Check Point Research (CPR) enthüllt, wie Betrüger Smart Contracts modifizieren, um betrügerische Token zu generieren. Dann wandten sie Methoden an, um das Geld von Leuten mit geänderten Smart Contracts „zu decken“, was zum Gelddiebstahl führte.
Die Ergebnisse stammen aus einer Kryptowährungsforschung von CPR im Oktober, in der das Forschungsunternehmen den Diebstahl der Krypto-Geldbörse von OpenSea, dem weltweit größten NFT-Marktplatz, identifizierte. Im November letzten Jahres stellte CPR außerdem fest, dass Hacker Phishing-Kampagnen von Suchmaschinen nutzten, um innerhalb weniger Tage eine halbe Million Dollar zu stehlen.
Das Unternehmen sagt, dass Hacker weiterhin Fallen stellen werden, und gibt vier Sicherheitstipps, wie man Betrugsmünzen vermeiden kann.
Wie sieht es mit Münzbetrug aus?
CPR sagt, dass einige Token eine Kaufgebühr von 99 % haben, die Ihr gesamtes Geld in der Kaufphase stiehlt. Es besagt, dass einige Token dem Käufer nicht erlauben zu verkaufen, also kann nur der Besitzer verkaufen. Einige Token haben eine Verkaufsgebühr von 99%, die Ihr gesamtes Geld in der Verkaufsphase stiehlt. Und einige erlauben dem Besitzer, mehrere Münzen in seine Brieftasche zu stecken und sie zu verkaufen.
Wie es geht – Falsche Konfiguration von Smart Contracts
Smart Contracts sind Programme, die in einer Blockchain gespeichert sind und ausgeführt werden, wenn die festgelegten Bedingungen erfüllt sind. Um betrügerische Token zu generieren, konfigurieren Hacker diese Smart Contracts fälschlicherweise.
CPR skizziert die Schritte, die Hacker unternehmen, um Smart Contracts zu nutzen:
- Verwenden Sie Betrugsdienste: Hacker verwenden häufig Betrugsdienste, um einen Vertrag für sie zu erstellen, oder sie kopieren einen bereits bekannten Betrugsvertrag und ändern den Namen und das Symbol des Tokens und einige der Namen in Funktion sowie ob sie wirklich raffiniert sind.
- Manipulieren von Funktionen: Sie manipulieren dann Geldtransferfunktionen, hindern Sie am Verkaufen, erhöhen den Gebührenbetrag und vieles mehr. Die meisten Manipulationen finden statt, wenn Geld überwiesen wird.
- Hype durch soziale Medien erzeugen: Hacker öffnen dann soziale Kanäle wie Twitter, Discord oder Telegram, ohne ihre Identität preiszugeben oder gefälschte Identitäten zu verwenden. Sie fangen an, das Projekt hochzujubeln, also fangen die Leute an zu kaufen.
- „Rug and pull“ the money: Nachdem sie den gewünschten Geldbetrag erreicht haben, ziehen sie das gesamte Geld aus dem Vertrag und entfernen alle Social-Media-Kanäle.
- Zeitschlösser überspringen: Sie sehen normalerweise keine Token, die große Geldbeträge in den Vertragspool sperren oder sogar Zeitschlösser zum Vertrag hinzufügen. Zeitschlösser werden häufig verwendet, um administrative Maßnahmen zu verzögern, und gelten oft als starker Indikator für ein legitimes Projekt.
Tipps zur Vermeidung von Betrugsmünzen
Eine Brieftasche zu haben ist der erste Schritt bei der Verwendung von Bitcoins und, durch Erweiterung, jeder anderen Kryptowährung. Ein Schlüssel zu ihrer Sicherheit ist die Diversifizierung und der Besitz von mindestens zwei verschiedenen Krypto-Wallets. Verwenden Sie einen zum Speichern von Einkäufen und den anderen zum Verkaufen und Tauschen von Kryptowährungen. Auf diese Weise können sie ihr Vermögen besser schützen, da die Wallets auch die Passwörter jedes Benutzers speichern. Dies ist ein grundlegender Bestandteil des Handels mit Kryptowährungen und verfügt über einen öffentlichen Schlüssel, der es anderen Benutzern ermöglicht, Kryptowährungen an Ihre Brieftasche zu senden.
Check Point Research sagt, dass Menschen immer über Google nach Bitcoin-Wallet-Plattformen suchen, und dies ist die Zeit, in der sie einen der größten Fehler machen können – sie klicken auf eine Google-Anzeige. Cyberkriminelle verwenden diese Links häufig, um bösartige Websites zu erstellen, um Zugangsdaten oder Passwörter zu stehlen. Es ist sicherer, Webseiten unter Google Ads aufzurufen. CPR sagt, dass Menschen oft auf Nummer sicher gehen und Cyberkriminelle davon profitieren. Bevor Sie große Mengen an Krypto senden, senden Sie zunächst eine „Test“-Transaktion mit dem kleinsten Betrag, um diese Fallstricke zu vermeiden. Wenn die Transaktion in einer gefälschten Brieftasche gesendet wird, ist der Betrug auf diese Weise leichter zu erkennen und noch mehr zu verlieren. Das Unternehmen sagte auch, dass die Aktivierung der Zwei-Faktor-Authentifizierung einer der wichtigsten Schritte ist, die gegen jeden Cyberangriff unternommen werden können. Wenn also ein Angreifer versucht, sich anzumelden, erhält er eine Nachricht, um seine Authentizität zu überprüfen, wodurch er am Zugriff gehindert wird. Bei der Zwei-Faktor-Authentifizierung muss der Benutzer für die Anmeldung bei einem Konto, anstatt nur ein Passwort für die Authentifizierung zu benötigen, eine zweite Information übermitteln, was es sicherer macht.
„Check Point Research hat erhebliche Ressourcen in die Untersuchung der Schnittmenge von Kryptowährungen und Sicherheit investiert“, sagte Oded Vanunu, Head of Products, Vulnerabilities Research bei Check Point Software.
„Letztes Jahr haben wir auf OpenSea, dem weltweit größten NFT-Marktplatz, vom Diebstahl von Krypto-Wallets erfahren. Außerdem haben wir Krypto-Wallet-Benutzer auf eine massive Suchmaschinen-Phishing-Kampagne aufmerksam gemacht, die dazu führte, dass in wenigen Tagen mindestens eine halbe Million Dollar verdient wurden Die neueste Veröffentlichung zeigt, wie tatsächlicher Smart-Contract-Betrug aussieht, und enthüllt den echten Token-Betrug in freier Wildbahn – das Verstecken der 100% bezahlten und Hintertürfunktionen “, sagte er.
„Die Implikation ist, dass Krypto-Benutzer weiterhin in diese Fallen tappen und ihr Geld verlieren werden. Diese Veröffentlichung zielt darauf ab, die Krypto-Community darauf aufmerksam zu machen, dass Betrüger betrügerische Token erstellen, Gelder und Brieftaschen stehlen, Anzeigen ignorieren und ihre Transaktionen testen.“