Web3-Sicherheitswarnung – Schädliche Freigaben und Genehmigungen

Was ist ein böswilliger Genehmigungsbetrug?

Böswillige Genehmigungen oder Freigaben sind einer der am weitesten verbreiteten, gefährlichsten und schädlichsten Betrügereien im Web3, von denen unzählige Nutzer betroffen sind.

Wenn Sie in Web3 mit einem Smart Contract interagieren, werden Sie oft aufgefordert, bestimmte Berechtigungen zu erteilen, indem Sie eine Transaktion unterzeichnen. Beispiele hierfür sind:

● Freigabe einer DApp für den Zugriff auf Ihre Tokens (z. B. ERC-20-Freigabe)

● Erteilung der Genehmigung zur Übertragung Ihrer NFTs durch einen Vertrag (setApprovalForAll)

● Durchführen von scheinbar harmlosen On-Chain-Aktionen wie Anmeldung oder Verifizierung.

Böswillige Genehmigungsbetrügereien machen sich diese Aktionen zunutze, indem sie Sie dazu verleiten, einem böswilligen Vertrag die Erlaubnis zur Überweisung Ihrer Assets zu erteilen.

Wichtige Merkmale

1. Verleiten Nutzer dazu, gefährliche Berechtigungen zu erteilen

Betrüger tarnen sich als legitime DApps, Airdrops oder NFT-Projekte. Sie verleiten Sie dazu, auf eine Schaltfläche "Genehmigen" zu klicken, die aber Wirklichkeit Aktionen wie [approve] (Token-Zugriff) oder [setApprovalForAll] (NFT-Zugriff) für einen bösartigen Vertrag autorisieren.

2. Ihre Assets werden ohne Überweisung abgezogen

Sie haben keine Überweisung veranlasst, sondern nur auf "Bestätigen" geklickt. Sobald der Betrüger jedoch die Genehmigung erhalten hat, kann er jederzeit On-Chain-Funktionen aufrufen, um Ihre Wallet zu leeren, ohne eine weitere Genehmigung oder Signatur von Ihnen zu benötigen.

3. Genehmigungen sind oft unbegrenzt

Die meisten betrügerischen Verträge verlangen die Genehmigung des höchstmöglichen Wertes (2^256 - 1), wodurch sie uneingeschränkten und dauerhaften Zugriff auf Ihre Assets erhalten.

4. Der Vertrag hat keine andere Funktion

Betrugsverträge sind passiv, sie stehlen nicht von sich aus aktiv Mittel. Alles hängt davon ab, dass Sie bereit sind, die Genehmigung zu unterzeichnen, wodurch sie die herkömmliche Betrugserkennung und -warnung umgehen können.

5. Irreführende Signatur-Aufforderungen

Die Eingabeaufforderungen in der Wallet für die Genehmigung von Vorgängen sind oft verwirrend - entweder zu komplex oder zu vereinfacht - so dass es schwierig ist, zu analysieren, was Sie unterschreiben bzw genehmigen. Die meisten Nutzer gehen davon aus, dass es sich "nur um eine normale Autorisierung" handelt, und klicken auf "Bestätigen", ohne sich des großen Risikos bewusst zu sein, das damit verbunden ist.

Häufige Szenarien

1. Gefälschte Airdrop- oder NFT-Minting-Seiten

Auf der Seite wird möglicherweise für "zeitlich begrenzte Airdrops" oder "Free Mint"-Aktionen geworben. Wenn Sie auf die Schaltfläche klicken, wird eine Genehmigungsanfrage für Ihre USDT (Approve) oder NFTs (SetApprovalForAll) ausgelöst - sobald diese genehmigt ist, können Betrüger Ihre Assets jederzeit abziehen.

2. Gefälschte DEX- oder Swap-Plattformen

Sie verbinden Ihre Bitget-Wallet mit einer gefälschten DEX und versuchen, USDC gegen einen neuen Token zu tauschen. Die Website initiiert eigentlich keinen Swap, sondern bringt Sie nur dazu, "USDC zu genehmigen". Sobald dies geschehen ist, werden Ihre Mittel mit Hilfe eines bösartigen Vertrags gestohlen.

3. Gefälschtes Staking/Farming oder Gaming-Plattformen

In einer DeFi/GameFi-App werden Sie aufgefordert, "Tokens zu staken" oder "mit dem Spielen zu beginnen". Die Website verlangt eine Token/NFT-Genehmigung. Die gesamte Plattform ist eine Fassade für böswillige Verträge, die Ihre Assets stehlen, sobald sie genehmigt sind.

