Übersicht
In jüngster Zeit haben Web3-Phishing-Webseiten Verluste in Millionenhöhe für zahlreiche Nutzer verursacht. Auf diesen Phishing-Webseiten unterschreiben Nutzer unwissentlich Transaktionen, die ihre Token für den Transfer an von Betrügern kontrollierte Konten autorisieren. Um Nutzer vor Phishing-Angriffen zu schützen, haben viele Web3-Wallets einen Mechanismus zur schwarzen Liste (Blacklist) implementiert, um Transaktionen mit bekannten Phishing-Konten proaktiv zu blockieren.
Unseren Beobachtungen zufolge hat sich diese Strategie jedoch als ineffektiv erwiesen, um Phishing-Konten zu blockieren. Betrüger haben verschiedene Methoden entwickelt, um diesen Sicherheitsmechanismus zu umgehen. Die erste Methode besteht darin, die Create2-Funktion zu verwenden, um die Adresse eines Phishing-Vertrags vorherzusagen und den Phishing-Vertrag erst nach dem erfolgreichen Diebstahl der Token bereitzustellen. Die zweite Methode besteht darin, täglich neue Phishing-Verträge in einer Geschwindigkeit bereitzustellen, die die Aktualisierungen der Blacklist übersteigt.
Bestehender Sicherheitswarnmechanismus von Wallets
Der Sicherheitswarnmechanismus innerhalb der Wallet umfasst Prüfungen sowohl für Webseiten als auch für Konten. Derzeit pflegen alle diese Systeme Blacklists für Webseitendomains und Konten. Wenn ein Nutzer eine Webseite besucht, prüft die Wallet, ob die Domain auf der Blacklist steht. Ist dies der Fall, wird der Zugriff auf die Webseite verweigert. Ebenso überprüft die Wallet vor dem Signieren einer Transaktion durch den Nutzer, ob das an der Transaktion beteiligte Konto auf der schwarzen Liste steht. Ist dies der Fall, wird die Transaktion blockiert, um den Nutzer am Fortfahren zu hindern. Diese Sicherheitsfunktionen werden beispielhaft von Systemen wie MetaMask umgesetzt.
Nutzung von Create2 zur Umgehung von Sicherheitswarnungen
Der Create2-Opcode in Ethereum ermöglicht die Vorhersage von Vertragsadressen vor deren tatsächlicher Bereitstellung. Dies wird unter Verwendung der folgenden Formel erreicht:
address = hash(deployer address, bytecode, salt)Mit der Adresse des Bereitstellers (Deployer), dem Bytecode des Vertrags und einem festgelegten Salt-Wert ist es möglich, die Vertragsadresse im Voraus zu bestimmen.
Offensichtlich können wir mit der Adresse des Bereitstellers, dem Bytecode und einem Salt-Wert die Vertragsadresse vor der Bereitstellung vorhersagen. Auf der Phishing-Webseite werden Nutzer aufgefordert, ETH zu senden oder Token für ein Externally Owned Account (EOA) freizugeben, das mittels Create2 antizipiert wird und nicht auf der Blacklist steht. Nach dem erfolgreichen Diebstahl der Token werden anschließend die Phishing-Verträge bereitgestellt und die Token der Opfer zur weiteren Verarbeitung auf ein anderes Konto übertragen. Der gesamte Prozess läuft automatisch ab.
Hier ist ein Beispiel, das vom Phalcon Explorer demonstriert wird:
Die Phishing-Webseite fordert Nutzer zunächst auf, Token für 0x0ddb freizugeben. Dann startet der Betrüger eine Phishing-Transaktion, die aus zwei internen Transaktionen besteht. Die erste interne Transaktion stellt den Phishing-Vertrag unter Verwendung von Create2 bereit. Die zweite interne Transaktion ruft den Phishing-Vertrag auf, um die Token der Opfer zu übertragen.
Häufige Bereitstellung von Phishing-Verträgen zur Umgehung von Sicherheitswarnungen
Aufgrund der kurzen Zeitspanne zwischen der Bereitstellung von Phishing-Verträgen und der Aktualisierung der Blacklists können Betrüger diese Lücke ausnutzen, um Sicherheitswarnungen zu umgehen. Sie erreichen dies, indem sie täglich neue Phishing-Verträge bereitstellen. Wenn Nutzer Phishing-Webseiten besuchen, sind diese Verträge folglich noch nicht auf der schwarzen Liste und entgehen so den Warnungen in bestimmten Wallets.
Hier ist ein Beispielfall von Pink Drainer, illustriert durch den Phalcon Explorer. Die Deploy-Funktion von 0x5d77 wird täglich aufgerufen, um neue Phishing-Verträge bereitzustellen.
Zusammenfassung
Die Entwickler von Phishing-Webseiten erstellen ständig neue Strategien, um die von Web3-Wallets eingesetzten Sicherheitserkennungsmechanismen zu umgehen. Wir bleiben wachsam und beobachten ständig ihre neuesten Taktiken. Wir fordern die Nutzer dringend auf, Vorsicht walten zu lassen und die Transaktionsdetails genau zu prüfen, bevor sie Transaktionen signieren.
Weiterführende Literatur
- So vermeiden Sie es, ein Opfer von Web3-Phishing zu werden
- Was soll ich tun, wenn meine Krypto-Assets gestohlen wurden?
Über BlockSec
BlockSec ist ein wegweisendes Blockchain-Sicherheitsunternehmen, das 2021 von einer Gruppe weltweit anerkannter Sicherheitsexperten gegründet wurde. Das Unternehmen engagiert sich dafür, die Sicherheit und Benutzerfreundlichkeit für die aufstrebende Web3-Welt zu verbessern, um deren Massenadoption zu erleichtern. Zu diesem Zweck bietet BlockSec Sicherheitsprüfungen für Smart Contracts und EVM-Chains, die Phalcon -Plattform für Sicherheitsentwicklung und proaktive Bedrohungsabwehr, die MetaSleuth -Plattform zur Verfolgung und Untersuchung von Geldern sowie die MetaSuites -Erweiterung für Web3-Entwickler, die effizient durch die Kryptowelt surfen möchten.
Bis heute hat das Unternehmen über 300 geschätzte Kunden wie MetaMask, Uniswap Foundation, Compound, Forta und PancakeSwap betreut und zweistellige Millionenbeträge in US-Dollar in zwei Finanzierungsrunden von bedeutenden Investoren wie Matrix Partners, Vitalbridge Capital und Fenbushi Capital erhalten.
Offizielle Webseite: https://blocksec.com/
Offizieller Twitter-Account: https://twitter.com/BlockSecTeam
