ERC-20-Token: Ein Nährboden für Kryptowährungsdiebstahl

ERC-20-Token werden häufig bei Krypto-Betrügereien gestohlen, wobei Phishing-Angriffe einen erheblichen Teil der Verluste ausmachen. Der Genehmigungsmechanismus des Token-Standards, der darauf ausgelegt ist, Transaktionen zu rationalisieren, hat unwissentlich Diebstahl erleichtert, indem böswillige Akteure Funktionen wie „Zulassen“ und „Zulässigkeit erhöhen“ ausnutzen. Trotz der Versuche, diese Schwachstellen zu beheben, ist es aufgrund der Unveränderlichkeit intelligenter Verträge schwierig, die Mängel von ERC-20 zu beheben. Darüber hinaus sind Phishing-Betrügereien im Ethereum-Ökosystem weit verbreitet, wobei selbst erfahrene Krypto-Benutzer Opfer von Social-Engineering-Taktiken werden. Sicherheitsexperten betonen die Notwendigkeit von Vorsicht und Bewusstsein, um Phishing-Risiken zu mindern.

ERC-20 Tokens: A Breeding Ground for Crypto Theft

ERC-20-Token: Ein Nährboden für Kryptodiebstahl

Within the ever-evolving realm of cryptocurrencies, ERC-20 tokens have emerged as a ubiquitous standard, accounting for a staggering 89.5% of the $71.5 million worth of crypto assets pilfered through phishing scams in March alone, according to the reputable firm Rip-off Sniffer. This alarming statistic highlights a fundamental flaw within the design of ERC-20 tokens, leaving them vulnerable to exploitation.

Im sich ständig weiterentwickelnden Bereich der Kryptowährungen haben sich ERC-20-Token zu einem allgegenwärtigen Standard entwickelt und machen laut der renommierten Firma Rip-off allein im März erstaunliche 89,5 % der Krypto-Assets im Wert von 71,5 Millionen US-Dollar aus, die durch Phishing-Betrügereien gestohlen wurden Schnüffler. Diese alarmierende Statistik verdeutlicht einen grundlegenden Fehler im Design der ERC-20-Token, der sie anfällig für Ausbeutung macht.

At the heart of the problem lie features such as "allow" and "increaseAllowance," intended to enhance the efficiency of the token standard. However, these very mechanisms have inadvertently introduced new vulnerabilities, creating a breeding ground for sophisticated theft schemes.

Im Zentrum des Problems stehen Funktionen wie „allow“ und „increaseAllowance“, die die Effizienz des Token-Standards steigern sollen. Allerdings haben genau diese Mechanismen unbeabsichtigt neue Schwachstellen geschaffen und so einen Nährboden für raffinierte Diebstahlspläne geschaffen.

Origins of the Flaw: An Inherent Design Flaw

Ursprünge des Fehlers: Ein inhärenter Designfehler

First introduced in 2015, ERC-20 tokens possess inherent security loopholes that have allowed malicious actors to exploit unsuspecting victims, often through phishing attacks. Mikko Ohtamaa, co-founder of the algorithmic trading protocol Trading Strategy, attributes these vulnerabilities to poor design choices embedded within Ethereum and, to a lesser extent, Solana.

ERC-20-Token wurden erstmals im Jahr 2015 eingeführt und weisen inhärente Sicherheitslücken auf, die es böswilligen Akteuren ermöglicht haben, ahnungslose Opfer auszunutzen, häufig durch Phishing-Angriffe. Mikko Ohtamaa, Mitbegründer des algorithmischen Handelsprotokolls Trading Strategy, führt diese Schwachstellen auf schlechte Designentscheidungen bei Ethereum und in geringerem Maße auch bei Solana zurück.

"The immutability of smart contracts complicates efforts to rectify ERC-20's flaws," explains Ohtamaa. This characteristic, while crucial for maintaining the integrity of blockchain technology, presents a significant obstacle to patching vulnerabilities in existing contracts.

