Umfassende Analyse von Hackerangriffen mit Wallet-Drainern im Web3
In letzter Zeit setzen immer mehr Betrüger auf Drainer-Toolkits, um Web3-Phishing-Websites zu erstellen. Diese Phishing-Websites fordern Nutzer automatisch dazu auf, ihre Wallet zu verbinden, scannen deren wertvolle Token und generieren Phishing-Transaktionen. Anfänglich bewarben die Betrüger diese Phishing-Seiten direkt auf Social-Media-Plattformen. Da Web3-Nutzer jedoch zunehmend vorsichtiger werden, ist es für Angreifer schwierig geworden, auf diese Weise Gewinne zu erzielen. Inzwischen haben die Drainer ihre Taktik geändert und greifen vermehrt bekannte Projekte, Discord-Server, Twitter-Konten, E-Mail-Datenbanken, offizielle Websites und die Software-Lieferkette an. Sie nutzen den Traffic und das Vertrauen dieser Plattformen aus, um Phishing-Websites in großem Stil zu verbreiten. Infolgedessen haben diese Hackerangriffe zu erheblichen Verlusten für die Nutzer geführt. Die unten stehende Tabelle fasst verschiedene Hackerangriffe und die damit verbundenen Wallet-Drainer zusammen. In diesem Blog erläutern wir die von Hackern verwendeten Methoden und möchten das Bewusstsein der Nutzer für diese Taktiken schärfen.
Hackerangriffe und zugehörige Angreifer auf verschiedene Plattformen und Datenbanken
| Angriffsziele | Zugehörige Drainer | Beispiele |
|---|---|---|
| Discord-Server | Pink Drainer | Pika Protocol Evmos Orbiter Finance Cherry Network |
| Twitter-Konto | Pink Drainer | DJ Steve Aoki OpenAI CTO Slingshot UniSat |
| Offizielle Website | Angel Drainer | Galxe Balancer Frax Finance |
| Software-Lieferkette | Angel Drainer | Ledger Connect Kit |
| E-Mail-Datenbank | Pink Drainer | MailerLite-Datenbank |
Abschnitt 1: Hackerangriff auf einen Discord-Server
Am 31. Mai 2023 wurde das Discord-Konto von Pika Protocol gehackt. Eine von Pink Drainer bereitgestellte Phishing-Website wurde innerhalb der offiziellen Discord-Gruppe verbreitet. Eine nachträgliche Analyse ergab, dass der Discord-Server-Administrator dazu gebracht wurde, eine betrügerische Website zu besuchen, die ein schädliches JavaScript-Snippet enthielt. Der Administrator wurde dann durch Aktionen wie das Klicken auf Schaltflächen oder das Hinzufügen von Lesezeichen dazu verleitet, den Code auszuführen. Danach wurde das Discord-Token gestohlen. Mehrere bekannte Web3-Projekte erlebten in diesem Zeitraum ähnliche Hackerangriffe.
Abschnitt 2: Hackerangriff auf ein Twitter-Konto
Am 26. Mai 2023 wurde das Twitter-Konto von Steve Aoki kompromittiert und veröffentlichte eine Nachricht mit einer Phishing-Website, was bei Kryptoinvestoren zu Verlusten von 170.000 US-Dollar führte. Transaktionen der Opferkonten deuteten auf eine Verbindung zu Pink Drainer hin. Eine weitere Untersuchung der Transaktionen des Phishing-Kontos ergab, dass der Twitter-Account-Einbruch das Ergebnis eines SIM-Swap-Angriffs war. Bei einem SIM-Swap-Angriff nutzt der Betrüger Social-Engineering-Methoden und oft personenbezogene Daten der Opfer, um die Telefongesellschaft davon zu überzeugen, die Telefonnummer des Opfers auf die SIM-Karte des Betrügers zu übertragen. Sobald dies gelungen ist, kann der Betrüger die Kontrolle über das Twitter-Konto des Opfers übernehmen. Ähnliche Hackerangriffe ereigneten sich auch bei den Twitter-Konten des OpenAI-CTOs, von Slingshot und Vitalik Buterin, die allesamt mit Pink Drainer in Verbindung stehen.
Abschnitt 3: Hackerangriff auf eine offizielle Website
Am 6. Oktober 2023 wurde die offizielle Website von Galxe auf eine Phishing-Website umgeleitet, was zu einem finanziellen Verlust von 270.000 US-Dollar für die Opfer führte. Laut der offiziellen Erklärung gab sich eine unbekannte Person als autorisierter Galxe-Vertreter aus und kontaktierte den Domain-Dienstanbieter mit der Bitte, die Anmeldedaten zurückzusetzen. Konkret reichte der Betrüger gefälschte Unterlagen beim Domain-Dienstanbieter ein, umging erfolgreich dessen Sicherheitsverfahren und erlangte unbefugten Zugriff auf das Domain-Konto. Die Transaktion des Opferkontos ergab zudem, dass dieser Vorfall von Angel Drainer initiiert wurde. Darüber hinaus fielen auch Balancer und Frax Finance ähnlichen Hackerangriffen durch Angel Drainer zum Opfer.
