“Die Blockchain ist eine der sichersten Verwahrmethoden weltweit.” – Diese oder ähnliche Aussagen haben sich im Krypto-Space schon fast zu einem Mantra entwickelt. Nun wurden am 20. Februar Nutzer:innen des NFT-Marktplatz OpenSea Opfer einer Phishing-Attacke. Ist die Blockchain also doch gar nicht so sicher, wie immer alle sagen?

OpenSea: Das ist passiert

Am 20. Februar tauchte auf Twitter eine Meldung von OpenSea auf. Darin hieß es: “Wir untersuchen derzeit Gerüchte über eine Sicherheitslücke in Zusammenhang mit OpenSea verbundenen Smart Contracts.” Diese Nachricht ließ bereits vermuteten, dass man von einem Phishing-Angriff von außerhalb der OpenSea-Website ausging. Zudem warnte man davor, fremde Links anzuklicken.

Anschließend betonte OpenSea die Bekämpfung des Angriffs, bat die Community um Hinweise und gab schlussendlich bekannt, dass 17 Wallets betroffen waren. Unter den erbeuteten NFTs finden sich unter anderem drei Bored Ape Yacht Club Affen, die für jeweils 108 ETH, umgerechnet fast 300.000 US-Dollar, bereits weiter transferiert wurden. Weiteres Diebesgut war eine sogenannte Cool Cat, mehrere Azuki Token, zwei CloneX und mehr.

Trotzdem die Wallet-Adresse der Angreifer:innen offen ersichtlich ist (0x3e0defb880cd8e163bad68abe66437f99a7a8a74), konnten die Schuldigen bislang noch nicht identifiziert werden. Trotzdem wurden von der Adresse seit über 15 Stunden keine Angriffe mehr getätigt. Im Gegenteil: Stattdessen sind Vice zufolge einige der NFTs bereits zurückgegeben worden.

Was ist ein Phishing Angriff?

Unter Phishing versteht man “Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben.” Eine Art Attacke, der auch im Krypto-Space immer wieder User zum Opfer fallen.

In dem aktuellen OpenSea-Fall, bedeutet das, dass die Angreifer:innen eine alte E-Mail von OpenSea kopierte und versendete, in der die Nutzer:innen dazu aufgefordert wurden, auf das neue Smart Contract Update zu migrieren. Hinter dem zum Anklicken gebotenen Link verbarg sich jedoch nicht das tatsächliche Update, sondern die Bitte, Genehmigungen mit WyvernExchange zu unterschreiben.

Sofern die Personen das gemacht haben, hatten die Angreifer:innen den “Fisch an der Angel”. Nun konnten sie die validen Signaturen für den Transfer der NFTs verwenden. Dementsprechend sind die Transaktionen an sich nicht als invalide, beziehungsweise bösartig, vom Netzwerk identifiziert worden.

Dabei wurde jedoch, wie Nadav Hollander, CTO bei OpenSea, feststellt, “Keiner dieser Aufträge zum Zeitpunkt der Unterzeichnung an OpenSea gesendet”. Das deutet folglich auf die Attacke eines Fremden hin und nicht auf eine Durchführung durch die eigentlichen Besitzer:innen hin.

Wie kann ich mich vor solchen Attacken schützen?

Zunächst ist es wichtig, das tatsächliche Update der Smart Contracts auf Ethereum durchzuführen. Nach Aussagen des Spezialisten würde das Update das Gelingen einer solchen Attacke erheblich reduzieren. Das läge unter anderem daran, dass es “die Funktion der ausgeschriebenen Daten von EIP-712 für Angreifer viel schwieriger machen [würde], jemanden dazu zu bringen, eine Bestellung zu unterzeichnen, ohne es zu merken.”

Zudem lohnt es sich, wachsam zu sein und Absender:innen sorgfältig zu überprüfen. Phishing-Attacken sind mit unter die gängigsten Betrugsversuche im digitalen Raum. Oftmals reicht schon der Klick auf den Link, um Hackern und Dieben den ungewollten Zugriff zu den eigenen Dateien und Netzwerken zu gewähren. Das gilt nicht nur für Blockchain-Technologien, sondern gleichermaßen für Online-Plattformen und digitale Accounts.