Einführung
Ein Hacker hat mehr als 440.000 USDC erbeutet, nachdem ein Wallet-Besitzer unwissentlich eine bösartige „Permit“-Signatur unterzeichnet hatte, wie ein Tweet von Scam Sniffer am Montag berichtete. Dieser Diebstahl erfolgt vor dem Hintergrund eines Anstiegs von Phishing-Verlusten. Laut dem monatlichen Bericht von Scam Sniffer wurden im November rund 7,77 Millionen Dollar von mehr als 6.000 Opfern abgezogen, was einen Anstieg der Gesamtschäden um 137 % im Vergleich zu Oktober darstellt, obwohl die Anzahl der Opfer um 42 % gesunken ist. „Das Waljagdspiel hat sich intensiviert, mit einem Höchstwert von 1,22 Millionen Dollar (Permit-Signatur). Trotz weniger Angriffe sind die individuellen Verluste erheblich gestiegen,“ bemerkte das Unternehmen.
Wie Permit-basierte Betrügereien funktionieren
Permit-basierte Betrügereien zielen darauf ab, Benutzer dazu zu bringen, eine Transaktion zu unterzeichnen, die legitim aussieht, aber heimlich einem Angreifer das Recht gibt, ihre Token auszugeben. Bösartige DApps können Felder tarnen, Vertragsnamen fälschen oder die Signaturanfrage als etwas Routinemäßiges präsentieren. Wenn ein Benutzer die Details nicht genau prüft, gewährt das Unterzeichnen der Anfrage dem Angreifer effektiv die Erlaubnis, auf alle ERC-20-Token des Benutzers zuzugreifen. Einmal gewährt, ziehen Betrüger in der Regel sofort die Gelder ab. Diese Methode nutzt die Permit-Funktion von Ethereum aus, die entwickelt wurde, um Token-Transfers zu erleichtern, indem sie es Benutzern ermöglicht, Ausgabenrechte an vertrauenswürdige Anwendungen zu delegieren. Der Komfort wird zu einer Schwachstelle, wenn diese Rechte einem Angreifer gewährt werden.
„Was an dieser Angriffsart besonders knifflig ist, ist, dass die Angreifer entweder das Permit und die Übertragung von Token in einer Transaktion durchführen können (eine Art Überfall) oder sie könnten sich über das Permit Zugang verschaffen und dann inaktiv bleiben, um später hinzugefügte Gelder zu übertragen (solange sie eine entsprechend weit entfernte Zugriffsfrist innerhalb der Permit-Funktionsmetadaten festlegen),“ erklärte Tara Annison, Produktleiterin bei Twinstake, gegenüber Decrypt.
„Der Erfolg dieser Betrugsarten hängt davon ab, dass Sie etwas unterzeichnen, dessen Auswirkungen Sie nicht ganz verstehen,“ fügte sie hinzu und ergänzte: „Es geht um die menschliche Verwundbarkeit und die Ausnutzung der Eagerness der Menschen.“
Wachsende Bedrohung und Schutzmaßnahmen
Annison betonte, dass dieser Vorfall alles andere als isoliert ist. „Es gibt viele Beispiele für Phishing-Betrügereien mit hohem Wert und hohem Volumen, die darauf abzielen, Benutzer dazu zu bringen, etwas zu unterzeichnen, das sie nicht vollständig verstehen. Oft geschieht dies unter dem Vorwand von kostenlosen Airdrops, gefälschten Projekt-Startseiten, um Ihre Wallet zu verbinden, oder betrügerischen Sicherheitswarnungen, um zu überprüfen, ob Sie betroffen sind,“ fügte sie hinzu.
Wallet-Anbieter haben begonnen, mehr Schutzfunktionen einzuführen. MetaMask warnt beispielsweise Benutzer, wenn eine Seite verdächtig erscheint, und versucht, Transaktionsdaten in menschlich lesbare Absichten zu übersetzen. Andere Wallets heben ebenfalls risikobehaftete Aktionen hervor. Doch Betrüger passen sich weiterhin an. Harry Donnelly, Gründer und CEO von Circuit, sagte gegenüber Decrypt, dass Permit-Angriffe „recht weit verbreitet“ sind und forderte die Benutzer auf, Absenderadressen und Vertragsdetails zu überprüfen. „Das ist der klarste Weg zu wissen, dass, wenn es sich um ein Protokoll handelt, das nicht mit dem übereinstimmt, wohin Sie tatsächlich die Gelder senden möchten, dann ist das wahrscheinlich jemand, der versucht, Gelder zu stehlen,“ erklärte er. „Sie können den Betrag überprüfen; oft versuchen sie, unbegrenzte Genehmigungen zu erteilen.“
Wachsamkeit als beste Verteidigung
Annison betonte, dass Wachsamkeit nach wie vor die stärkste Verteidigung der Benutzer ist. „Der beste Weg, sich vor einem Permit-, approveAll- oder transferFrom-Betrug zu schützen, besteht darin, sicherzustellen, dass Sie wissen, was Sie unterzeichnen. Welche Aktionen werden tatsächlich in der Transaktion durchgeführt? Welche Funktionen werden verwendet? Stimmen diese mit dem überein, was Sie dachten, dass Sie unterzeichnen?“
„Viele Wallets und DApps haben die Benutzeroberflächen verbessert, um sicherzustellen, dass Sie nicht blind etwas unterzeichnen und sehen können, was es zur Folge hat, sowie Warnungen für hochriskante Funktionen, die verwendet werden. Es ist jedoch wichtig, dass die Benutzer aktiv überprüfen, was sie unterzeichnen, und nicht einfach ihre Wallet verbinden und auf Unterzeichnen klicken,“ sagte sie.
Schwierigkeiten bei der Wiederherstellung gestohlener Gelder
Einmal gestohlen, ist die Wiederherstellung von Geldern unwahrscheinlich. Martin Derka, Mitbegründer und technischer Leiter von Zircuit Finance, sagte gegenüber Decrypt, dass die Chancen, die Gelder zurückzubekommen, „praktisch null“ sind. „Bei Phishing-Angriffen haben Sie es mit einer Person zu tun, deren gesamtes Ziel es ist, Ihre Gelder zu stehlen. Es gibt keine Verhandlung, keinen Kontaktpunkt und oft keine Ahnung, wer die Gegenpartei ist,“ erklärte er. „Diese Angreifer spielen ein Zahlen-Spiel,“ sagte Derka und fügte hinzu: „Sobald das Geld weg ist, ist es weg. Die Wiederherstellung ist im Wesentlichen unmöglich.“
