Was ist Phishing in Web3?
Da Nutzer über Blockchain-Transaktionen Token handeln, ist eine neue Form von Phishing-Betrug aufgetaucht. Im Gegensatz zu herkömmlichen Phishing-Betrügereien, die darauf abzielen, persönliche oder finanzielle Informationen von Opfern zu erlangen, zielt diese spezielle Phishing-Methode darauf ab, die Vermögenswerte der Nutzer durch Ausnutzung von Transaktionen zu stehlen. Im Wesentlichen täuschen Betrüger Opfer dazu, Transaktionen oder Nachrichten zu signieren, die es ihnen ermöglichen, die Token der Opfer abzuziehen. In den folgenden Abschnitten werden wir verschiedene verbreitete Phishing-Betrügereien in Web3 untersuchen und praktische Strategien erlernen, um Ihre Vermögenswerte davor zu schützen.
Verbreitete Phishing-Betrugsarten in Web3
1. Direkte Token-Übertragung
Dieser Betrug manipuliert Nutzer dazu, ihre Vermögenswerte direkt an bösartige Adressen zu übertragen. Der Erfolg dieser Betrügereien beruht oft auf ausgefeilten Social-Engineering-Techniken. Eine häufige Variante besteht darin, Nutzer unter dem Vorwand eines "Sicherheitsupdates" oder eines "Claims" dazu zu bringen, eine Transaktion zu signieren, was letztendlich zum Diebstahl ihrer Vermögenswerte führt. Diese Art von Betrug wird typischerweise durch die Nutzung eines Fake Interface Scam durchgeführt.
2. Token-Genehmigung / Erlaubnis
Die Methoden "Approval" und "Permit" erlauben es jemand anderem, dem "Spender", Ihre Token in Ihrem Namen zu verwenden. Es ist üblich, dass Nutzer DApps Token-Genehmigungen erteilen, um Handelsaktivitäten zu ermöglichen. Die Erteilung von Genehmigungen an bösartige Akteure, wie z.B. eine Phishing-Adresse, kann jedoch zu finanziellen Verlusten führen. Wenn das Opfer die Genehmigung nicht erkennt und widerruft, kann ein Phishing-Angriff über einen längeren Zeitraum andauern.
Beispiel für eine Angriffstransaktion
3. Beispiel für eine Angriffstransaktion
Zero-Value-Transfer-Betrügereien, auch als "Vergiftung" bekannt, treten auf, wenn Phisher Null-Wert-Übertragungen von der Adresse eines Opfers an eine Phishing-Adresse manipulieren, die den legitimen Adressen ähnelt, mit denen das Opfer zuvor interagiert hat. Diese trügerische Taktik zielt darauf ab, Opfer dazu zu verleiten, irrtümlich Gelder an diese Phishing-Adressen zu überweisen, was zu einem erheblichen Verlust von Vermögenswerten führt.
Beispiel für eine Opferadresse
4. Gas-Token-Betrug
Auf der Binance Smart Chain (BSC) setzen bestimmte Phisher Airdrop-Betrügereien ein, bei denen sie betrügerische Token an Opfer verteilen und sie dazu überreden, diese Token zu genehmigen oder zu übertragen. Bedauerlicherweise fallen Opfer unwissentlich erhebliche Gebühren an, wenn sie mit diesen betrügerischen Token interagieren. Diese Gebühren werden verwendet, um Gas-Token an die Adresse des Betrügers zu prägen, die anschließend gewinnbringend umgetauscht werden.
Beispiel für eine Phishing-Transaktion
5. NFT-Marktbetrug
NFTs sind eine einzigartige Form virtueller Vermögenswerte. Die Preise von NFTs aus derselben Kollektion weisen erhebliche Unterschiede auf, was automatisierte Transaktionen über dezentrale Börsen (DEXs) unpraktisch macht. Infolgedessen hat sich der NFT-Markt herausgebildet, der eine Plattform für Nutzer bietet, um Bestellungen aufzugeben und Einkäufe auf erleichterte Weise zu tätigen. Betrüger nutzen diese Märkte jedoch aus, indem sie bösartige Bestellungen erstellen und die NFTs von Opfern stehlen.
Beispiel für eine Phishing-Transaktion
6. Fake Interface Scam
Nutzer interagieren über Contract-Interface-Aufrufe mit On-Chain-Verträgen wie DApps. Um das Verständnis der Nutzer zu verbessern, werden diese Schnittstellen typischerweise in Form von Methodennamen dargestellt. Es ist jedoch wichtig zu beachten, dass die Methodennamen nicht immer die spezifische Implementierung der Methode genau wiedergeben. Beispielsweise mag eine Methode namens "SecurityUpdate" nicht unbedingt ein Sicherheitsupgrade beinhalten, sondern stattdessen die Übertragung der Vermögenswerte des Aufrufers.
Beispiel für eine Phishing-Transaktion
So bleiben Sie vor Phishing in Web3 geschützt
-
Vermeiden Sie den Besuch verdächtiger Websites aus nicht vertrauenswürdigen Quellen und seien Sie äußerst vorsichtig bei Websites, die eine verbundene Wallet erfordern. Viele Wallets und Explorer-Erweiterungen können Sie vor Phishing-Websites warnen. Tools wie MetaMask können dabei helfen.
-
Überprüfen Sie doppelt die Adressen, mit denen Sie interagieren, einschließlich EOAs und Verträge. Gehen Sie nicht davon aus, dass sie korrekt sind, nur weil die ersten und letzten Zeichen der Adresse vertraut sind. Verwenden Sie für Adressen, mit denen Sie zum ersten Mal interagieren, Tools zur Risikoprüfung, wie den Risiko-Scanner von AvengerDAO und MetaDock.
-
Überprüfen und widerrufen Sie regelmäßig Token-Zulassungen. Viele Tools können Ihnen dabei helfen. MetaDock ist beispielsweise eine Browser-Erweiterung, die Nutzern hilft, riskante Zulassungen zu identifizieren, indem sie die Funktion zur Verwaltung von Token-Zulassungen von Blockchain-Explorern verbessert.
-
Verwenden Sie mehrere Wallets und verteilen Sie Ihre Vermögenswerte. Bewahren Sie nur notwendige Vermögenswerte in Hot Wallets für den täglichen Gebrauch auf. Bewahren Sie die überwiegende Mehrheit der Vermögenswerte in sichereren Cold Wallets, wie Hardware-Wallets, auf.
Über MetaSleuth
MetaSleuth ist eine umfassende Plattform, die von BlockSec entwickelt wurde, um Nutzern bei der effektiven Verfolgung und Untersuchung aller Krypto-Aktivitäten zu helfen. Mit MetaSleuth können Nutzer einfach Gelder verfolgen, Geldflüsse visualisieren, Echtzeit-Geldtransfers überwachen, wichtige Informationen speichern und durch das Teilen ihrer Erkenntnisse mit anderen zusammenarbeiten. Derzeit unterstützen wir 13 verschiedene Blockchains, darunter Bitcoin (BTC), Ethereum (ETH), Tron (TRX), Polygon (MATIC) und weitere.
Website: https://metasleuth.io/
Twitter: @MetaSleuth
Telegram: https://t.me/MetaSleuthTeam
