Wichtigste Erkenntnisse
Nachrichten zu signieren ist ein wesentlicher Aspekt des Transaktionsprozesses auf der Blockchain, aber wenn es nicht sorgfältig gehandhabt wird, kann es Benutzer erheblichen Sicherheitsrisiken aussetzen.
Die Funktion ‚eth_sign‘, die es Benutzern ermöglicht, beliebige Nachrichten zu signieren, ist besonders anfällig für Missbrauch und könnte Angreifern potenziell vollständige Kontrolle über die Vermögenswerte des Opfers ermöglichen.
Um sich zu schützen, verwenden Sie immer vertrauenswürdige Plattformen, vermeiden Sie das Signieren unbekannter Nachrichten und bleiben Sie über gängige Betrügereien informiert.
Für diejenigen, die den Web3-Bereich erkunden, ist das Signieren von Nachrichten entscheidend für die Autorisierung von Transaktionen, die Verifizierung von Identitäten und die Interaktion mit dezentralen Anwendungen (DApps). Zum Beispiel könnte eine Airdrop-Plattform von einem Benutzer verlangen, eine Nachricht zu signieren, um den Besitz einer bestimmten Wallet-Adresse zu beweisen, die für einen Airdrop berechtigt ist. Während dieser Prozess viele kritische Blockchain-Funktionen ermöglicht, bringt er auch erhebliche Sicherheitsrisiken mit sich.
In diesem Artikel erkunden wir die potenziellen Gefahren, die mit dem Signieren von Nachrichten auf und außerhalb der Blockchain verbunden sind, und heben gängige Szenarien hervor, in denen Benutzer finanzielle Verluste als Ergebnis des Signierens böswilliger Nachrichten erleiden können.
Nachrichten- und Transaktionssignierung: Den Unterschied verstehen
Im dezentralen Raum sind Signaturen entscheidend für die Autorisierung von Transaktionen und die Interaktion mit DApps. Sie kommen in zwei Haupttypen vor: On-Chain (Transaktion) und Off-Chain (Nachricht) Signaturen.
On-Chain-Signaturen (Transaktion signieren)
On-Chain-Signaturen werden verwendet, um Aktionen zu autorisieren, die den Zustand der Blockchain ändern, z.B. das Übertragen von Geldern oder das Ausführen von Smart Contracts. So funktioniert es:
Workflow des On-Chain-Signierungs- und Verifizierungsprozesses
Nachrichtenerzeugung: Wenn jemand eine Transaktion auf der Blockchain initiiert, generiert das Netzwerk eine Nachricht, die mit dieser Transaktion verknüpft ist und Informationen darüber enthält, z.B. die Adressen des Absenders und des Empfängers, den zu übertragenden Betrag und andere relevante Details.
Signieren der Nachricht: Der Benutzer, der eine Transaktion initiiert, „signiert“ diese Nachricht mit seinem privaten Schlüssel. Dieser Prozess umfasst die Anwendung eines kryptografischen Algorithmus auf die Nachricht und den privaten Schlüssel des Benutzers, wodurch eine digitale Signatur entsteht.
Versenden der signierten Nachricht: Die signierte Nachricht wird zusammen mit der ursprünglichen Nachricht an das Netzwerk gesendet.
Verifizierung: Das Netzwerk verifiziert die Signatur mit dem öffentlichen Schlüssel des transaktionsführenden Benutzers, der aus seinem privaten Schlüssel abgeleitet wird, aber sicher geteilt werden kann. Wenn die Signatur mit der Nachricht und dem öffentlichen Schlüssel übereinstimmt, bestätigt dies, dass der Kontoinhaber die Transaktion autorisiert hat.
Transaktionsverarbeitung: Wenn die Signatur gültig ist, verarbeitet das Netzwerk die Transaktion. Andernfalls wird die Transaktion abgelehnt.