Abschnitt 4: Hackerangriff auf die Software-Lieferkette
Am 14. Dezember 2023 wurde von Ledger ein Exploit im Ledger Connect Kit entdeckt, einer JavaScript-Bibliothek, die Verbindungen zwischen Websites und Wallets erleichtern soll. Der Exploit trat auf, weil ein ehemaliger Mitarbeiter Ziel eines Phishing-Angriffs wurde, wodurch es einem böswilligen Akteur ermöglicht wurde, eine schädliche Datei in das NPMJS-Repository von Ledger hochzuladen. Die kompromittierte Bibliothek ermöglichte es Hackern, ein schädliches Skript auf diesen beliebten Kryptowährungs-Websites einzuschleusen. Infolgedessen wurden Nutzer möglicherweise dazu aufgefordert, eine Phishing-Transaktion mit Phishing-Konten zu signieren. Mehr als 600.000 US-Dollar wurden von Nutzern verschiedener Kryptoplattformen gestohlen, darunter SushiSwap und Revoke.cash. Zudem deuteten die Transaktionsaufzeichnungen des Phishing-Kontos darauf hin, dass dieser Vorfall von Angel Drainer initiiert wurde.
Abschnitt 5: Hackerangriff auf eine E-Mail-Datenbank
Am 23. Januar 2024 wurden zahlreiche E-Mails von den offiziellen Konten von WalletConnect, Token Terminal und De.Fi versendet, die jeweils schädliche Links zu Wallet-Drainern von Pink Drainer enthielten. Dies geschah, weil deren E-Mail-Dienstleister, MailerLite, durch einen Social-Engineering-Angriff kompromittiert worden war. Ein Teammitglied klickte versehentlich auf ein Bild, das mit einer betrügerischen Google-Anmeldeseite verknüpft war, und gewährte den Angreifern so Zugriff auf das interne Admin-Panel von MailerLite. Anschließend weiteten die Hacker ihre Kontrolle aus, indem sie das Passwort eines bestimmten Nutzers über das Admin-Panel zurücksetzten, was zum Leak der E-Mail-Datenbank und zur Verbreitung der Phishing-Mails führte.
Stärkung des Nutzerbewusstseins und der Abwehr gegen Drainer-bezogene Hacks im Web3
Die Entwickler von Wallet-Drainern entwickeln ständig neue Methoden, um in prominente Projekte einzudringen und Phishing-Websites über deren Traffic zu verbreiten. Wir bleiben wachsam und beobachten kontinuierlich Phishing-Konten und die damit verbundenen Transaktionen. Wir ermutigen Nutzer dazu, vorsichtig zu sein und die Transaktionsdetails sorgfältig zu prüfen, bevor sie weitere Schritte unternehmen. Dieser Blog möchte Nutzern dabei helfen, die Methoden hinter den Hackerangriffen zu verstehen und sich vor Drainer-bezogenen Phishing-Transaktionen zu schützen.
Über BlockSec
BlockSec ist ein zukunftsweisendes Blockchain-Sicherheitsunternehmen, das 2021 von einer Gruppe weltweit anerkannter Sicherheitsexperten gegründet wurde. Das Unternehmen engagiert sich für die Verbesserung der Sicherheit und Benutzerfreundlichkeit in der aufstrebenden Web3-Welt, um deren Massenadaption zu erleichtern. Zu diesem Zweck bietet BlockSec Sicherheitsaudits für Smart Contracts und EVM-Ketten, die Phalcon Security-Plattform für die Sicherheitsentwicklung und proaktive Abwehr von Bedrohungen, die MetaSleuth-Plattform zur Verfolgung und Untersuchung von Geldern sowie die MetaSuites-Erweiterung für Web3-Entwickler, um effizient in der Kryptowelt zu agieren.
Bis heute hat das Unternehmen mehr als 300 geschätzte Kunden wie MetaMask, die Uniswap Foundation, Compound, Forta und PancakeSwap betreut und zweistellige Millionenbeträge in zwei Finanzierungsrunden von namhaften Investoren wie Matrix Partners, Vitalbridge Capital und Fenbushi Capital erhalten.
Offizielle Website: https://blocksec.com
Offizielles Twitter-Konto: https://twitter.com/BlockSecTeam
