ERC-20-Token: Trotz Korrekturen immer noch ein Nährboden für Krypto-Betrug

ERC-20-Token, die in der Kryptoindustrie weit verbreitet sind, sind weiterhin anfällig für Diebstahl. Durch Updates zur Effizienzsteigerung wurden neue Schlupflöcher geschaffen, die von böswilligen Akteuren ausgenutzt werden. Trotz der Ernsthaftigkeit des Problems nehmen die Betrügereien, die auf ERC-20-Token abzielen, weiter zu, wobei selbst erfahrene Krypto-Benutzer Opfer werden. Die Unveränderlichkeit intelligenter Verträge erschwert Bemühungen zur Behebung von Fehlern im ERC-20-Design, während Social-Engineering-Taktiken nach wie vor ein Haupttreiber dieser Angriffe sind.

ERC-20 Tokens: A Breeding Ground for Crypto Scams, Despite Intended Fixes

ERC-20-Token: Ein Nährboden für Krypto-Betrügereien, trotz geplanter Korrekturen

Introduction

Einführung

ERC-20 tokens, the ubiquitous token standard on the Ethereum network, have become a prime target for malicious actors, accounting for a staggering 89.5% of crypto losses due to phishing scams in March alone. This alarming statistic underscores the inherent vulnerabilities within the ERC-20 design, which have been inadvertently exacerbated by updates intended to enhance efficiency.

ERC-20-Token, der allgegenwärtige Token-Standard im Ethereum-Netzwerk, sind zu einem Hauptziel für böswillige Akteure geworden und machten allein im März unglaubliche 89,5 % der Krypto-Verluste aufgrund von Phishing-Betrügereien aus. Diese alarmierende Statistik unterstreicht die inhärenten Schwachstellen im ERC-20-Design, die durch Aktualisierungen zur Effizienzsteigerung unbeabsichtigt verschärft wurden.

Historical Context and Design Flaws

Historischer Kontext und Designfehler

Introduced in 2015, ERC-20 tokens have long suffered from gaping security holes. These flaws stem from fundamental design decisions made early on, according to Mikko Ohtamaa, co-founder of Trading Strategy. These design flaws are particularly problematic for Ethereum and Solana, while other chains have implemented fixes.

Die 2015 eingeführten ERC-20-Token leiden seit langem unter klaffenden Sicherheitslücken. Laut Mikko Ohtamaa, Mitbegründer von Trading Strategy, sind diese Mängel auf grundlegende Designentscheidungen zurückzuführen, die frühzeitig getroffen wurden. Diese Designfehler sind besonders problematisch für Ethereum und Solana, während andere Ketten Korrekturen implementiert haben.

However, the immutable nature of smart contracts complicates efforts to rectify the shortcomings of ERC-20 tokens, further exacerbating the problem.

Allerdings erschwert die Unveränderlichkeit intelligenter Verträge die Bemühungen, die Mängel von ERC-20-Tokens zu beheben, was das Problem weiter verschärft.

Uniswap's Permit2: A Case Study in Unintended Consequences

Uniswap's Permit2: Eine Fallstudie zu unbeabsichtigten Folgen

Uniswap's Permit2, launched in 2022, aimed to enhance transactions by allowing batch token approvals for DApps. This update aimed to reduce gas fees by eliminating the need for separate approvals for each transaction.

Permit2 von Uniswap wurde 2022 eingeführt und zielte darauf ab, Transaktionen zu verbessern, indem Batch-Token-Genehmigungen für DApps ermöglicht wurden. Ziel dieser Aktualisierung war es, die Gasgebühren zu senken, indem die Notwendigkeit separater Genehmigungen für jede Transaktion entfällt.

However, as security researcher Roman Rakhlin demonstrated shortly after its release, illicit actors could obtain permit signatures through phishing schemes, facilitating the theft of tokens from unsuspecting victims. Despite his warnings, Uniswap has yet to respond to requests for comment.

Doch wie der Sicherheitsforscher Roman Rakhlin kurz nach der Veröffentlichung zeigte, könnten illegale Akteure durch Phishing-Maßnahmen Genehmigungssignaturen erhalten und so den Diebstahl von Tokens von ahnungslosen Opfern erleichtern. Trotz seiner Warnungen hat Uniswap noch nicht auf Anfragen nach Kommentaren reagiert.

