Wie funktionieren NFT-Betrügereien normalerweise?

Phishing und Fake-Marketplace-Identitätsbetrug

1. Betrüger erstellen Websites, die legitime NFT-Marktplätze wie OpenSea oder Blur widerspiegeln, und verwenden dabei nahezu identische Logos, Farbschemata und Navigationslayouts.

2. Diese gefälschten Plattformen zeigen Trendkollektionen und gefälschte Mindestpreise, um Benutzer dazu zu verleiten, ihre Geldbörsen zu verbinden.

3. Sobald eine Wallet verbunden ist, lösen bösartige Skripte unbefugte Genehmigungen aus und gewähren dem Angreifer vollen Zugriff auf alle in dieser Wallet gespeicherten NFTs.

4. Opfer bemerken den Diebstahl oft erst, wenn sie unerwartete Transaktionen auf Etherscan sehen oder fehlende Vermögenswerte in ihrer Wallet-Schnittstelle bemerken.

5. Die gestohlenen NFTs werden sofort gelistet und auf mehreren Sekundärmärkten verkauft, wobei die Erlöse über Mixer-Dienste zur unklaren Rückverfolgung weitergeleitet werden.

Rug Pulls in NFT-basierten Gaming-Ökosystemen

1. Ein Projekt bringt ein NFT-Spiel auf den Markt, das eine Spiel-zu-Verdienen-Mechanik verspricht, unterstützt durch Hochglanz-Trailer, Influencer-Empfehlungen und Discord-Communitys mit mehr als 50.000 Mitgliedern.

2. Early Adopters kaufen Charakter-NFTs oder Grundstücke mit ETH oder plattformeigenen Token und glauben an einen langfristigen Nutzen und Wertzuwachs.

3. Entwickler deaktivieren nach und nach Kernfunktionen – wie Staking-Belohnungen, Token-Bridging oder Marktplatz-Listings – und fördern gleichzeitig weiterhin neue Mint-Events.

4. Dem Uniswap-Pool des nativen Tokens wird Liquidität entzogen, was dazu führt, dass sein Preis innerhalb von 72 Stunden nach der endgültigen Ankündigung um über 95 % einbricht.

5. Gründer verschwinden aus sozialen Kanälen und mit dem Projekt verbundene Domainnamen verfallen ohne Verlängerung.

Social Engineering über DM und Community-Kanäle

1. Angreifer überwachen öffentliche Twitter/X-Profile und Discord-Server, um aktive Sammler zu identifizieren, die kürzlich hochwertige NFTs erworben haben.

2. Sie verschicken Direktnachrichten, in denen sie sich als Support-Mitarbeiter bekannter Plattformen ausgeben und auf „verdächtige Aktivitäten“ oder „Wallet-Verifizierung erforderlich“ verweisen.

3. In diesen Nachrichten eingebettete Links führen zu gehosteten Seiten, die Signaturanfragen für scheinbar harmlose Transaktionen anfordern – und tatsächlich unbegrenzte ERC-20- oder ERC-721-Genehmigungen gewähren.

4. Einige Varianten nutzen die Imitation von Sprachanrufen, ahmen Kundendiensttöne nach und führen die Opfer durch die MetaMask-Bestätigungsschritte.

5. Kompromittierte Konten werden dann verwendet, um identische Betrugslinks an die Kontaktliste des Opfers zu spammen, was die Ausbreitungsgeschwindigkeit erhöht.

Falschmünzerei und Metadatenmanipulation

1. Ein Angreifer setzt einen Smart Contract ein, der den Token-Standard und die Metadatenstruktur einer etablierten Sammlung wie Bored Ape Yacht Club repliziert.

2. Off-Chain-Metadaten werden auf dezentralen Speichern wie IPFS gehostet, verweisen aber auf veränderte Bilddateien – leicht veränderte Avatare mit vertauschten Accessoires oder Farbpaletten.

3. Diese Fälschungen werden auf Aggregatoren mit ähnlichen Sammlungsnamen gelistet, wobei auf visuelle Ähnlichkeit und niedrige Listungsgebühren geachtet wird, um neben authentischen Objekten zu erscheinen.

4. Käufer, die QR-Codes scannen oder in Tools von Drittanbietern auf „Sammlung überprüfen“ klicken, erhalten aufgrund einer unvollständigen Logik zur Vertragsadressenvalidierung möglicherweise falsch positive Ergebnisse.

5. Nach dem Kauf wird der NFT in den meisten Wallet-Schnittstellen korrekt angezeigt, wodurch das Fehlen einer offiziellen Herkunft oder Mechanismen zur Durchsetzung von Lizenzgebühren verschleiert wird.

Häufig gestellte Fragen

F1: Können Hardware-Wallets NFT-Betrug verhindern? Hardware-Wallets schützen private Schlüssel, verhindern jedoch nicht signaturbasierte Genehmigungs-Exploits. Benutzer müssen jedes Transaktionsdetail auf dem Gerät überprüfen – und nicht nur Eingabeaufforderungen blind genehmigen.

F2: Gewährleisten verifizierte Sammlungen auf Marktplätzen Sicherheit? Durch die Überprüfung wird nur bestätigt, dass die Vertragsadresse mit der offiziellen übereinstimmt. Dabei werden die zugrunde liegenden Coderisiken, die wirtschaftliche Nachhaltigkeit oder die Glaubwürdigkeit des Teams nicht bewertet.

F3: Warum bevorzugen Betrüger Ethereum gegenüber anderen Ketten für NFT-Betrug? Die Dominanz von Ethereum beim NFT-Volumen, das ausgereifte Tool-Ökosystem und die weit verbreitete Wallet-Kompatibilität verringern die Reibung bei der Ausführung und Monetarisierung von Angriffen.

F4: Sind NFT-Lizenzgebühren gegen Betrüger durchsetzbar? Die Durchsetzung von Lizenzgebühren basiert auf der Einhaltung von Marktbedingungen und der Logik auf Vertragsebene. Betrüger, die auf unregulierten oder abgezweigten Marktplätzen agieren, umgehen die Lizenzgebührenmechanismen vollständig.