„Die Unveränderlichkeit intelligenter Verträge erschwert die Bemühungen, die Mängel von ERC-20 zu beheben“, erklärt Ohtamaa. Diese Eigenschaft ist zwar entscheidend für die Aufrechterhaltung der Integrität der Blockchain-Technologie, stellt jedoch ein erhebliches Hindernis für die Behebung von Schwachstellen in bestehenden Verträgen dar.

Phishing Attacks: Leveraging Uniswap's Permit2

Phishing-Angriffe: Nutzung der Genehmigung von Uniswap2

Phishing scams have become a primary mode of attack for crypto thieves, with Ethereum serving as a prime target. Uniswap, a prominent decentralized exchange, sought to address the inconvenience of separate approvals for each transaction by introducing Permit2, a smart contract released in 2022.

Phishing-Betrügereien sind für Kryptodiebe zu einer primären Angriffsmethode geworden, wobei Ethereum als Hauptziel dient. Uniswap, eine bekannte dezentrale Börse, versuchte, die Unannehmlichkeiten separater Genehmigungen für jede Transaktion zu beseitigen, indem sie Permit2 einführte, einen intelligenten Vertrag, der im Jahr 2022 veröffentlicht wurde.

Permit2 aimed to streamline the process by allowing users to grant batch token approvals to decentralized applications (DApps), thereby eliminating the need for multiple on-chain approvals and reducing gas fees. However, this seemingly innocuous solution opened up a new avenue for illicit actors to obtain "allow" signatures through phishing schemes, ultimately siphoning tokens from unsuspecting victims.

Permit2 zielte darauf ab, den Prozess zu rationalisieren, indem es Benutzern ermöglicht, dezentralen Anwendungen (DApps) Batch-Token-Genehmigungen zu erteilen, wodurch die Notwendigkeit mehrerer On-Chain-Genehmigungen entfällt und die Gasgebühren gesenkt werden. Diese scheinbar harmlose Lösung eröffnete illegalen Akteuren jedoch eine neue Möglichkeit, über Phishing-Angriffe „Zulassungssignaturen“ zu erhalten und letztlich Token von ahnungslosen Opfern abzuzapfen.

Limitations of the "Approve" Mechanism

Einschränkungen des „Genehmigungs“-Mechanismus

The core functionalities of the ERC-20 standard, including the "approve" mechanism, have been instrumental in catalyzing the rise of decentralized finance (DeFi). However, this mechanism has also become a target for malicious entities to deceive users into signing fraudulent messages, exploiting the discrepancy between Ethereum's native currency, Ether, and ERC-20 tokens in their interaction with smart contracts.

Die Kernfunktionen des ERC-20-Standards, einschließlich des „Genehmigungs“-Mechanismus, haben maßgeblich dazu beigetragen, den Aufstieg des dezentralen Finanzwesens (DeFi) voranzutreiben. Allerdings ist dieser Mechanismus auch zum Ziel böswilliger Einheiten geworden, die Benutzer dazu verleiten, betrügerische Nachrichten zu signieren, indem sie die Diskrepanz zwischen Ethereums Heimatwährung Ether und ERC-20-Tokens bei der Interaktion mit Smart Contracts ausnutzen.

While sending Ether to a smart contract is straightforward, ERC-20 tokens require explicit approvals when interacting with different smart contracts. This approval process becomes a prime target for malicious actors seeking to trick victims into granting unintended access to their funds.

Während das Senden von Ether an einen Smart Contract unkompliziert ist, erfordern ERC-20-Token bei der Interaktion mit verschiedenen Smart Contracts explizite Genehmigungen. Dieser Genehmigungsprozess wird zum Hauptziel für böswillige Akteure, die Opfer dazu verleiten wollen, unbeabsichtigt Zugriff auf ihre Gelder zu gewähren.

The Immutable Curse: A Dilemma for Developers

Der unveränderliche Fluch: Ein Dilemma für Entwickler

The immutable nature of smart contracts poses a significant challenge for developers seeking to address the vulnerabilities in ERC-20 tokens. Changes to existing tokens in circulation are virtually impossible, leaving them perpetually susceptible to exploitation.