ERC-20 and Cryptocurrency Scams

ERC-20- und Kryptowährungsbetrug

ERC-20 tokens, despite their shortcomings, revolutionized the creation and use of fungible tokens on Ethereum. However, their interactions with smart contracts differ significantly from Ether, the native currency, creating opportunities for malicious actors.

ERC-20-Token haben trotz ihrer Mängel die Erstellung und Verwendung fungibler Token auf Ethereum revolutioniert. Allerdings unterscheiden sich ihre Interaktionen mit Smart Contracts erheblich von Ether, der einheimischen Währung, was Möglichkeiten für böswillige Akteure schafft.

For instance, malicious entities can exploit the approval process required for ERC-20 token interactions with smart contracts, tricking users into signing fraudulent messages. Mikhail Vladimirov, an Ethereum developer and auditor, highlights this fundamental flaw in the standard's design.

Beispielsweise können böswillige Unternehmen den Genehmigungsprozess ausnutzen, der für ERC-20-Token-Interaktionen mit Smart Contracts erforderlich ist, und Benutzer dazu verleiten, betrügerische Nachrichten zu signieren. Mikhail Vladimirov, ein Ethereum-Entwickler und Prüfer, weist auf diesen grundlegenden Fehler im Design des Standards hin.

Moreover, functions such as increaseAllowance and decreaseAllowance, introduced in 2017 to address theoretical attack vectors, have themselves become avenues for scams. Lev Menshikov, a security researcher at Oxorio, explains that attackers can manipulate the increasedAllowance function to trick users into increasing token allowances, enabling the theft of approved tokens.

Darüber hinaus sind Funktionen wie raiseAllowance und verringerteAllowance, die 2017 eingeführt wurden, um theoretische Angriffsvektoren zu adressieren, selbst zu Möglichkeiten für Betrüger geworden. Lev Menschikow, ein Sicherheitsforscher bei Oxorio, erklärt, dass Angreifer die Funktion „erhöhte Zulässigkeit“ manipulieren können, um Benutzer dazu zu verleiten, die Token-Zuteilungen zu erhöhen und so den Diebstahl genehmigter Token zu ermöglichen.

The Immutable Curse: A Roadblock to Security

Der unveränderliche Fluch: Ein Hindernis für die Sicherheit

Despite efforts to mitigate the risks associated with the increasedAllowance function, its removal from the ERC-20 contract and relocation to an extension highlight the limitations imposed by the immutability of smart contracts. Existing tokens cannot be modified, leaving them vulnerable to scams.

Trotz der Bemühungen, die mit der Funktion „Erhöhte Zulage“ verbundenen Risiken zu mindern, verdeutlichen ihre Streichung aus dem ERC-20-Vertrag und ihre Verlagerung in eine Erweiterung die Einschränkungen, die sich aus der Unveränderlichkeit intelligenter Verträge ergeben. Bestehende Token können nicht geändert werden, wodurch sie anfällig für Betrug sind.

While upgradable proxies and intermediary contracts offer workarounds, they cannot eliminate the fundamental attack vector posed by the approve function.

Während aktualisierbare Proxys und Zwischenverträge Workarounds bieten, können sie den grundlegenden Angriffsvektor der Genehmigungsfunktion nicht beseitigen.

Social Engineering: A Primary Facilitator

Social Engineering: Ein primärer Vermittler

Vladimirov argues that the proliferation of scams is primarily attributable to social engineering tactics that exploit human vulnerabilities rather than technological flaws. He emphasizes the need for wallets to adopt simpler, more user-friendly interfaces to reduce susceptibility to scams.

Vladimirov argumentiert, dass die Verbreitung von Betrügereien in erster Linie auf Social-Engineering-Taktiken zurückzuführen ist, die menschliche Schwachstellen und nicht technologische Mängel ausnutzen. Er betont die Notwendigkeit, dass Wallets einfachere und benutzerfreundlichere Schnittstellen einführen, um die Anfälligkeit für Betrug zu verringern.

Phishing Attacks: A Growing Threat

Phishing-Angriffe: Eine wachsende Bedrohung

Phishing attacks have become increasingly sophisticated, targeting even experienced crypto users like Necksus, a crypto miner and intelligence analyst. Necksus fell victim to a phishing scheme that resulted in a significant loss of funds.

