„Ice-Phishing“ bedroht Blockchain

Die Blockchain, dezentrale Technologien, DeFi, intelligente Verträge, das Konzept eines „Metaverse“ und Web3 – die dezentrale Grundlage, die auf kryptografischen Systemen aufbaut, die Blockchain-Projekten zugrunde liegen – haben alle das Potenzial, radikale Veränderungen in der Art und Weise herbeizuführen, wie wir Konnektivität heute verstehen und erleben.

Mit jeder technologischen Innovation können jedoch auch neue Möglichkeiten für Cyberangreifer geschaffen werden, und Web3 ist da keine Ausnahme.

Zu den häufigsten Bedrohungen gehören heute massenhaftes Spam und Phishing über E-Mail und Social-Media-Plattformen, Social Engineering und die Ausnutzung von Sicherheitslücken.

Am 16. Februar stellte das Microsoft 365 Defender Research Team fest, dass insbesondere Phishing seinen Weg in die Blockchain, Depot-Wallets und Smart Contracts gefunden hat – „was die Dauerhaftigkeit dieser Bedrohungen sowie die Notwendigkeit bestätigt, Sicherheitsgrundlagen in damit verbundene zukünftige Systeme und Frameworks einzubauen.“

Die Cybersicherheitsforscher von Microsoft sagen, dass Phishing-Angriffe, die sich auf Web3 und die Blockchain konzentrieren, verschiedene Formen annehmen können.

Eine der Bedrohungen, auf die man achten sollte, ist ein Angreifer, der versucht, die privaten kryptografischen Schlüssel für den Zugriff auf eine Geldbörse mit digitalen Vermögenswerten zu erhalten.

Während Phishing-Versuche per E-Mail durchaus vorkommen, sind Betrügereien über soziale Medien weit verbreitet. So können Betrüger beispielsweise Direktnachrichten an Nutzer senden, in denen sie öffentlich um Hilfe von einem Kryptowährungsdienst bitten – und unter dem Vorwand, von einem Support-Team zu sein, den Schlüssel verlangen.

Eine andere Taktik besteht darin, gefälschte Airdrops für kostenlose Token auf Social-Media-Websites zu starten. Wenn Benutzer versuchen, auf ihre neuen Vermögenswerte zuzugreifen, werden sie auf bösartige Domains umgeleitet, die entweder versuchen, Anmeldeinformationen zu stehlen oder Kryptojacking-Malware auf dem Computer des Opfers auszuführen.

Darüber hinaus sind Cyberkriminelle dafür bekannt, Typo-Squatting zu betreiben, um sich als legitime Blockchain- und Kryptowährungsdienste auszugeben. Sie registrieren Website-Domains mit kleinen Fehlern oder Änderungen – wie cryptocurency.com statt cryptocurrency.com – und richten Phishing-Websites ein, um Schlüssel direkt zu stehlen.

Ice-Phishing ist anders und ignoriert private Schlüssel völlig. Bei dieser Angriffsmethode wird versucht, ein Opfer dazu zu verleiten, eine Transaktion zu unterzeichnen, die die Genehmigung der Token eines Benutzers an einen Kriminellen übergibt.

Solche Transaktionen können in DeFi-Umgebungen und Smart Contracts verwendet werden, um beispielsweise einen Token-Tausch zu ermöglichen.

„Sobald die Genehmigungstransaktion unterzeichnet, eingereicht und miniert wurde, kann der Spender auf die Mittel zugreifen“, so Microsoft. „Im Falle eines Ice-Phishing-Angriffs kann der Angreifer über einen längeren Zeitraum Genehmigungen sammeln und dann alle Geldbörsen der Opfer schnell leeren.“

Das bekannteste Beispiel für Ice-Phishing ist der BadgerDAO-Angriff vom letzten Jahr. Angreifern gelang es, das Frontend von BadgerDAO zu kompromittieren, um Zugang zu einem Cloudflare-API-Schlüssel zu erhalten, woraufhin bösartige Skripte in den Badger-Smart-Contract eingespeist und wieder entfernt wurden.

Kunden mit hohen Guthaben wurden ausgewählt und aufgefordert, betrügerische Transaktionsgenehmigungen zu unterzeichnen. BadgerDAO sagte in einem Post-Mortem des Phishing-Angriffs, dass „das Skript Web3-Transaktionen abfing und die Benutzer aufforderte, einer ausländischen Adresse die Genehmigung zu erteilen, mit ERC-20-Tokens in ihrer Wallet zu arbeiten.“

„Nachdem eine Reihe von Genehmigungen gefälscht wurden, schickte ein Finanzierungskonto acht Ethereum Coins (ETH) an das Konto des Angreifers, um eine Reihe von transferFrom-Aufrufen für die genehmigten Token der Benutzer zu tätigen“, so BadgerDAO. „Dies ermöglichte es dem Angreifer, Gelder im Namen der Nutzer auf andere Konten zu verschieben, die dann die Gelder liquidierten und über die Badger Bridge in BTC umwandelten.“

Es wurden etwa 121 Millionen Dollar gestohlen. Eine Prüfung und ein Wiederherstellungsplan sind im Gange. „Der Badger-DAO-Angriff macht deutlich, wie wichtig es ist, die Sicherheit von Web3 zu erhöhen, solange es sich noch im Anfangsstadium der Entwicklung und Einführung befindet“, so Microsoft. „Wir empfehlen den Softwareentwicklern, die Sicherheit von Web3 zu erhöhen. In der Zwischenzeit müssen die Endbenutzer Informationen explizit durch zusätzliche Ressourcen überprüfen, wie z. B. die Projektdokumentation und externe Reputations-/Informations-Websites.“

Jakob Jung

Recent Posts

gamescom – Zentralevent für die Unterhaltungsindustrie

Die Spielemesse gamescom ist das weltgrößte Event rund um Computer- und Videospiele und Europas größte…

17 Minuten ago

Google will Linux-Kernel besser schützen

Google erhöht die Prämien für Bug-Hunter in seinem Programm kCTF, das sich auf Zero-Day-Schwachstellen im…

4 Stunden ago

Rechenzentren schwitzen

Steigende Temperaturen und hohe Stromrechnungen bringen Rechenzentren an ihre Grenzen, erklärt Markus Grau, Principal Technology…

4 Stunden ago

FBI warnt vor Zeppelin Ransomware-Bande

Zeppelin ist ein gut organisierter Ransomware-Akteur, der zwei Wochen damit verbringt, ein Netzwerk zu kartieren,…

5 Stunden ago

Risiken durch Partner und Lieferanten

Kein Unternehmen steht allein, sondern operiert in einem Ökosystem mit Kunden, Partnern und Lieferanten. Deswegen…

5 Stunden ago

CyberGhost VPN 2022: Deutschlands fairster VPN-Anbieter? (+Exklusivdeal)

Einer der ältesten und erfahrensten VPN-Anbieter ist seit über 15 Jahren CyberGhost VPN. Wieso jener…

3 Tagen ago