Die Unveränderlichkeit intelligenter Verträge stellt eine große Herausforderung für Entwickler dar, die die Schwachstellen in ERC-20-Tokens beheben möchten. Änderungen an bereits im Umlauf befindlichen Token sind praktisch unmöglich, so dass sie ständig anfällig für Ausbeutung sind.

However, some projects have attempted to circumvent this limitation by employing upgradable proxies or middleman contracts. These solutions provide a degree of flexibility, allowing developers to modify or eliminate non-core functionalities, such as "increaseAllowance" and "allow." Uniswap's Permit2, for example, extended the "allow" functionality to ERC-20 tokens that lacked it natively.

Einige Projekte haben jedoch versucht, diese Einschränkung durch den Einsatz aktualisierbarer Proxys oder Mittelsmannverträge zu umgehen. Diese Lösungen bieten ein gewisses Maß an Flexibilität und ermöglichen es Entwicklern, nicht zum Kerngeschäft gehörende Funktionen wie „increaseAllowance“ und „allow“ zu ändern oder zu eliminieren. Permit2 von Uniswap hat beispielsweise die „Zulassen“-Funktion auf ERC-20-Token ausgeweitet, denen sie nativ fehlte.

The Social Engineering Factor

Der Social-Engineering-Faktor

Despite the technical flaws in ERC-20 token design, social engineering techniques play a significant role in the success of phishing scams. These tactics manipulate human behavior, exploiting psychological vulnerabilities to trick victims into compromising their security.

Trotz der technischen Mängel im ERC-20-Token-Design spielen Social-Engineering-Techniken eine wichtige Rolle für den Erfolg von Phishing-Betrügereien. Diese Taktiken manipulieren menschliches Verhalten und nutzen psychologische Schwachstellen aus, um Opfer dazu zu bringen, ihre Sicherheit zu gefährden.

Mikhail Vladimirov, an Ethereum developer and smart contract auditor, emphasizes the importance of user education and simplified wallet interfaces to mitigate the risks associated with phishing attacks. He argues that overly technical jargon and complex codes often confuse users, making them more susceptible to scams.

Mikhail Vladimirov, ein Ethereum-Entwickler und Smart-Contract-Prüfer, betont die Bedeutung der Benutzerschulung und vereinfachter Wallet-Schnittstellen, um die mit Phishing-Angriffen verbundenen Risiken zu mindern. Er argumentiert, dass übermäßig technischer Jargon und komplexe Codes die Benutzer oft verwirren und sie anfälliger für Betrügereien machen.

Are Phishing Scams a Priority?

Haben Phishing-Betrug Priorität?

The security community has been criticized for not prioritizing phishing scams, primarily attributed to their impact on less experienced users or flaws in front-end interfaces. Some researchers dismiss them as a "silly user problem" or a responsibility of wallet and front-end developers.

Die Sicherheitsgemeinschaft wurde dafür kritisiert, dass sie Phishing-Betrügereien keine Priorität einräumt, was in erster Linie auf deren Auswirkungen auf weniger erfahrene Benutzer oder auf Mängel in den Front-End-Schnittstellen zurückgeführt wird. Einige Forscher lehnen sie als „albernes Benutzerproblem“ oder als eine Verantwortung der Wallet- und Front-End-Entwickler ab.

However, the prevalence of phishing attacks has expanded beyond novice users, and even experienced crypto enthusiasts have fallen victim to sophisticated social engineering schemes. Necksus, a crypto miner and collaborator with the forensics platform Intelligence On Chain, lost approximately $20,000 to a phishing scam after being deceived by a compromised NFT artist's account.

Die Verbreitung von Phishing-Angriffen hat sich jedoch nicht nur auf unerfahrene Benutzer ausgeweitet, und selbst erfahrene Krypto-Enthusiasten sind Opfer ausgefeilter Social-Engineering-Maßnahmen geworden. Necksus, ein Krypto-Miner und Mitarbeiter der Forensik-Plattform Intelligence On Chain, verlor etwa 20.000 US-Dollar durch einen Phishing-Betrug, nachdem er durch das Konto eines kompromittierten NFT-Künstlers getäuscht wurde.

