Discord ist nicht nur ein beliebter Ort, um sich auszutauschen, auch Hacker zieht es immer häufiger auf bestimmte Server – mit einem Ziel: wertvolle NFTs stehlen. Der Schaden geht mittlerweile in die Millionen. Neue Analysen deuten auf einen Zusammenhang zwischen den Phishing-Angriffen hin.

NFTs für 22 Millionen US-Dollar gestohlen

Auf der Social-Media-Plattform Discord kam es in den letzten drei Monaten vermehrt zu Hacker-Angriffen. So das Ergebnis einer Auswertung des Blockchain-Security-Unternehmens TRM Labs. Die gängige Methode: sogenanntes Phishing, bei der Nutzer auf betrügerische Webseiten verlinkt und persönliche Daten abgegriffen werden. Immer häufiger haben es Hacker scheinbar auf wertvolle NFTs abgesehen.

Phishing-Attacken im Zusammenhang mit NFT-Diebstählen seien TRM Labs zufolge im Juni um 55 Prozent gestiegen. Über 100 Meldungen zu Hacks auf Discord-Kanälen wurden dem Unternehmen in den letzten zwei Monaten gemeldet. Der Verlust der NFTs beläuft sich laut Bericht seit Mai auf rund 22 Millionen US-Dollar.

Im Visier: Bored Ape Yacht Club

Die Angreifer gehen gezielt vor, gestohlen werden vor allem hochpreisige NFTs wie die des Bored Ape Yacht Club (BAYC). Am 4. Juni wurde der Discord-Server von Yuga Labs, dem Unternehmen hinter der NFT-Kollektion, Ziel mehrerer Phishing-Angriffe. Nutzern wurden dabei exklusive Giveaways versprochen. Nachdem sie den Links folgten und ihre Wallet verbunden hatten, übertrugen die Angreifer die NFTs auf ihre eigene Wallet.

Insgesamt 32 NFTs, darunter Bored Apes und Otherside NFTs, im Wert von 140 Ether sind dabei abgegriffen worden. Bereits einen Monat zuvor kam es zu einem ähnlichen Angriff über den Instagram-Account des Bored Ape Yacht Club.

Gleiche Muster

Kein Einzelbeispiel, die Angriffe haben laut TRM Labs Methode. Wie Auswertungen von On- und Off-Chain-Daten zeigen, weisen “viele der Discord-Angriffe auf NFT-Projekte ähnliche Verhaltensmuster auf”. Darunter Phising-Angriffe auf Accounts der NFT-Projekte Bubbleworld, Parallel, Lacoste, Tasties, Anata sowie “ein Dutzend andere”. Auch der Vorfall vom 4. Juni auf dem Discord-Server von Yuga Labs soll Teil der orchestrierten Angriffsserie sein.

“Wir beobachten in den letzten Monaten eine Zunahme von Angriffen auf NFT-Projekte und andere Krypto-Geschäfte”, erklärt Ari Redbord, Leiter der Rechtsabteilung bei TRM Labs, gegenüber BTC-ECHO. Solche Vorfälle könnten sich weiterhin häufen, “solange Cyberkriminelle in der Lage sind, große Mengen an Geldmitteln oder Vermögenswerten zu stehlen, die für Geld verkauft werden können”.

Spurensuche auf der Blockchain

Das Schema ist immer wieder das gleiche: Angreifer erstellen betrügerische Accounts, geben sich als Administratoren aus, bewerben Aktionen wie Giveaways, also vermeintlich kostenlose Ausschüttungen etwa von NFTs, und verschicken Phishing-Links. Dabei fordern sie “Nutzer auf, schnell zu handeln, um nicht ein kostenloses Werbegeschenk oder einen begrenzten Bestand zu verpassen”.

Die gestohlenen NFTs wurden laut TRM Labs zunächst über Marktplätze gegen Ether verkauft. Der Großteil der Erlöse sei auf drei verschiedene Wallets überwiesen worden, bevor die Gelder über den Ethereum-Mixer Tornado Cash auf weitere Wallets verschoben und über “dezentrale Dienste, Glücksspiel-Websites und einen Darknet-Markt” in Bitcoin getauscht wurden. Eine der drei Wallets “war auch mit Wallets verbunden, die direkt mit anderen Discord-Kompromittierungen in Verbindung standen, die im Mai und Juni 2022 stattfanden”, so TRM Labs.

Wer oder wie viele Personen hinter den Attacken stecken, ist bislang unklar. Die professionelle Herangehensweise lasse aber auf mehrere Akteure schließen, die Teil einer Hacker-Gruppe sein könnten.

Wie man sich schützen kann

Discord nehme “die Sicherheit aller Nutzer und Communities sehr ernst”, erklärt ein Discord-Sprecher gegenüber BTC-ECHO. Obwohl es “klare Kontrollmechanismen” gebe, entwickle man weiterhin Methoden, “Social-Engineering-Angriffe zu erschweren” und verbessere “Tools, um unsere Nutzer zu schützen”. Das Unternehmen investiere “kontinuierlich in Sicherheitsverbesserungen”, verdächtige Nutzer würden gesperrt, Server abgeschaltet. Spam könne direkt bei Discod gemeldet werden, zudem werde ein System getestet, “das Server auf unauthentisches Verhalten neuer Mitglieder hin überwacht und den Server proaktiv in einen sicheren Modus versetzt”.

Letztlich müssen Nutzer aber wachsam sein. “Einzelpersonen sollten auf gängige Angriffsvektoren, einschließlich Plattformen wie Discord, und gängige Taktiken von Bedrohungsakteuren achten, einschließlich Phishing-Angriffe, die FOMO-induzierende Sprache verwenden”, sagt TRM-Ermittlerin Monika Laird zu BTC-ECHO. “Benutzer können auch die Nachrichten auf den anderen Social-Media-Konten eines Projekts auf Plattformen wie Telegram, Twitter oder Instagram überprüfen, um zu sehen, ob dort Werbegeschenke beworben oder diskutiert werden”.

Rückgängig lassen sich die Phishing-Attacken nicht machen. Die beste Vorkehrung: Vorsicht – keine Daten weitergeben, sich nicht von angeblichen Gewinnaktionen täuschen lassen, auf keine verdächtigen Links klicken. Oftmals geben sich betrügerische Aktionen schon auf den ersten Blick zu erkennen. Etwa wenn sie angeblich von prominenten Personen wie Vitalik Buterin oder Charles Hoskinson beworben werden. Oder nur noch kurze Zeit verfügbar sind. Bis auf wenige Ausnahmen gilt: Im Internet wird nichts verschenkt, auf Discord-Servern schon gar nicht.