Wenn Sie eine Krypto-Wallet verwenden, erfolgt der Transaktionssignierungsprozess normalerweise automatisch im Hintergrund. Die meisten modernen Krypto-Wallets bieten eine benutzerfreundliche Oberfläche, die die technischen Details abstrahiert, sodass Sie den Prozess nicht sehen oder direkt damit interagieren.
Off-Chain-Signaturen (Nachricht signieren)
Off-Chain-Signaturen hingegen werden für Aktionen verwendet, die den Zustand der Blockchain nicht beeinflussen, wie z.B. die Überprüfung der Benutzeridentität, das Anmelden bei einer DApp oder das Vorautorisieren von Geldtransfers. So funktioniert es:
Herausforderungs-generierung: Die Anwendung erstellt eine eindeutige Nachricht, die als „Herausforderung“ dient – eine Aufforderung an den Benutzer, sich zu authentifizieren, indem er nachweist, dass er die Adresse besitzt. Diese Nachricht kann spezifische Details im Zusammenhang mit dem Anmeldeversuch enthalten, wie z.B. den Zeitstempel oder eine zufällige Zahl.
Signaturerstellung: Der Benutzer signiert die Nachricht mit seinem privaten Schlüssel und erstellt eine digitale Signatur. Diese Signatur dient als Nachweis dafür, dass er den privaten Schlüssel besitzt, der mit der Wallet verbunden ist.
Signaturverifizierung: Der Empfänger verifiziert die Signatur mit Ihrem öffentlichen Schlüssel. Wenn die Signatur gültig ist, bestätigt sie die Identität des Benutzers und gewährt ihm Zugang.
Es sind Off-Chain-Signaturen, mit denen Web3-Nutzer oft aus verschiedenen Gründen interagieren – und genau diese Art von Signatur hat das Potenzial, von Kriminellen missbraucht zu werden.
Das Risiko: Unbeabsichtigte Autorisierung
Es gibt mehrere Methoden zum Signieren von Nachrichten, darunter eth_sign, personal_sign und eth_signTypedData. Diese Funktionen haben unterschiedliche Sicherheitsniveaus, und je nach Wallet, die Sie verwenden, werden einige Methoden möglicherweise unterstützt oder nicht.
Die eth_sign-Funktion erlaubt es Benutzern, beliebige Nachrichten mit ihren privaten Schlüsseln zu signieren, was potenziell Sicherheitsrisiken birgt. Diese Methode verwendet ein rohes, nicht lesbares Nachrichtenformat ohne Präfix oder Kontext.
Deshalb verstehen Benutzer oft nicht die Implikationen dessen, was sie signieren. Das schwerwiegendste Risiko besteht darin, dass das Signieren einer böswilligen Nachricht dem Angreifer volle Kontrolle über Ihre Vermögenswerte gewähren kann.
Die personal_sign-Methode ist darauf ausgelegt, sicherer und benutzerfreundlicher zu sein. Sie fügt der Nachricht eine Standardzeichenfolge als Präfix hinzu, bevor sie gehasht und signiert wird, was klarstellt, dass die Nachricht zur Signierung bestimmt ist. Dieses Präfix hilft, gegen bestimmte Arten von Angriffen, wie z.B. Replay-Angriffe, zu schützen, bei denen eine signierte Nachricht in einem anderen Kontext wiederverwendet werden könnte.
Die eth_signTypedData-Methode wird verwendet, um strukturierte Daten zu signieren, was mehr Kontext und Klarheit darüber bietet, was signiert wird. Sie ermöglicht Entwicklern, die Struktur der signierten Daten zu definieren, wodurch es transparenter und leichter verständlich wird.
Was ist eth_sign Phishing?