4. Gehackte Frontends von legitimen Projekten

Hacker kompromittieren vertrauenswürdige Projekt-Websites oder kapern DNS-Einträge, indem sie bösartige Skripte einschleusen, um den echten Vertrag durch einen Phishing-Vertrag zu ersetzen. Die Nutzer denken, dass sie mit einer legitimen Anwendung interagieren, aber in Wirklichkeit gewähren Sie Angreifern Zugang.

5. Gefälschte Kundensupport- oder Hilfsdokumente

Sie bitten in einer Community um Hilfe und ein gefälschter "Support-Agent" oder "Kundendienst" schickt einen Link. Der Link führt zu einer gefälschten Support-Seite, auf der Sie unter dem Vorwand, „Ihr Problem zu lösen", aufgefordert werden, einen Vertrag zu autorisieren - doch in Wirklichkeit handelt es sich um eine Falle.

So funktioniert es

Das Grundprinzip der böswilligen Genehmigungen lässt sich in einem Satz zusammenfassen:

Er nutzt die fehlende Kenntnis von Nutzern über die Funktionsweise von On-Chain-Berechtigungen aus. Indem sie Sie dazu verleiten, Genehmigungen zu erteilen, erlangen die Betrüger die Kontrolle über Ihre Assets und stehlen sie ohne Ihr Wissen.

Technische Grundsätze

Hier ist der typische Ablauf eines bösartigen Genehmigungsbetrugs:

1. Der Betrüger stellt einen bösartigen Vertrag bereit (leitet aber nicht direkt Überweisungen ein).

2. Der Nutzer wird zum Einstellung von [approve] (für Tokens) oder [setApprovalForAll] (für NFTs) verleitet.

3. Die Genehmigung wird erteilt, aber die Assets bleiben in der Wallet - vorerst.

4. Die Betrüger verwenden dann [transferFrom()] oder ähnliche Funktionen, um Mittel in ihre eigene Wallet zu verschieben.

5. Da die Transaktion technisch gültig ist (vom Nutzer genehmigt), wird sie von den Wallets und Blockchains nicht blockiert.

Bitget Wallet Sicherheitsmaßnahmen

● Phishing-Website-Warnungen: Wenn Sie eine verdächtige Website besuchen, zeigt Bitget Wallet eine Warnung an, um zu verhindern, dass Sie unwissentlich einem bösartigen Vertrag zustimmen.

● Integrierte Vertragsrisikoerkennung: Bitget Wallet enthält ein Tool, das Ihre bestehenden Genehmigungen scannt. Sie können risikoreiche oder veraltete Berechtigungen proaktiv überprüfen und widerrufen, um die Sicherheit Ihrer Assets zu gewährleisten.

Bewährte Praktiken zum eigenen Schutz

Achten Sie auf diese Warnsignale, um mögliche bösartige Genehmigungsversuche zu erkennen:

● Die DApp hat keine wirkliche Funktionalität - nur eine Aufforderung, etwas zu genehmigen

● Sie verlangt Zugang zu wichtigen Assets (USDT, ETH, NFTs)

● Die Genehmigung hat keine Begrenzung (approve (uint256 max))

● Das Popup-Fenster Ihrer Wallet zeigt „SetApprovalForAll: true“.

● Die Website sieht unprofessionell aus oder imitiert ein bekanntes Projekt

● Klicken Sie niemals auf unbekannte Links oder genehmigen Sie nichts aus Telegram DMs, Twitter-Antworten oder anderen ungeprüften Quellen

Abschließende Gedanken

Wenn Sie es nicht verstehen, geben Sie keine Genehmigung. Wenn es sich nicht um einen Trade handelt, sollten Sie zweimal nachdenken, bevor Sie klicken.

Für normale Nutzer sollte die Genehmigung von Smart Contracts mit äußerster Vorsicht erfolgen. Denken Sie immer zuerst an die Sicherheit: "Genehmigung = Mittelüberweisung". Prüfen Sie jede Vertragsgenehmigung vor der Unterzeichnung genau und überprüfen Sie sie noch einmal.

Verwandte Artikel:

Web3 Sicherheitswarnung - SMS-Spoofing

Web3 Sicherheitswarnung - Payzero

Web3-Sicherheitswarnung – Hochriskante Tokens

Web3-Sicherheitswarnung – Gefälschte Apps

Web3-Sicherheitswarnung – Böswillige Genehmigungen