Daten von Etherscan zeigen, dass einige Krypto-Betrüger Benutzer mit einem neuen Trick angreifen, der es ihnen ermöglicht, eine Transaktion aus der Brieftasche des Opfers zu bestätigen, ohne jedoch den privaten Schlüssel des Opfers zu haben. Der Angriff kann nur für Transaktionen mit einem Wert von 0 durchgeführt werden. Es kann jedoch dazu führen, dass einige Benutzer versehentlich Token an den Angreifer senden, wenn sie aus einem gekaperten Transaktionsverlauf ausschneiden und einfügen.
Blockchain-Sicherheitsfirma SlowMist entdeckt die neue Technik im Dezember und enthüllte sie in einem Blogbeitrag. Seitdem haben sowohl SafePal als auch Etherscan Minderungstechniken eingeführt, um die Auswirkungen auf Benutzer zu begrenzen, aber einige Benutzer sind sich seiner Existenz möglicherweise immer noch nicht bewusst.
Kürzlich haben wir von der Community Berichte über eine neue Art von Betrug erhalten: Zero Transfer Scam. Seien Sie vorsichtig, wenn Sie verdächtige 0-Transfers in Ihrem Wallet-Datensatz sehen:
1/10
– Veronika (@V_SafePal) 14. Dezember 2022
Laut dem Beitrag von SlowMist funktioniert der Betrug, indem er eine Transaktion von Null-Token aus der Brieftasche des Opfers an eine Adresse sendet, die einer Adresse ähnelt, an die das Opfer zuvor Token gesendet hat.
Wenn das Opfer beispielsweise 100 Coins an eine Börseneinzahlungsadresse gesendet hat, kann der Angreifer null Coins aus der Brieftasche des Opfers an eine Adresse senden, die ähnlich aussieht, sich aber tatsächlich unter der Kontrolle des Angreifers befindet. Das Opfer kann diese Transaktion in seinem Transaktionsverlauf sehen und daraus schließen, dass die angezeigte Adresse die richtige Einzahlungsadresse ist. Dadurch können sie ihre Coins direkt an den Angreifer senden.
Senden einer Transaktion ohne Erlaubnis des Eigentümers
Unter normalen Umständen benötigt ein Angreifer den privaten Schlüssel des Opfers, um eine Transaktion aus der Brieftasche des Opfers zu senden. Aber die „Contract Tab“-Funktion von Etherscan zeigt, dass es in einigen Token-Verträgen eine Lücke gibt, die es einem Angreifer ermöglichen kann, eine Transaktion von jedem beliebigen Wallet aus zu senden.
Zum Beispiel der Code für USD Coin (USDC) auf Etherscan erklärt dass die „TransferFrom“-Funktion es jeder Person ermöglicht, Coins aus der Wallet einer anderen Person zu verschieben, solange die Menge an Coins, die sie senden, kleiner oder gleich der Menge ist, die vom Besitzer der Adresse erlaubt ist.
Dies bedeutet normalerweise, dass ein Angreifer keine Transaktion von der Adresse einer anderen Person aus durchführen kann, es sei denn, der Eigentümer genehmigt eine Erlaubnis für sie.
Allerdings gibt es eine Lücke in dieser Einschränkung. Der zulässige Betrag ist als Zahl definiert (als „uint256-Typ“ bezeichnet), was bedeutet, dass er als Null interpretiert wird, es sei denn, er ist ausdrücklich auf eine andere Zahl festgelegt. Dies ist in der Funktion „Zuschuss“ ersichtlich.
Solange der Wert der Transaktion des Angreifers kleiner oder gleich Null ist, kann er folglich eine Transaktion von absolut jeder beliebigen Wallet aus senden, ohne den privaten Schlüssel oder die vorherige Genehmigung des Eigentümers zu benötigen.