Im Kern ist eth_sign ein kryptografischer Mechanismus, der es Benutzern ermöglicht, beliebige Nachrichten zu signieren. Diese Signatur dient als digitaler Nachweis, dass der Kontoinhaber den Inhalt der Nachricht autorisiert hat. Das Problem entsteht jedoch, wenn diese signierten Nachrichten von Smart Contracts in einer Weise interpretiert und ausgeführt werden können, die dem Benutzer nicht sofort klar ist. Eine Nachricht, die wie eine harmlose Zeichenkette aussieht, kann in Wirklichkeit Angreifern die volle Kontrolle über Ihr Konto gewähren. Lassen Sie uns die Mechanik eines typischen eth_sign-Phishing-Angriffs aufschlüsseln:
1. Die Einrichtung: Angreifer erstellen oft gefälschte Websites oder Anwendungen, die legitime Plattformen nachahmen. Diese könnten dezentrale Börsen, NFT-Marktplätze oder andere blockchainbasierte Dienste sein.
2. Der Köder: Benutzer werden durch verschiedene Mittel – Phishing-E-Mails, irreführende Anzeigen oder sogar gefälschte Links in sozialen Medien – dazu verführt, sich mit diesen gefälschten Plattformen zu verbinden. Angreifer schaffen oft ein Gefühl der Dringlichkeit, indem sie behaupten, der Benutzer müsse schnell signieren, um von einem zeitlich begrenzten Angebot zu profitieren oder um negative Konsequenzen zu vermeiden.
3. Der Fang: Die Website der Angreifer fordert den Benutzer auf, eine Nachricht mit eth_sign zu signieren. Allerdings ist die Nachricht, die der Benutzer signiert, sehr unterschiedlich von dem, was er denkt. Sie könnte die Erlaubnis gewähren, jede böswillige Aktion, die der Betrüger möchte, durchzuführen.
Die Phasen eines eth_sign-Phishing-Angriffs
Beliebte Taktiken zur Ausnutzung der Nachrichtensignierung umfassen gefälschte Airdrops; böswillige DApps, die legitim erscheinen, deren einziges Ziel es jedoch ist, Gelder zu stehlen; gefälschte NFT-Präge-Dienste; Phishing-E-Mails; Nachahmung des Kundensupports; und die Erstellung gefälschter Cross-Chain-Bridge-Schnittstellen. All diese niederträchtigen Werkzeuge dienen dem Zweck, die Benutzer glauben zu lassen, dass sie eine legitime Nachricht signieren, während sie tatsächlich den Kriminellen Zugang zu ihren digitalen Geldern gewähren.
Was diese Angriffe besonders gefährlich macht, ist, dass sie das konditionierte Verhalten der Web3-Nutzer ausnutzen, Nachrichten zu signieren, um ihre Identität zu verifizieren oder Aktionen zu genehmigen. Viele Benutzer neigen dazu, solche Nachrichten zu signieren, ohne die Implikationen vollständig zu verstehen.
Echte Beispiele
Der gefälschte NFT-Airdrop
Betrüger manipulieren ihre Opfer oft mit dem Versprechen unerwarteter Belohnungen. Ein Benutzer in diesem realen Beispiel erhielt einen unaufgeforderten NFT-Airdrop in seiner Wallet, wobei die Absender behaupteten, der Benutzer habe eine bedeutende Belohnung gewonnen und müsse nur seinen NFT-Gutschein in Geld umwandeln.
Um den Preis zu beanspruchen, wird der Benutzer auf eine verlinkte Website weitergeleitet, um eine Nachricht zu signieren, die in einem nicht lesbaren hexadezimalen Format präsentiert wird. In dem Glauben, dies sei ein Standardteil des Verifizierungsprozesses, signiert der Benutzer. Diese Nachricht ist jedoch eine clever getarnte Autorisierung, die dem Betrüger die Kontrolle über die Vermögenswerte des Benutzers gewährt, was zu unbefugten Überweisungen aus seiner Wallet führt.
Kurz darauf bemerkt der Benutzer, dass eine erhebliche Menge an Token ohne seine Zustimmung aus seiner Wallet transferiert wird und erkennt zu spät, dass er betrogen wurde.
Wichtig zu wissen: Seien Sie vorsichtig bei unaufgeforderten Angeboten oder Airdrops, insbesondere bei denen, die bedeutende Belohnungen versprechen. Überprüfen Sie immer die Legitimität der Quelle, bevor Sie weitere Maßnahmen ergreifen.
