„Ice-Phishing“ bedroht Blockchain

Die Blockchain, dezentrale Technologien, DeFi, intelligente Verträge, das Konzept eines „Metaverse“ und Web3 – die dezentrale Grundlage, die auf kryptografischen Systemen aufbaut, die Blockchain-Projekten zugrunde liegen – haben alle das Potenzial, radikale Veränderungen in der Art und Weise herbeizuführen, wie wir Konnektivität heute verstehen und erleben.

Mit jeder technologischen Innovation können jedoch auch neue Möglichkeiten für Cyberangreifer geschaffen werden, und Web3 ist da keine Ausnahme.

Zu den häufigsten Bedrohungen gehören heute massenhaftes Spam und Phishing über E-Mail und Social-Media-Plattformen, Social Engineering und die Ausnutzung von Sicherheitslücken.

Am 16. Februar stellte das Microsoft 365 Defender Research Team fest, dass insbesondere Phishing seinen Weg in die Blockchain, Depot-Wallets und Smart Contracts gefunden hat – „was die Dauerhaftigkeit dieser Bedrohungen sowie die Notwendigkeit bestätigt, Sicherheitsgrundlagen in damit verbundene zukünftige Systeme und Frameworks einzubauen.“

Die Cybersicherheitsforscher von Microsoft sagen, dass Phishing-Angriffe, die sich auf Web3 und die Blockchain konzentrieren, verschiedene Formen annehmen können.

Eine der Bedrohungen, auf die man achten sollte, ist ein Angreifer, der versucht, die privaten kryptografischen Schlüssel für den Zugriff auf eine Geldbörse mit digitalen Vermögenswerten zu erhalten.

Während Phishing-Versuche per E-Mail durchaus vorkommen, sind Betrügereien über soziale Medien weit verbreitet. So können Betrüger beispielsweise Direktnachrichten an Nutzer senden, in denen sie öffentlich um Hilfe von einem Kryptowährungsdienst bitten – und unter dem Vorwand, von einem Support-Team zu sein, den Schlüssel verlangen.

Eine andere Taktik besteht darin, gefälschte Airdrops für kostenlose Token auf Social-Media-Websites zu starten. Wenn Benutzer versuchen, auf ihre neuen Vermögenswerte zuzugreifen, werden sie auf bösartige Domains umgeleitet, die entweder versuchen, Anmeldeinformationen zu stehlen oder Kryptojacking-Malware auf dem Computer des Opfers auszuführen.

Darüber hinaus sind Cyberkriminelle dafür bekannt, Typo-Squatting zu betreiben, um sich als legitime Blockchain- und Kryptowährungsdienste auszugeben. Sie registrieren Website-Domains mit kleinen Fehlern oder Änderungen – wie cryptocurency.com statt cryptocurrency.com – und richten Phishing-Websites ein, um Schlüssel direkt zu stehlen.

Ice-Phishing ist anders und ignoriert private Schlüssel völlig. Bei dieser Angriffsmethode wird versucht, ein Opfer dazu zu verleiten, eine Transaktion zu unterzeichnen, die die Genehmigung der Token eines Benutzers an einen Kriminellen übergibt.

Solche Transaktionen können in DeFi-Umgebungen und Smart Contracts verwendet werden, um beispielsweise einen Token-Tausch zu ermöglichen.

„Sobald die Genehmigungstransaktion unterzeichnet, eingereicht und miniert wurde, kann der Spender auf die Mittel zugreifen“, so Microsoft. „Im Falle eines Ice-Phishing-Angriffs kann der Angreifer über einen längeren Zeitraum Genehmigungen sammeln und dann alle Geldbörsen der Opfer schnell leeren.“

Das bekannteste Beispiel für Ice-Phishing ist der BadgerDAO-Angriff vom letzten Jahr. Angreifern gelang es, das Frontend von BadgerDAO zu kompromittieren, um Zugang zu einem Cloudflare-API-Schlüssel zu erhalten, woraufhin bösartige Skripte in den Badger-Smart-Contract eingespeist und wieder entfernt wurden.

Kunden mit hohen Guthaben wurden ausgewählt und aufgefordert, betrügerische Transaktionsgenehmigungen zu unterzeichnen. BadgerDAO sagte in einem Post-Mortem des Phishing-Angriffs, dass „das Skript Web3-Transaktionen abfing und die Benutzer aufforderte, einer ausländischen Adresse die Genehmigung zu erteilen, mit ERC-20-Tokens in ihrer Wallet zu arbeiten.“

„Nachdem eine Reihe von Genehmigungen gefälscht wurden, schickte ein Finanzierungskonto acht Ethereum Coins (ETH) an das Konto des Angreifers, um eine Reihe von transferFrom-Aufrufen für die genehmigten Token der Benutzer zu tätigen“, so BadgerDAO. „Dies ermöglichte es dem Angreifer, Gelder im Namen der Nutzer auf andere Konten zu verschieben, die dann die Gelder liquidierten und über die Badger Bridge in BTC umwandelten.“

Es wurden etwa 121 Millionen Dollar gestohlen. Eine Prüfung und ein Wiederherstellungsplan sind im Gange. „Der Badger-DAO-Angriff macht deutlich, wie wichtig es ist, die Sicherheit von Web3 zu erhöhen, solange es sich noch im Anfangsstadium der Entwicklung und Einführung befindet“, so Microsoft. „Wir empfehlen den Softwareentwicklern, die Sicherheit von Web3 zu erhöhen. In der Zwischenzeit müssen die Endbenutzer Informationen explizit durch zusätzliche Ressourcen überprüfen, wie z. B. die Projektdokumentation und externe Reputations-/Informations-Websites.“

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago