optimism, Avalanche, Arbitrum und Fantom erkennen.
Christian Seifert, Researcher in Residence bei Forta, der zuvor in der Sicherheitsforschungsabteilung von Microsoft gearbeitet hat, sagte gegenüber CoinDesk, dass die Algorithmen von Forta beim Scannen von Transaktionen auf Blockchains verschiedene Arten von anomalem Verhalten erkennen können.
Einige dieser Anomalien sind Angriffe auf die Geldbörsen der Benutzer.
Bei einigen Angriffen setzen die Betrüger auf Social Engineering: Sie schnüffeln nach persönlichen Informationen der Benutzer oder wenden Tricks an, um Krypto-Benutzer dazu zu bringen, ihre Passwörter oder Seed-Phrasen preiszugeben. Für andere Angriffe reicht es aus, die Wallet-Adresse des Opfers zu kennen.
Siehe auch: Einen Hack als Exploit zu bezeichnen minimiert menschliches Versagen | Meinung
„Viele Angriffe sind Social-Engineering-Angriffe: Benutzer werden auf eine Website gelockt, eine Website fordert sie auf, ihr Wallet zu verbinden, eine Transaktion wird angezeigt, ein Benutzer genehmigt sie und sein Geld ist weg“, sagte Seifert.
„Ice-Phishing“
Die am weitesten verbreitete Angriffsart im Mai war die sogenannte „Ice-Phishing“-Technik, die 55,8 % aller von Forta registrierten Angriffe ausmachte. Im Gegensatz zu den offensichtlicheren oder bekannteren Phishing-Angriffen (Ice-Phishing ist eine Anspielung auf die im gesamten Internet häufiger vorkommenden „Phishing“-Angriffe) zielt diese Art nicht direkt auf die privaten Informationen der Benutzer ab.
Stattdessen bringt ein Ice-Phisher sein Opfer dazu, eine bösartige Blockchain-Transaktion zu unterzeichnen, die den Zugriff auf die Wallet des Opfers öffnet, sodass der Angreifer das gesamte Geld stehlen kann. In solchen Fällen werden die Opfer oft auf eine Phishing-Website gelockt, die echte Kryptodienste imitiert.
Diese Betrügereien basieren auf „Token-Approval“-Transaktionen, einer der häufigsten Verwendungszwecke für nicht verwahrte Web3-Wallets, die es Benutzern ermöglichen, Smart Contracts einen gewissen Zugriff auf ihre Wallets zu gewähren.
Auf der Support-Seite von MetaMask, dem Hersteller des beliebtesten Ethereum-Krypto-Wallets, heißt es, dass Sie bei der Genehmigung von Token-Transaktionen „die volle Kontrolle haben und die letztendliche Verantwortung für alles tragen, was Sie tun. Deshalb ist es wichtig, dass Sie genau wissen, wofür Sie sich anmelden, wenn Sie Token-Genehmigungen bestätigen.“
Bei einem ähnlichen Betrug wie dem oben erwähnten versuchen Angreifer, Benutzer dazu zu bringen, mit verschiedenen dezentralen Anwendungen (Dapps) zu interagieren, darunter auch dezentrale Börsen (DEXs). Solche Schemata erzeugen oft die Illusion einer neuen lukrativen Gelegenheit, wie etwa ein Airdrop eines neuen Tokens, und nutzen die allgemeine Tendenz aus, auf FOMO oder die Angst, etwas zu verpassen, hereinzufallen, sagte Seifert.
Anstatt jedoch mit einem legitimen Dienst zu interagieren, übergibt ein Benutzer durch die Unterzeichnung einer Token-Genehmigungstransaktion die Kontrolle über seine Vermögenswerte an einen Angreifer.
„Benutzer klicken, klicken, klicken und es erscheinen Popups mit Transaktionen, oft mit einem Timer, und Benutzer genehmigen sie, ohne sie zu prüfen“, sagte Seifert.
Laut Seifert gibt es beim Ice-Phishing zwei entscheidende Schritte: „Ein Opfer auf eine [bösartige] Website locken und eine positive Geschichte erschaffen.“
„Eine Variante des Ice-Phishing-Angriffs besteht darin, Benutzer dazu zu bringen, native Assets direkt an den Betrüger zu senden. Dies wird erreicht, indem eine ‚Sicherheitsupdate‘-Funktion des Vertrags des Betrügers unterzeichnet wird“, sagte Seifert und fügte hinzu, dass auf diese Weise normalerweise kleine Mengen an Kryptowährung gestohlen werden.