Nachahmung eines bekannten Projekts
Betrüger ahmen oft angesehene Projekte oder Konten nach, um ein Gefühl von Glaubwürdigkeit zu erzeugen. In diesem Beispiel haben Kriminelle ein gefälschtes Konto auf X erstellt, das das offizielle Baby Doge Coin-Konto nachahmt. Der Nachahmer hatte ein goldenes Verifizierungssiegel erhalten, um eine zusätzliche Glaubwürdigkeit zu schaffen.
Das gefälschte Konto kündigte einen neuen Airdrop für Baby Doge Coin-Inhaber an und enthielt einen Link zu einer Website, auf der Benutzer den neuen Token beanspruchen konnten. Der Beitrag gewann schnell an Bedeutung, was sein Erscheinungsbild von Legitimität weiter verstärkte. Benutzer besuchten den bereitgestellten Link, verbanden ihre Wallets und signierten eine Nachricht, um ihre Identität zu bestätigen und den Airdrop zu beanspruchen.
Was die Opfer nicht wussten, ist, dass die signierte Nachricht die Übertragung von Token von ihren Wallets an die Adresse des Angreifers autorisierte. Die meisten Benutzer bemerkten erst, dass es sich um einen Betrug handelte, als sie bemerkten, dass ihre Baby Doge Coin-Token aus ihren Wallets verschwunden waren.
Wichtig zu wissen: Überprüfen Sie immer die Authentizität der sozialen Medienkonten, mit denen Sie interagieren, und seien Sie vorsichtig bei Nachrichten, die um Ihre Signatur bitten. Kleine Abweichungen, wie ein leicht abweichender oder falscher Benutzername, sind entscheidend, um echt von gefälscht zu unterscheiden. In diesem Beispiel wurde der X-Handle des Betrügers subtil verändert, um fast wie der echte zu klingen, mit einem verdoppelten Vokal am Ende.
Ein gefälschter neuer Token-Airdrop
Ein Gefühl der Dringlichkeit zu erzeugen, ist eine weitere Taktik, die Betrüger verwenden, um Benutzer zu hastigen Entscheidungen zu drängen. In diesem Beispiel bemerkte ein Benutzer, der durch seinen sozialen Medienfeed scrollte, einen Beitrag von einem scheinbar legitimen Kryptowährungsprojekt, das einen neuen Airdrop für einen Token namens „Sunwaves“ ankündigte. Der Beitrag behauptet, dass es ein begrenztes 24-Stunden-Fenster gibt, um den Airdrop zu beanspruchen.
Neugierig auf die Ankündigung besuchen die Benutzer die in dem Beitrag genannte Website, die sie auffordert, ihre Wallets zu verbinden und mehrere Verifizierungsschritte abzuschließen, darunter das Signieren einer Nachricht, um ihre Identität zu bestätigen und den Airdrop zu beanspruchen.
Diese signierte Nachricht gewährt dem Betrüger jedoch die Erlaubnis, Token von der Wallet des Benutzers zu übertragen. Der Benutzer bemerkt schnell, dass Token, einschließlich wertvoller Vermögenswerte, ohne seine Zustimmung übertragen wurden.
Wichtig zu wissen: Seien Sie skeptisch bei Angeboten, die ein Gefühl der Dringlichkeit erzeugen. Betrüger drängen Benutzer oft, schnell zu handeln, um zu verhindern, dass sie sich die Zeit nehmen, die Legitimität des Angebots zu bewerten und zu überprüfen.
Wie Binance Web3 Wallet Sie schützt
Um die Möglichkeit zu beseitigen, dass Benutzer auf einen eth_sign-Betrug hereinfallen, ist diese Funktion in der Binance Web3 Wallet verboten. Was das in der Praxis bedeutet, ist, dass Benutzer sofort darauf hingewiesen werden, dass diese Transaktion aufgrund einer potenziell böswilligen Signaturanfrage sehr riskant ist, sobald der eth_sign für eine Transaktion ausgelöst wird. Der Abschluss einer solchen Transaktion wird nicht möglich sein.
