Übersicht
Kürzlich haben Web3-Phishing-Websites zahlreichen Nutzern Verluste in Millionenhöhe verursacht. Auf diesen Phishing-Websites unterzeichnen Nutzer unwissentlich Transaktionen, die die Übertragung ihrer Token auf Konten autorisieren, die von Betrügern kontrolliert werden. Um Nutzer vor Phishing-Angriffen zu schützen, haben viele Web3-Wallets einen Blacklist-Mechanismus implementiert, um Transaktionen mit bekannten Phishing-Konten proaktiv zu blockieren.
Nach unseren Beobachtungen hat sich diese Strategie jedoch als unwirksam beim Blockieren von Phishing-Konten erwiesen. Betrüger haben mehrere Methoden entwickelt, um diesen Sicherheitsmechanismus zu umgehen. Die erste Methode nutzt die Create2-Funktion, um die Adresse eines Phishing-Vertrags vorherzusagen und den Phishing-Vertrag dann nach erfolgreichem Token-Diebstahl bereitzustellen. Die zweite Methode besteht darin, täglich neue Phishing-Verträge bereitzustellen, und zwar in einer Rate, die schneller ist als die Aktualisierungen der Blacklist.
Bestehender Sicherheitsalarm-Mechanismus von Wallets
Der Sicherheitsalarm-Mechanismus innerhalb der Wallet umfasst Überprüfungen sowohl für Websites als auch für Konten. Derzeit unterhalten alle solchen Systeme Blacklists für Website-Domains und Konten. Wenn ein Nutzer eine Website besucht, prüft die Wallet, ob die Domain auf der Blacklist steht. Ist dies der Fall, wird der Zugriff auf die Website verweigert. Ebenso prüft die Wallet, bevor ein Nutzer eine Transaktion unterzeichnet, ob das an der Transaktion beteiligte Konto auf der Blacklist steht. Ist dies der Fall, wird die Transaktion blockiert, um den Nutzer an der Fortsetzung zu hindern. Diese Sicherheitsfunktionen werden beispielsweise durch Systeme wie MetaMask veranschaulicht.
Nutzung von Create2 zur Umgehung von Sicherheitsalarmen
Der Create2-Opcode in Ethereum ermöglicht die Vorhersage von Vertragsadressen vor deren tatsächlicher Bereitstellung. Dies geschieht anhand der Formel:
Adresse = Hash(Deployer-Adresse, Bytecode, Salt)
Mit der Adresse des Deployers, dem Bytecode des Vertrags und einem angegebenen Salt-Wert ist es möglich, die Vertragsadresse im Voraus zu bestimmen.
Offensichtlich können wir mit der Deployer-Adresse, dem Bytecode und einem Salt-Wert die Vertragsadresse vor der Bereitstellung vorhersagen. Auf der Phishing-Website werden Nutzer aufgefordert, ETH zu senden oder Token für eine Externally Owned Account (EOA) zu genehmigen, was durch Create2 vorhergesehen und nicht in der Blacklist steht. Anschließend, nach erfolgreichem Token-Diebstahl, werden die Phishing-Verträge bereitgestellt und die Token der Opfer auf ein anderes Konto zur weiteren Bearbeitung übertragen. Der gesamte Vorgang geschieht automatisch.
Hier ist ein Beispiel, demonstriert von Phalcon Explorer:
Die Phishing-Website fordert die Nutzer zunächst auf, Token an 0x0ddb zu genehmigen. Dann startet der Betrüger eine Phishing-Transaktion, die aus zwei internen Transaktionen besteht. Die erste interne Transaktion stellt den Phishing-Vertrag mittels Create2 bereit. Die zweite interne Transaktion ruft den Phishing-Vertrag auf, um die Token der Opfer zu übertragen.
Häufige Bereitstellung von Phishing-Verträgen zur Umgehung von Sicherheitsalarmen
Aufgrund der kurzen Zeitspanne zwischen der Bereitstellung von Phishing-Verträgen und der Aktualisierung der Blacklist können Betrüger diese Lücke ausnutzen, um Sicherheitsalarme zu umgehen. Dies erreichen sie, indem sie täglich neue Phishing-Verträge bereitstellen. Folglich sind diese Verträge, wenn Nutzer Phishing-Websites besuchen, noch nicht auf der Blacklist eingetragen und umgehen somit in bestimmten Wallets Alarme.
Hier ist ein Beispiel für einen Fall von Pink Drainer, illustriert durch Phalcon Explorer. Die Deploy-Funktion von 0x5d77 wird täglich aufgerufen, um neue Phishing-Verträge bereitzustellen.
Zusammenfassung
Entwickler von Phishing-Websites schaffen ständig neue Strategien, um die von Web3-Wallets eingesetzten Sicherheitserkennungsmechanismen zu umgehen. Wir bleiben wachsam und beobachten beharrlich deren neueste Taktiken. Wir fordern die Nutzer dringend auf, Vorsicht walten zu lassen und Transaktionsdetails sorgfältig zu prüfen, bevor sie Transaktionen unterzeichnen.
Verwandte Lektüre
- Wie Sie vermeiden, ein Web3-Phishing-Opfer zu werden
- Was soll ich tun, wenn meine Krypto-Assets gestohlen wurden?
Über BlockSec
BlockSec ist ein Pionier im Bereich der Blockchain-Sicherheit, das 2021 von einer Gruppe weltweit renommierter Sicherheitsexperten gegründet wurde. Das Unternehmen engagiert sich für die Verbesserung der Sicherheit und Benutzerfreundlichkeit der aufkommenden Web3-Welt, um deren Massenadoption zu ermöglichen. Zu diesem Zweck bietet BlockSec Dienstleistungen für die Sicherheitsprüfung von Smart Contracts und EVM-Ketten, die Phalcon-Plattform für die proaktive Sicherheitsentwicklung und Bedrohungsabwehr, die MetaSleuth-Plattform für die Nachverfolgung von Geldern und Untersuchungen sowie die MetaSuites-Erweiterung für Web3-Entwickler, die effizient in der Krypto-Welt navigieren.
Bis heute hat das Unternehmen über 300 angesehene Kunden wie MetaMask, Uniswap Foundation, Compound, Forta und PancakeSwap betreut und in zwei Finanzierungsrunden von namhaften Investoren, darunter Matrix Partners, Vitalbridge Capital und Fenbushi Capital, zweistellige Millionenbeträge erhalten.
Offizielle Website: https://blocksec.com/
Offizielles Twitter-Konto: https://twitter.com/BlockSecTeam
