Der Adressvergiftungsangreifer, der einen Benutzer angeblich dazu verleitete, ihm Wrapped Bitcoin (WBTC) im Wert von 68 Millionen Dollar zu senden, hat dem Opfer offenbar in gutem Glauben Ether (ETH) im Wert von 153.000 Dollar zurückgeschickt. In derselben Transaktion schickte der Angreifer eine Nachricht, in der er sich zu Verhandlungen bereit erklärte und das Opfer um einen Telegram-Benutzernamen bat, unter dem er kontaktiert werden kann. Der zurückgesendete Betrag stellt nur 0,225 % der gesamten angeblich gestohlenen Gelder dar.

Blockchain-Daten zeigen, dass das Angriffsopfer, dessen Konto auf 8fD5 endet, am 5. Mai drei Nachrichten an ein Konto mit der Endung dA6D schickte. Der Empfänger der Nachricht hatte über mehrere Zwischenkonten Geld von dem angreifenden Konto erhalten, das auf Etherscan als „FakePhishing327990“ gekennzeichnet war. Dies deutet darauf hin, dass dA6D wahrscheinlich vom Angreifer kontrolliert wurde.

Aus den Nachrichten ging hervor, dass das Opfer bereit war, dem Angreifer 10 % des Geldes als Kopfgeld zu zahlen und von einer Strafverfolgung abzusehen, wenn er die restlichen 90 % zurückzahlte. Das Opfer erklärte:

„Wir wissen beide, dass es keine Möglichkeit gibt, diese Gelder zu löschen. Sie werden aufgespürt. Wir verstehen auch beide, dass es bei dem Satz ‚Schlaf gut‘ nicht um Ihre moralischen und ethischen Qualitäten ging. Trotzdem gewähren wir Ihnen offiziell Anspruch auf die 10 %. Schicken Sie 90 % zurück. Sie haben 24 Stunden vor 10 Uhr UTC, dem 6. Mai 2024, um eine Entscheidung zu treffen, die Ihr Leben in jedem Fall verändern wird.“

Am 9. Mai um 11:37 Uhr UTC reagierte ein anderes Konto mit der Endung 72F1, indem es 51 Ether (ETH) (heutiger Wert: 153.000 USD) an das Opfer schickte. 72F1 hatte über mehrere Zwischenkonten auch Geld von FakePhishing327990 erhalten, was darauf hindeutet, dass es ebenfalls unter der Kontrolle des Angreifers stand.

In der Transaktion, mit der die 51 ETH gesendet wurden, postete der Angreifer auch eine Nachricht mit dem Inhalt „Bitte hinterlassen Sie Ihr Telegramm und ich werde Sie kontaktieren.“ Um 11:43 Uhr versuchte er dann, seine falsche Zeichensetzung zu korrigieren, indem er eine weitere Nachricht postete, in der es hieß: „Bitte hinterlassen Sie Ihr Telegramm und ich werde Sie kontaktieren[.]“

Als Reaktion darauf veröffentlichte das Opfer einen Telegram-Benutzernamen, unter dem es kontaktiert werden kann.

Opfer einer Adressvergiftung verhandelt mit Angreifer. Quelle: Etherscan.

Die Verhandlungen fanden statt, nachdem der Angreifer das Opfer angeblich dazu verleitet hatte, versehentlich 1.155 Wrapped Bitcoin (WBTC) (damals im Wert von 68 Millionen US-Dollar) auf das Konto zu überweisen, was dem Opfer durch eine „Address Poisoning“-Transaktion passierte.

Blockchain-Daten zeigen, dass der Angreifer am 3. Mai um 09:17 Uhr einen Smart Contract nutzte, um 0,05 Token vom Konto des Opfers auf das Konto des Angreifers zu übertragen. Der übertragene Token hatte auf Etherscan keinen Namen und wurde einfach als „ERC-20“ bezeichnet. Unter normalen Umständen kann ein Angreifer keinen Token von einem anderen Benutzer ohne dessen Zustimmung übertragen. In diesem Fall hatte der Token jedoch ein benutzerdefiniertes Design, das es ermöglichte, ihn ohne die Zustimmung des Benutzers von einem Konto zu übertragen.

Am selben Tag um 10:31 Uhr schickte das Opfer offenbar aus Versehen 1.155 WBTC an diese Adresse. Die Adresse ähnelte möglicherweise einer Adresse, die das Opfer verwendet hatte, um Geld auf eine zentrale Börse einzuzahlen oder aus einem anderen Grund.

Darüber hinaus hat das Opfer möglicherweise gesehen, dass es in der Vergangenheit 0,05 Token an diese Adresse gesendet hat und deshalb angenommen, dass es sicher sei. Die 0,05 Token wurden jedoch vom Angreifer gesendet und schienen nur vom Opfer zu stammen.

Wenn ein Angreifer versucht, seine Opfer zu verwirren, indem er sie mit Transaktionen zuspammt, die scheinbar von ihm selbst stammen, in Wirklichkeit aber vom Angreifer stammen, bezeichnen Sicherheitsexperten dies als „Adressvergiftungsangriff“. Experten empfehlen, dass Benutzer die Absenderadresse einer Transaktion sorgfältig prüfen, bevor sie diese bestätigen, um kostspielige Fehler durch derartige Angriffe zu vermeiden.

Verwandte Themen: So vermeiden Sie Angriffe zur Adressvergiftung bei Nullwertübertragungen