Die Forschungsarbeit wurde auf der SIGMETRICS 2025, einer der wichtigsten Informatikkonferenzen, angenommen, und wir haben unseren Datensatz unter https://github.com/blocksecteam/phishing_contract_sigmetrics25 veröffentlicht.
Seit dem Aufstieg des dezentralen Finanzwesens (DeFi) hat Ethereum erhebliche Investitionen von Kapital und Nutzern angezogen. Dieses Wachstum wurde jedoch von einem Anstieg der Phishing-Angriffe begleitet, was zu erheblichen Nutzerverlusten führte. Um einer Entdeckung zu entgehen, verlassen sich die Betrüger nicht mehr nur auf Externally Owned Accounts (EOAs). Stattdessen haben sie sich auf den Einsatz von Smart Contracts verlegt.
Sich entwickelnde Phishing-Taktiken: Von EOAs zu Phishing-Verträgen
Hauptmerkmale von Phishing-Verträgen
In der Vergangenheit haben Betrüger Nutzer dazu verleitet, Transaktionen zu unterzeichnen, die ETH oder Token direkt an ihre EOAs senden. Doch diese Taktik ist inzwischen leicht zu erkennen: Wallets wie MetaMask und Coinbase warnen Nutzer nun davor, Geld an bekannt bösartige EOAs zu senden.
Als Reaktion darauf verwenden Betrüger jetzt Phishing-Verträge, um das Verhalten legitimer Projekte zu imitieren und die Absicht zu verschleiern. Anstatt Vermögenswerte direkt an die EOA eines Angreifers zu überweisen, werden die Opfer dazu verleitet, Transaktionen zu unterzeichnen, die mit bösartigen Verträgen interagieren, und so die Kontrolle über ihre Token zu übergeben, ohne es zu merken.
Ein Betrugsszenario mit einem Phishing-Vertrag] (https://blocksec-static-resources.s3.us-east-1.amazonaws.com/assets/frontend/blocksec-strapi-online/image_1a60795411.png)
Diese Phishing-Verträge enthalten oft:
- Täuschende zahlungspflichtige Funktionen wie Claim oder SecurityUpdate, die Benutzer dazu verleiten, ETH zu senden.
- Multicall-Funktionen, mit denen mehrere Token-Transfers zu einer einzigen Transaktion zusammengefasst werden - ideal, um ERC20-Token oder NFTs abzuschöpfen, nachdem ein Nutzer unwissentlich seine Zustimmung erteilt hat.
Erkennung von Phishing-Verträgen
Um die Erkennung von Phishing-Verträgen in großem Umfang zu ermöglichen, haben wir ein System entwickelt, das verdächtige Funktionsselektoren aus dem Bytecode der Verträge extrahiert, Transaktionen simuliert und die Ergebnisse analysiert. Mit diesem Ansatz konnten wir 37.654 Phishing-Verträge identifizieren, die zwischen dem 29. Dezember 2022 und dem 1. Januar 2025 eingesetzt wurden.
Verteilung der Nutzerverluste
Phishing-Verträge haben zu erheblichen Nutzerverlusten geführt. Zwischen dem 29. Dezember 2022 und dem 8. Januar 2025 entdeckten wir 211.319 Phishing-Transaktionen, von denen 171.984 Opfer betroffen waren, mit einem Gesamtschaden von 190,7 Millionen US-Dollar. Bemerkenswert ist, dass 89,9 % der Opfer weniger als 1.000 Dollar verloren. Viele Benutzer fielen mehrfach auf Phishing-Betrügereien herein, oft aufgrund von nicht widerrufenen Token-Genehmigungen oder der wiederholten Unterzeichnung bösartiger Transaktionen. Unter ihnen sind weniger erfahrene Web3-Nutzer besonders gefährdet.
Verteilung der Kontoverluste der Opfer und der verlorenen Token-Typen](https://blocksec-static-resources.s3.us-east-1.amazonaws.com/assets/frontend/blocksec-strapi-online/image_1_b59c567837.png)
Verteilung von Phishing-Verträgen
Die meisten Phishing-Verträge (86,5 %) haben sowohl "leere" Zahlungsfunktionen als auch Multicall-Funktionen, um auf verschiedene Token-Typen abzuzielen. 70,9 % von ihnen brachten weniger als 1.000 US-Dollar ein, und 96,2 % blieben weniger als einen Tag lang aktiv. Betrüger setzen schnell neue Verträge ein, um die Kontokennzeichnungsmechanismen zu umgehen.
