In einer neuen Crypto-Betrugsmasche, die auf Telegram kursiert, können Angreifer das Wallet eines Opfers leeren, ohne dass das Opfer eine Transaktion bestätigen muss, wie aus Benutzerberichten und Blockchain-Daten hervorgeht. Der Betrug funktioniert nur bei Tokens, die dem ERC-2612-Tokenstandard entsprechen, der „gaslose“ Transfers ermöglicht oder Transfers mit einer Geldbörse, die kein Ether (ETH) enthält. Obwohl die Methode keine Benutzeraktion erfordert, scheint es erforderlich zu sein, den Benutzer dazu zu bringen, ein Nachrichten-Signatur zu unterzeichnen. Da immer mehr Tokens den ERC-2612-Standard implementieren, könnte diese spezielle Art des Angriffs häufiger auftreten. Cointelegraph wurde von einem Benutzer kontaktiert, der angab, mehr als 600 US-Dollar an Open Exchange (OX)-Tokens verloren zu haben, nachdem er angenommen hatte, dass es sich um die offizielle Telegramm-Gruppe für den Entwickler des Tokens, OPNX, handelte.
Es stellte sich jedoch heraus, dass es sich um einen Phishing-Betrug handelte. Als er der Telegramm-Gruppe beitrat, wurde er aufgefordert, eine Schaltfläche zu drücken, um sein Wallet zu verknüpfen und zu beweisen, dass er kein Bot sei. Dadurch wurde ein Browserfenster geöffnet und er verband sein Wallet mit der Website in dem Glauben, dass nur eine Verbindung kein Risiko für seine Mittel darstellt. Allerdings waren innerhalb weniger Minuten alle seine OX-Tokens abgezogen. Das Opfer behauptete, dass es niemals eine einzige Transaktion von der Seite genehmigt habe, dennoch seien seine Mittel gestohlen worden.
Cointelegraph besuchte die Telegramm-Gruppe und stellte fest, dass sie eine gefälschte Version des Collab.Land Telegramm-Verifizierungssystems enthielt. Das echte Collab.Land-System sendet Nachrichten vom Telegramm-Kanal @collablandbot mit zwei kleinen „L“, während diese gefälschte Version Nachrichten von @colIablandbot mit einem großen „I“ anstelle eines zweiten kleinen „L“ sendete. In der Schriftart, die Telegramm für seine Benutzernamen verwendet, sehen diese beiden Buchstaben extrem ähnlich aus.
Zusätzlich führt die Schaltfläche „Wallet verbinden“ auf authentischen Collab.Land-Nachrichten Benutzer zur URL connect.collab.info, die keine Bindestriche enthält. Während diese gefälschte Version Benutzer zur Verbindung-collab.
info mit einem Bindestrich statt einem Punkt leitete. Gemäß Blockchain-Daten hat der Angreifer die Mittel abgezogen, indem er die Funktion „transferFrom“ im OX-Tokenvertrag aufgerufen hat. Unter normalen Umständen kann diese Funktion nur durch einen Dritten aufgerufen werden, wenn der Eigentümer zuerst „genehmigt“ durch eine separate Transaktion aufruft und ein Ausgabenlimit festlegt. Blockchain-Daten zeigen keinerlei Beweise dafür, dass das Opfer jemals eine solche Genehmigung erteilt hat. Etwa eine Stunde und 40 Minuten vor dem Transfer rief der Angreifer „Permit“ im OX-Tokenvertrag auf, setzte sich selbst als „Empfänger“ und das Konto des Opfers als „Eigentümer“ ein.
Sie legten auch eine „Frist“ oder einen Zeitraum fest, nach dem die Erlaubnis ablaufen würde, und einen „Wert“ oder eine Menge von Tokens, die übertragen werden könnten. Der „Wert“ wurde auf eine beliebig hohe Zahl festgelegt. Die Permit-Funktion befindet sich in den Zeilen 116-160 der Datei ERC20.sol des Tokenvertrags. Sie ermöglicht es einem Dritten, Token im Auftrag seines Besitzers zu autorisieren, aber nur wenn der Eigentümer eine signierte Nachricht liefert, die ihm die Autorisierung erteilt.
Das Setup könnte erklären, warum der Angreifer die Mittel abziehen konnte, ohne den Eigentümer dazu zu bringen, eine herkömmliche Token-Genehmigung zu erteilen. Es impliziert jedoch auch, dass der Angreifer den Eigentümer dazu gebracht hat, eine Nachricht zu signieren. Nachdem das Opfer mit diesem Beweis konfrontiert wurde, berichtete er, dass er versucht hatte, sich zum zweiten Mal mit der Website zu verbinden. Diesmal bemerkte er ein „zusätzliches Signaturdokument“, das er beim ersten Mal bestätigt haben muss, ohne es zu realisieren. Die Permit-Funktion scheint eine neue Funktion einiger Token-Verträge zu sein.
Sie wird als Teil des ERC-2612-Standards implementiert, der Transaktionen durch Geldbörsen ermöglicht, die kein ETH halten. Der Web3-Entwickler OpenZeppelin beschreibt den Zweck der Funktion folgendermaßen: „Es kann verwendet werden, um die ERC20-Zulassung eines Kontos zu ändern, indem eine Nachricht vorgelegt wird, die vom Konto signiert wurde. Indem es nicht auf IERC20.approve angewiesen ist, muss das Tokeninhaberkonto keine Transaktion senden und ist daher überhaupt nicht verpflichtet, Ether zu halten. Eine hilfreiche Funktion für robustere Wallets, die nur Stablecoins halten.
Allerdings hat die Untersuchung von Cointelegraph gezeigt, dass auch Betrüger diese Funktion nutzen, um Benutzer dazu zu bringen, ihre Mittel preiszugeben. Web3-Benutzer sollten sich dessen bewusst sein, dass ein Angreifer ihre Mittel leeren kann, auch wenn sie keine Genehmigungstransaktion durchführen, solange sie eine Nachricht signieren, die dem Angreifer diese Möglichkeit ermöglicht. Cointelegraph hat Kontakt mit dem Collab.Land-Team aufgenommen. Die Entwickler haben bestätigt, dass der Bot und die Website, die in diesem Angriff verwickelt sind, nicht mit dem echten Collab.
Land-Protokoll verbunden sind. Nachdem sie über diesen Betrug informiert wurden, haben die Projektentwickler den Betrug bei Telegram gemeldet.