NFTs, Airdrops und Adressvergiftung
Einige Angriffe zielen auf Händler von nicht fungiblen Token (NFT) ab. Betrüger haben beispielsweise Techniken entwickelt, die die Eigenheiten der NFT-Infrastruktur ausnutzen, wie das von OpenSea eingeführte und auf vielen NFT-Marktplätzen verwendete Seaport-Protokoll. Um NFTs auf Seaport zu verkaufen, erstellen Benutzer Verkaufsaufträge, indem sie eine Transaktion unterzeichnen, die lokal auf der Plattform übertragen wird – und nicht im breiteren Ethereum-Netzwerk, um Transaktionsgebühren zu sparen.
Angreifer suchen nach Benutzern mit wertvollen NFTs und versuchen, sie dazu zu verleiten, Transaktionen zu genehmigen, durch die ihre wertvollen Bestände zu einem Bruchteil des Marktpreises verkauft würden.
NFT-Händler sind sich heute oft der vielen Möglichkeiten bewusst, wie sie ausgenutzt werden können. Einige der bekanntesten Krypto-Diebstähle der letzten Jahre zielten auf einflussreiche NFT-Persönlichkeiten ab. Dies hat zu immer gezielteren und ausgefeilteren Phishing-Angriffen geführt.
Beim „Adressvergiftungsangriff“ untersuchen Angreifer den Transaktionsverlauf der Wallets ihrer Opfer und suchen nach Adressen, mit denen sie am häufigsten interagieren. Anschließend erstellen sie eine Blockchain-Adresse, die ihrem Ziel bekannt vorkommt, und senden dem Opfer eine Transaktion mit geringem bis keinem Wert. Diese Transaktion soll den Transaktionsverlauf eines beabsichtigten Opfers „vergiften“, indem die bösartige Adresse an einem Ort platziert wird, an dem sie bei der nächsten Transaktion versehentlich kopiert und eingefügt werden könnte.
Aber oft bleiben die einfachsten Exploits wirksam. Seifert sagte beispielsweise, dass Angreifer beim Entwerfen von Social-Engineering-Exploits, mit denen sie das Vertrauen oder die Aufmerksamkeit der Opfer gewinnen möchten, häufig bekannte Marken verwenden. Dies war der Fall bei dem betrügerischen tLINK-Token, den Chainlink-Inhaber (LINK) Anfang Juni erhielten, als ein Angreifer den LINK-Inhabern einen angeblich neuen Token per Airdrop zuwarf.
Die Betrüger boten den Benutzern im Beschreibungsfeld des Airdrop-Tokens auf einer Phishing-Website an, tLINK gegen echte LINK-Token einzutauschen, sagte Seifert. Und wenn sie dieses Angebot angenommen hätten, wären sie aufgeschmissen gewesen.
Was solche Angriffe schwieriger macht, ist, dass Angreifer betrügerische ERC-20-Token einem legitimen Smart Contract zuordnen und dann eine Funktion ausführen können, die diese gefälschten Token an jeden überträgt, der einen Zieltoken besitzt, so Forta. Dadurch sieht es so aus, als hätten Benutzer einen Airdrop vom legitimen Vertrag erhalten, obwohl es sich lediglich um Betrug handelt.
Siehe auch: Verhinderung von Krypto-Exploits und Hacks im Jahr 2023
Für derartige Angriffe ist von den Angreifern nicht einmal viel Aufklärungsarbeit nötig: Alles, was sie über die Opfer wissen müssen, sind deren Wallet-Adressen.
Transaktionshygiene
Da Hacker und Betrüger immer fleißiger werden, ist es wichtig, immer auf die Adressen zu achten, mit denen Ihr Wallet interagiert, sagte Seifert. Idealerweise sollten Wallets über integrierte Sicherheitsfunktionen verfügen, sagte er und fügte hinzu, dass Forta derzeit seine Datenbank mit betrügerischen Adressen dem ZenGo-Wallet zur Verfügung stellt.
Forta weist Blockchain-Wallets unterschiedliche Risikobewertungen zu, die sich auf ihre Beteiligung an potenziell betrügerischem Verhalten beziehen, sagte Seifert.