Schutz vor Betrug
Um Betrug durch Nachrichtensignierungen im Web3-Bereich zu vermeiden, ist es wichtig, Vorsichtsmaßnahmen zu treffen:
1. Verwenden Sie vertrauenswürdige Plattformen: Signieren Sie Nachrichten nur auf Plattformen, denen Sie vertrauen. Wenn eine Plattform aus irgendeinem Grund verdächtig erscheint, ist es am besten, sie zu vermeiden.
2. Vertrauen Sie unerwarteten Airdrops nicht: Seien Sie vorsichtig bei unaufgeforderten Angeboten, die zu gut erscheinen, um wahr zu sein, insbesondere bei denen, die erhebliche Belohnungen versprechen.
3. Überprüfen Sie DApp-URLs: Überprüfen Sie immer, ob die URL legitim ist, bevor Sie mit einer dezentralen Anwendung interagieren. Betrüger erstellen oft URLs, die echten sehr ähnlich sehen.
4. Verwenden Sie sichere Wallets: Verwenden Sie seriöse Wallets, die Sicherheitsmaßnahmen gegen böswillige Nachrichten bieten. Beispielsweise hat die Binance Web3 Wallet die eth_sign-Funktion verboten, um solche Angriffe zu verhindern.
5. Bleiben Sie informiert: Halten Sie sich über die neuesten Betrugstaktiken und Sicherheitsbest Practices im Blockchain-Bereich auf dem Laufenden.
Schlussfolgerungen
Die Erkundung des dezentralen Raums von Web3-Diensten und -Anwendungen kann ein großartiges Abenteuer sein. Dieses Umfeld birgt jedoch eigene Risiken, die Benutzer dazu erfordern, wachsam und informiert zu sein. Betrüger können Werkzeuge wie das Signieren von Nachrichten und Identitätsnachahmung ausnutzen, um unbefugte Transaktionen durchzuführen, was zu erheblichen finanziellen Verlusten führen kann. Durch das Bewusstsein für diese Risiken und die Annahme einiger einfacher Sicherheitspraktiken und -gewohnheiten können Sie sich schützen. Seien Sie immer vorsichtig und bleiben Sie wachsam, um die Sicherheit Ihrer Vermögenswerte im Web3-Ökosystem zu gewährleisten.
Weiterführende Literatur
Schützen Sie Ihre Kryptowährung: Verständnis der laufenden globalen Malware-Angriffe und was wir tun, um sie zu stoppen
Wie man gefälschte Dienstleistungsbetrügereien vermeidet und meldet
Binance verhindert bis jetzt im Jahr 2024 potenzielle Benutzerverluste von 2,4 Milliarden Dollar
Risiko-Hinweis: Kryptowährungen unterliegen hohem Marktrisiko und Preisvolatilität. Sie sollten nur in Produkte investieren, mit denen Sie vertraut sind und bei denen Sie die damit verbundenen Risiken verstehen. Sie sollten Ihre Anlageerfahrung, finanzielle Situation, Anlageziele und Risikobereitschaft sorgfältig abwägen und vor einer Investition einen unabhängigen Finanzberater konsultieren. Dieses Material sollte nicht als Finanzberatung ausgelegt werden. Frühere Leistungen sind kein zuverlässiger Indikator für zukünftige Leistungen. Der Wert Ihrer Investition kann sowohl steigen als auch fallen, und Sie erhalten möglicherweise nicht den Betrag zurück, den Sie investiert haben. Sie sind allein verantwortlich für Ihre Investitionsentscheidungen. Binance ist nicht verantwortlich für Verluste, die Ihnen entstehen können. Für weitere Informationen verweisen Sie bitte auf unsere Nutzungsbedingungen und Risikohinweise. Dies ist eine allgemeine Ankündigung. Produkte und Dienstleistungen, die hier erwähnt werden, sind möglicherweise nicht in Ihrer Region verfügbar.