USDC ist nicht das einzige Token, das dies ermöglicht. Ein ähnlicher Code ist in den meisten Token-Verträgen zu finden. Es kann sogar sein gefunden in den Beispielverträgen, die von der offiziellen Website der Ethereum Foundation verlinkt sind.
Beispiele für den Betrug mit der Nullwertübertragung
Etherscan zeigt, dass einige Wallet-Adressen täglich Tausende von Transaktionen ohne Wert von den Wallets verschiedener Opfer ohne deren Zustimmung senden.
Beispielsweise hat ein Konto mit der Bezeichnung Fake_Phishing7974 einen nicht verifizierten Smart Contract verwendet, um ausführen mehr als 80 Bündel von Transaktionen am 12. Januar, mit jedem Bündel mit 50 Nullwert-Transaktionen für insgesamt 4,000 nicht autorisierte Transaktionen an einem Tag.
Irreführende Adressen
Ein genauerer Blick auf jede einzelne Transaktion offenbart ein Motiv für diesen Spam: Der Angreifer sendet Nullwert-Transaktionen an Adressen, die denen sehr ähnlich sehen, an die die Opfer zuvor Geld gesendet haben.
Beispielsweise zeigt Etherscan, dass eine der Benutzeradressen, auf die der Angreifer abzielt, die folgende ist:
0x20d7f90d9c40901488a935870e1e80127de11d74.
Am 29. Januar autorisierte dieses Konto den Versand von 5,000 Tether (USDT) an diese Empfangsadresse:
0xa541efe60f274f813a834afd31e896348810bb09.
Unmittelbar danach schickte Fake_Phishing7974 eine Nullwert-Transaktion aus der Brieftasche des Opfers an diese Adresse:
0xA545c8659B0CD5B426A027509E55220FDa10bB09.
Die ersten fünf Zeichen und die letzten sechs Zeichen dieser beiden Empfangsadressen sind genau gleich, aber die Zeichen in der Mitte sind alle völlig unterschiedlich. Der Angreifer könnte beabsichtigt haben, dass der Benutzer USDT an diese zweite (falsche) Adresse anstelle der echten Adresse sendet und dem Angreifer seine Coins gibt.
In diesem speziellen Fall scheint der Betrug nicht funktioniert zu haben, da Etherscan keine Transaktionen von dieser Adresse zu einer der vom Betrüger erstellten gefälschten Adressen anzeigt. Aber angesichts des Volumens der Nullwert-Transaktionen, die von diesem Konto getätigt werden, könnte der Plan in anderen Fällen funktioniert haben.
Wallets und Block-Explorer können sich erheblich darin unterscheiden, wie oder ob sie irreführende Transaktionen anzeigen.
Börsen
Einige Brieftaschen zeigen die Spam-Transaktionen möglicherweise überhaupt nicht an. Zum Beispiel zeigt MetaMask keinen Transaktionsverlauf, wenn es neu installiert wird, selbst wenn das Konto selbst Hunderte von Transaktionen in der Blockchain hat. Dies impliziert, dass es seinen eigenen Transaktionsverlauf speichert, anstatt die Daten aus der Blockchain zu ziehen. Dies sollte verhindern, dass die Spam-Transaktionen im Transaktionsverlauf der Brieftasche angezeigt werden.
Zieht das Wallet hingegen Daten direkt aus der Blockchain, können die Spam-Transaktionen im Display des Wallets auftauchen. In einer Ankündigung vom 13. Dezember auf Twitter sagte SafePal-CEO Veronica Wong gewarnt SafePal-Benutzern, dass ihre Brieftasche die Transaktionen anzeigen kann. Um dieses Risiko zu mindern, sagte sie, dass SafePal die Art und Weise ändert, wie Adressen in neueren Versionen seiner Brieftasche angezeigt werden, um es den Benutzern zu erleichtern, Adressen zu überprüfen.