Verteilung von Phishing-Verträgen und Gewinnen](https://blocksec-static-resources.s3.us-east-1.amazonaws.com/assets/frontend/blocksec-strapi-online/image_1_b59c567837.png)
Verteilung von Vertragsverteilern
Neun Konten stellen 91,1 % aller Phishing-Verträge bereit. Die Betrüger verwenden häufig die von den Opfern gestohlenen Token, um die Bereitstellung neuer Phishing-Verträge zu finanzieren. Bemerkenswert ist, dass acht dieser neun Hauptverteiler Verbindungen zu Finanzströmen aufweisen, was darauf hindeutet, dass sie als koordinierte Phishing-Gruppe agieren. Zusammen haben sie 85,7 % aller Phishing-Verträge in Umlauf gebracht.
Methoden zur Eindämmung von Phishing-Verträgen
Unsere Arbeit zeigt die weite Verbreitung von Phishing-Verträgen auf Ethereum und die beträchtlichen Verluste, die sie den Nutzern verursacht haben. Daher schlagen wir praktische und effektive Strategien vor, um Nutzer vor diesen Bedrohungen zu schützen.
Was können Nutzer tun?
Nutzerperspektive. Wenn Nutzer auf eine dezentrale Anwendung zugreifen und Dienste anfordern, sollten sie die Website genau prüfen, einschließlich der URL, der Hauptseite, der Unterlinks, der Twitter- und Discord-Links. Bevor sie eine Transaktion unterschreiben, sollten sie die Transaktionsdetails sorgfältig prüfen, einschließlich der Parameter für den Konto- und Funktionsaufruf. Außerdem können sie das Adressetikett auf Etherscan überprüfen, um festzustellen, ob es sich um ein offizielles Konto handelt.
Was können Dienstanbieter tun?
Dienstanbieter - einschließlich CEXs, DEXs, Wallets, Wallets, PayFi-Plattformen, Stablecoins und Bridges - sollten aktiv Listen von Phishing-Websites und -Konten pflegen und aktualisieren, um Nutzer vor potenziellen Bedrohungen zu schützen. Wenn festgestellt wird, dass bestimmte Konten Phishing-Verträge auf ihren Plattformen einsetzen, sollten diese Anbieter den Zugang zu ihren Diensten einschränken oder verweigern. Die inhärente Anonymität von Blockchains und die Komplexität der Interaktionen auf der Kette - insbesondere bei kettenübergreifenden Aktivitäten - stellen die Institute jedoch vor erhebliche Herausforderungen bei der Durchführung wirksamer Risikobewertungen.
Um diese Herausforderungen zu bewältigen, haben wir diese Forschungsergebnisse in die Phalcon Compliance APP integriert. Diese Plattform nutzt eine umfangreiche Echtzeit-Datenbank mit über 400 Millionen Adressetiketten, eine unbegrenzte Rückverfolgung von Transaktionssprüngen und eine KI-gestützte Verhaltensanalyse-Engine. Mit diesen Fähigkeiten ermöglicht es die APP den Instituten, Phishing-Adressen und verdächtige Unternehmen, die mit ihnen interagieren, schnell zu identifizieren.
Neben Phishing-Adressen erkennt [die Phalcon Compliance APP] (https://blocksec.com/phalcon/compliance) auch andere risikobehaftete Entitäten wie Angreifer, sanktionierte Entitäten, Mischer, Geldwäscher und Dark Webs sowie verdächtige Verhaltensweisen wie hochfrequente Überweisungen, große Überweisungen und Transitadressen. Wenn illegale Aktivitäten aufgedeckt werden, benachrichtigt die APP die Institute umgehend über sieben verschiedene Kanäle, damit sie sofort reagieren können. Darüber hinaus bietet die APP eine Reihe von Funktionen, wie z. B. das Delegieren von Aufgaben, das Hinzufügen von Kommentaren, das Erstellen von schwarzen Listen und das Erstellen von Berichten über verdächtige Transaktionen (STRs) mit einem Klick. Zusammen bieten diese Tools eine umfassende Lösung zur Identifizierung und Minderung von Risiken bei gleichzeitiger Vereinfachung der Compliance-Workflows.
🔥 Erleben Sie es heute!
Verpassen Sie es nicht - buchen Sie jetzt eine Produktdemo (https://blocksec.com/book-demo) der Phalcon Compliance APP! Planen Sie Ihre Demo in nur 10 Sekunden. Die ersten 30 Benutzer, die sich anmelden, erhalten eine zeitlich begrenzte kostenlose Testversion!
🔗 Buchen Sie eine Demo: https://blocksec.com/book-demo