Emerging Trends in Phishing Attacks

Neue Trends bei Phishing-Angriffen

Phishing scams are constantly evolving, with attackers employing increasingly creative techniques. Lev Menshikov of Oxorio, an auditing agency, highlights the rising popularity of attacks targeting ENS (Ethereum Name Service) domain owners. In this scheme, attackers send fraudulent email alerts to ENS domain owners, luring them to a bogus renewal website where their funds are extorted.

Phishing-Betrügereien entwickeln sich ständig weiter, wobei die Angreifer immer kreativere Techniken einsetzen. Lev Menshikov von Oxorio, einer Wirtschaftsprüfungsagentur, betont die zunehmende Beliebtheit von Angriffen, die auf Inhaber von ENS-Domains (Ethereum Name Service) abzielen. Bei diesem Plan senden Angreifer betrügerische E-Mail-Benachrichtigungen an ENS-Domaininhaber und locken diese auf eine gefälschte Erneuerungswebsite, auf der sie um ihr Geld erpresst werden.

Mitigating Risks and Protecting Assets

Risiken mindern und Vermögenswerte schützen

While the immutability of smart contracts and the vast array of tokens make it challenging to prevent attacks on a purely on-chain level, a combination of security tools and user vigilance can significantly reduce the risk of falling victim to phishing scams.

Während die Unveränderlichkeit intelligenter Verträge und die große Auswahl an Token es schwierig machen, Angriffe auf reiner On-Chain-Ebene zu verhindern, kann eine Kombination aus Sicherheitstools und Benutzerwache das Risiko, Opfer von Phishing-Betrügereien zu werden, erheblich verringern.

WalletGuard and Pocket Universe are examples of security tools that allow users to scan URLs for potential risks and identify potential wallet drainers. By exercising caution and maintaining a heightened awareness of phishing attempts, crypto users can protect their digital assets from malicious actors.

WalletGuard und Pocket Universe sind Beispiele für Sicherheitstools, mit denen Benutzer URLs auf potenzielle Risiken scannen und potenzielle Geldbeutelfresser identifizieren können. Durch Vorsicht und ein erhöhtes Bewusstsein für Phishing-Versuche können Krypto-Benutzer ihre digitalen Vermögenswerte vor böswilligen Akteuren schützen.

A Cynical View: Profiting from Unresolved Issues

Eine zynische Sichtweise: Von ungelösten Problemen profitieren

Some experts, like Ohtamaa, believe that there is a lack of incentive to resolve the phishing problem in the cryptocurrency industry. "It's always more profitable to sell aspirin than to cure the patient," he says, implying that the financial rewards of exploiting vulnerabilities outweigh the efforts required to fix them.

Einige Experten wie Ohtamaa glauben, dass es an Anreizen mangelt, das Phishing-Problem in der Kryptowährungsbranche zu lösen. „Es ist immer profitabler, Aspirin zu verkaufen, als den Patienten zu heilen“, sagt er und deutet damit an, dass die finanziellen Vorteile der Ausnutzung von Schwachstellen den Aufwand für deren Behebung überwiegen.

As the cryptocurrency ecosystem continues to evolve, it remains essential for developers, security researchers, and users to work together to address the ongoing threat of phishing scams. By understanding the vulnerabilities inherent in ERC-20 tokens and adopting proactive measures, crypto users can safeguard their digital assets and contribute to a more secure future for the crypto community.

Während sich das Kryptowährungs-Ökosystem weiterentwickelt, ist es für Entwickler, Sicherheitsforscher und Benutzer weiterhin wichtig, zusammenzuarbeiten, um der anhaltenden Bedrohung durch Phishing-Betrug zu begegnen. Durch das Verständnis der mit ERC-20-Tokens verbundenen Schwachstellen und die Ergreifung proaktiver Maßnahmen können Krypto-Benutzer ihre digitalen Vermögenswerte schützen und zu einer sichereren Zukunft für die Krypto-Community beitragen.