(6/10) Daraufhin haben wir Maßnahmen ergriffen:
1) Im neuesten V3.7.3-Update haben wir die Länge der im Transaktionsverlauf angezeigten Wallet-Adresse angepasst. Zur Adressprüfung werden standardmäßig die ersten und letzten 10 Ziffern der Wallet-Adresse angezeigt– Veronika (@V_SafePal) 14. Dezember 2022
Im Dezember berichtete ein Benutzer auch, dass seine Trezor-Wallet war Anzeige irreführende Transaktionen.
Cointelegraph wandte sich per E-Mail an den Trezor-Entwickler SatoshiLabs mit der Bitte um Stellungnahme. Als Antwort erklärte ein Vertreter, dass die Brieftasche ihren Transaktionsverlauf direkt aus der Blockchain zieht, „jedes Mal, wenn Benutzer ihre Trezor-Brieftasche einstecken“.
Das Team unternimmt jedoch Schritte, um die Benutzer vor dem Betrug zu schützen. In einem bevorstehenden Update der Trezor Suite wird die Software „die verdächtigen Transaktionen mit Nullwert kennzeichnen, damit Benutzer darauf aufmerksam gemacht werden, dass solche Transaktionen möglicherweise betrügerisch sind“. Das Unternehmen erklärte auch, dass die Brieftasche immer die vollständige Adresse jeder Transaktion anzeigt und dass sie „den Benutzern dringend empfehlen, immer die vollständige Adresse zu überprüfen, nicht nur die ersten und letzten Zeichen“.
Blockentdecker
Abgesehen von Wallets sind Block-Explorer eine weitere Art von Software, die zum Anzeigen des Transaktionsverlaufs verwendet werden kann. Einige Explorer zeigen diese Transaktionen möglicherweise so an, dass Benutzer versehentlich irregeführt werden, genau wie es einige Wallets tun.
Um dieser Bedrohung entgegenzuwirken, hat Etherscan damit begonnen, Token-Transaktionen mit Nullwert, die nicht vom Benutzer initiiert wurden, auszugrauen. Es kennzeichnet diese Transaktionen auch mit einer Warnung, die besagt: „Dies ist eine Nullwert-Token-Übertragung, die von einer anderen Adresse initiiert wurde“, wie das folgende Bild zeigt.
Andere Block-Explorer haben möglicherweise die gleichen Schritte wie Etherscan unternommen, um Benutzer vor diesen Transaktionen zu warnen, aber einige haben diese Schritte möglicherweise noch nicht implementiert.
Tipps zur Vermeidung des „Nullwert-TransferFrom“-Tricks
Cointelegraph wandte sich an SlowMist, um Ratschläge zu erhalten, wie man vermeiden kann, dem „Nullwert-TransferFrom“-Trick zum Opfer zu fallen.
Ein Vertreter des Unternehmens gab Cointelegraph eine Liste mit Tipps, wie man vermeiden kann, Opfer des Angriffs zu werden:
- „Seien Sie vorsichtig und überprüfen Sie die Adresse, bevor Sie Transaktionen ausführen.“
- „Nutzen Sie die Whitelist-Funktion in Ihrer Brieftasche, um zu verhindern, dass Geld an die falschen Adressen gesendet wird.“
- „Bleiben Sie wachsam und informiert. Wenn Sie auf verdächtige Überweisungen stoßen, nehmen Sie sich die Zeit, die Angelegenheit in Ruhe zu untersuchen, um nicht Opfer von Betrügern zu werden.“
- „Bewahren Sie eine gesunde Skepsis, bleiben Sie immer vorsichtig und wachsam.“
Nach diesem Ratschlag zu urteilen, ist das Wichtigste, woran Kryptobenutzer denken sollten, immer die Adresse zu überprüfen, bevor sie Krypto dorthin senden. Auch wenn der Transaktionsdatensatz darauf hinzudeuten scheint, dass Sie zuvor Krypto an die Adresse gesendet haben, kann dieser Anschein täuschen.
Quelle: https://cointelegraph.com/news/scammers-are-targeting-crypto-users-with-new-zero-value-transferfrom-trick