Microsoft hat vor neuen Bedrohungen in der Web3-Landschaft gewarnt, darunter auch „Ice-Phishing“-Kampagnen. Die zunehmende Verbreitung von Blockchain- und DeFi-Technologien unterstreicht die Notwendigkeit, Sicherheit in das dezentralisierte Web einzubauen, solange es sich noch in der Anfangsphase befindet.
Das Microsoft 365 Defender Research Team des Unternehmens hat verschiedene neue Wege aufgezeigt, über die böswillige Akteure versuchen können, Kryptowährungsnutzer zur Herausgabe ihrer privaten kryptografischen Schlüssel zu verleiten und unerlaubte Geldtransfers durchzuführen.
„Ein Aspekt, den die unveränderliche und öffentliche Blockchain ermöglicht, ist die vollständige Transparenz, so dass ein Angriff beobachtet und untersucht werden kann, nachdem er stattgefunden hat“, sagte Christian Seifert, Principal Research Manager bei Microsofts Security and Compliance Group. „Sie ermöglicht auch die Bewertung der finanziellen Auswirkungen von Angriffen, was bei herkömmlichen Web2Phishing-Angriffen eine Herausforderung ist.
Der Diebstahl der Schlüssel könnte auf verschiedene Arten erfolgen, z. B. durch das Imitieren von Wallet-Software, das Einschleusen von Malware auf die Geräte der Opfer, Typosquatting legitimer Smart Contract Front Ends oder das Prägen von gefälschten digitalen Token für Airdrop-Betrügereien.
Eine andere Technik nennt Microsoft „Ice Phishing“. Bei dieser Methode werden nicht die privaten Schlüssel eines Nutzers gestohlen, sondern die Zielperson wird dazu verleitet, „eine Transaktion zu unterzeichnen, die die Genehmigung der Token des Nutzers an den Angreifer delegiert“.
„Sobald die Genehmigungstransaktion unterschrieben, eingereicht und gemint wurde, kann der Spender auf das Geld zugreifen“, so Seifert weiter. Bei einem „Ice-Phishing“-Angriff kann der Angreifer über einen gewissen Zeitraum Genehmigungen sammeln und dann alle Wallets der Opfer schnell leeren.
Ein solcher Fall von „Ice Phishing“ wurde Anfang Dezember 2021 mit dem viel beachteten Hack der Ethereum-basierten DeFi-Plattform BadgerDAO bekannt, bei dem ein böswillig eingeschleuster Snippet mit einem kompromittierten API-Schlüssel es dem Angreifer ermöglichte, 121 Millionen US-Dollar abzuschöpfen.
„Der Angreifer setzte das Worker-Skript über einen kompromittierten API-Schlüssel ein, der ohne das Wissen oder die Genehmigung der Badger-Ingenieure erstellt wurde“, so BadgerDAO. „Der oder die Angreifer nutzten diesen API-Zugang, um regelmäßig bösartigen Code in die Badger-Anwendung einzuschleusen, so dass nur ein Teil der Nutzer betroffen war.
Das Skript war so programmiert, dass es Web3-Transaktionen von Wallets über einem bestimmten Guthaben abfing und eine Anfrage einfügte, um die Token des Opfers an eine von den Angreifern gewählte Adresse zu übertragen.
Um die Bedrohungen für die Blockchain-Technologie einzudämmen, empfiehlt Microsoft den Nutzern, die Smart Contracts auf angemessene Reaktionsmöglichkeiten auf Vorfälle oder Notfälle zu überprüfen und die Token-Zulassungen regelmäßig neu zu bewerten und zu widerrufen.