Phishing-Angriffe werden immer ausgefeilter und zielen sogar auf erfahrene Krypto-Benutzer wie Necksus, einen Krypto-Miner und Geheimdienstanalysten. Necksus wurde Opfer eines Phishing-Angriffs, der zu einem erheblichen Verlust von Geldern führte.

Even users who employ additional precautionary measures, such as transaction simulators, are not immune to these attacks. Oxorio's Menshikov warns of emerging trends in phishing, such as attacks targeting ENS domain owners.

Selbst Nutzer, die zusätzliche Vorsichtsmaßnahmen wie Transaktionssimulatoren nutzen, sind vor diesen Angriffen nicht gefeit. Menschikow von Oxorio warnt vor aufkommenden Phishing-Trends, etwa Angriffen auf ENS-Domainbesitzer.

Solutions: The Elusive Panacea

Lösungen: Das schwer fassbare Allheilmittel

Vladimirov believes that on-chain solutions are inadequate to combat phishing attacks, emphasizing the role of social engineering as a longstanding problem that predates cryptocurrency. He advocates for the development of security tools that can alert users to known attack vectors.

Vladimirov glaubt, dass On-Chain-Lösungen nicht ausreichen, um Phishing-Angriffe zu bekämpfen, und betont die Rolle von Social Engineering als ein seit langem bestehendes Problem, das älter ist als die Kryptowährung. Er plädiert für die Entwicklung von Sicherheitstools, die Benutzer vor bekannten Angriffsvektoren warnen können.

Larry the Cucumber, co-founder of Pickle Finance, recommends using security tools like WalletGuard and Pocket Universe to detect malicious URLs and protect against wallet drainers.

Larry the Cucumber, Mitbegründer von Pickle Finance, empfiehlt den Einsatz von Sicherheitstools wie WalletGuard und Pocket Universe, um bösartige URLs zu erkennen und sich vor Wallet-Leerungen zu schützen.

Pcaversaccio, an independent security researcher, urges extreme caution, advising users to be suspicious of all communications and to carefully scrutinize every transaction they sign.

Pcaversaccio, ein unabhängiger Sicherheitsforscher, mahnt zu äußerster Vorsicht und rät Benutzern, bei jeglicher Kommunikation misstrauisch zu sein und jede von ihnen unterzeichnete Transaktion sorgfältig zu prüfen.

A Cynical Perspective

Eine zynische Perspektive

Ohtamaa offers a somewhat cynical view, suggesting that addressing the issue would be less profitable than offering remedies after the fact. He cites the adage, "It is always more profitable to sell aspirin than to cure the patient."

Ohtamaa vertritt eine etwas zynische Sichtweise und meint, dass es weniger profitabel wäre, das Problem anzugehen, als im Nachhinein Abhilfe zu schaffen. Er zitiert das Sprichwort: „Es ist immer profitabler, Aspirin zu verkaufen, als den Patienten zu heilen.“

Conclusion

Abschluss

ERC-20 tokens, despite their ubiquitous presence, remain vulnerable to scams due to inherent design flaws and the immutability of smart contracts. While efforts have been made to address these vulnerabilities, the proliferation of social engineering tactics has made phishing attacks an ever-present threat. The onus falls on the security community to develop tools and educate users to mitigate these risks. Until then, the crypto landscape will continue to be plagued by scams that exploit the weaknesses of the ERC-20 standard.

ERC-20-Token bleiben trotz ihrer allgegenwärtigen Präsenz aufgrund inhärenter Designfehler und der Unveränderlichkeit intelligenter Verträge anfällig für Betrug. Obwohl Anstrengungen unternommen wurden, um diese Schwachstellen zu beheben, hat die Verbreitung von Social-Engineering-Taktiken Phishing-Angriffe zu einer allgegenwärtigen Bedrohung gemacht. Es liegt in der Verantwortung der Sicherheitsgemeinschaft, Tools zu entwickeln und Benutzer zu schulen, um diese Risiken zu mindern. Bis dahin wird die Kryptolandschaft weiterhin von Betrügereien heimgesucht, die die Schwächen des ERC-20-Standards ausnutzen.