Hacker haben vor wenigen Tagen bei einem Cyberangriff auf Uniswap-Nutzer Ethereum im Wert von umgerechnet rund 8 Millionen Euro erbeutet. Ihre Opfer hatten sie mittels eines Fake-Airdrops dazu gebracht, manipulierte Smart Contracts zu unterzeichnen, die ihnen dann den Zugriff auf deren Wallets einräumten. Die Angreifer hatten richtig vermutet, dass ihre Opfer bei der Sicherstellung der Authentizität der Airdrops zu leichtgläubig vorgehen würden.
Die Sicherheitsexperten von Check Point Research (CPR), der Forschungsabteilung von Check Point Software Technologies Ltd. (NASDAQ: CHKP), sind einer neuen Phishing-Kampagne auf die Schliche gekommen: Am 11. Juli begann der Angriff. Nutzer der Ethereum-basierten Kryptowährungsbörse Uniswap erhielten ein verlockendes Airdrop-Angebot. Einen UniswapLP-Token, den sie auf UniswapLP.com gegen 400 UNI-Tokens im Gesamtwert von umgerechnet rund 2.200 Euro eintauschen können sollten. Kein ungewöhnliches Angebot. Erst im Mai hatte Uniswap seinen langjährigen Nutzern in einem Airdrop jeweils 400 UNI-Token gratis zukommen lassen.
Kein Wunder also, dass eine nicht unerhebliche Zahl der Plattformnutzer innerhalb kürzester Zeit auf das Angebot einging. Was sie nicht ahnten: anstatt eines Airdrops stimmten sie einer Ausdehnung der Zugriffsrechte ihrer Uniswap LP-Token-Wallets auf ihre Angreifer zu. Die hatten nun nur noch alle Uniswap LP-Token ihrer Opfer in ihre eigene Wallet zu übertragen und dann schnell sämtliche Werte aus Uniswap abzuziehen. Laut dem Ethereum Blockchain-Explorer Etherscan haben bislang rund 74.000 Wallets mit den Smart Contracts interagiert. 7.573,94 Ethereum haben die Hacker in ihre Wallet übertragen können – umgerechnet rund 8 Millionen Euro. Doch handelt es sich hier nur um eine erste Bestandsaufnahme. Am Ende könnte der Schaden noch weit höher liegen.
Der Angriffsvektor – Phishing, Adress-Spoofing, Smart Contract-Manipulierung
Seinen Anfang nahm der Angriff mit einer als Airdrop getarnten Phishing-Attacke. Klickten die Opfer auf den UniswapLP-Token, wurden sie auf die Fake-Webseite UniswapLP.com weitergeleitet. Dort hatten sie die Verbindungsdaten ihrer Uniswap-Wallet einzugeben und dann die Schaltfläche ‚Click here to claim‘ anzuwählen. Was sie nicht ahnten: die Angreifer hatten den Smart Contract des Tokens so manipuliert, dass dieser nicht die Überführung des UniswapLP-Tokens in UNI-Token genehmigte, sondern den Angreifern Zugriff auf das Uniswap LP-Token-Konto ihres Opfers gewährte.
Um sicherzustellen, dass möglichst viele Nutzer auf den Phishing-Angriff hereinfallen würden, hatten die Angreifer zudem noch auf ein zusätzliches Angriffsverfahren gesetzt: Adress-Spoofing. Viele Uniswap-Nutzer prüfen die Legitimität eines Tokens unter Zuhilfenahme eines Blockchain-Explorers. Im Fall der Uniswap-Nutzer war dies der Blockchain-Explorer Etherscan. Was sie nicht wussten: Daten von Blockchain Explorern können manipuliert werden. Da Etherscan als Ursprungsadresse des Tokens die Daten aus der Emit-Funktion des Tokens angibt, die Emit-Funktion aber manuell bearbeitet werden kann, konnten die Angreifer sie problemlos auf Uniswap setzen. Den Opfern schien es dann so, als habe tatsächlich die Tauschbörse Uniswap die Airdrop-Anfrage an sie versandt.
Check Point Research rät Kryptowährungsbörsen-Nutzern: nicht allein auf die Technik verlassen
Der Angriff macht deutlich: Besitzer von Kryptowährungen dürfen sich nicht allein auf die großen Blockchain Explorer-Plattformen wie Etherscan verlassen. Check Point Research rät, selbst proaktiv zu werden, nachzuhaken, bei Anfragen, die in Zusammenhang mit der eigenen Wallet stehen, stets höchste Vorsicht walten zu lassen und sich streng an die folgenden vier Regeln zu halten:
- Holen Sie Ihre Informationen immer über den offiziellen Twitter-Account und die offizielle Website der von ihnen genutzten Plattform ein!
- Sollte eine Plattform Ihnen einen Airdrop anbieten, seien Sie auf der Hut und überprüfen Sie den Absender genau!
- Wenn Sie Informationen über die Absender-Plattform einzuholen suchen, verlassen Sie Sich ausschließlich auf Informationen, die sie auf der offiziellen Webseite der Plattform finden! Wenn Sie den Link zu einem Airdrop-Angebot beispielsweise nicht auf der offiziellen Webseite der Plattform finden, können Sie davon ausgehen, dass es sich höchstwahrscheinlich um einen Betrugsversuch handelt.
- Und schließlich: überprüfen Sie die URLs der Angebots-Links immer mindestens zweimal! Doppelt hält besser.
