Was belastet den Geldbeutel und wie stehlen Hacker Gelder?

Mechanik zum Entleeren des Geldbeutels

1. Unter „Wallet Draining“ versteht man die unbefugte Übertragung digitaler Vermögenswerte aus einer Kryptowährungs-Wallet ohne Zustimmung oder Wissen des Besitzers.

2. Angreifer initiieren typischerweise das Draining, indem sie sich Zugriff auf private Schlüssel, Seed-Phrasen oder Sitzungstoken verschaffen, die an eine aktive Wallet-Schnittstelle gebunden sind.

3. Sobald der Zugriff hergestellt ist, führen böswillige Akteure schnelle, kostengünstige Transaktionen über mehrere Adressen hinweg aus, um die Spur zu verschleiern und On-Chain-Erkennungssysteme zu umgehen.

4. Das Entleeren erfolgt oft in Schüben – kleine Transfers, die sich über Minuten wiederholen –, um zu vermeiden, dass volumenbasierte Warnungen ausgelöst werden, die in die Backend-Überwachungstools der Wallet-Anbieter eingebettet sind.

5. Einige Löschvorgänge werden durch Malware automatisiert, die den Inhalt der Zwischenablage überwacht und bei manuellen Übertragungen kopierte Wallet-Adressen durch vom Angreifer kontrollierte ersetzt.

Gemeinsame Eintrittsvektoren

1. Es wurde beobachtet, dass bösartige Browsererweiterungen, die sich als legitime Wallet-Integrationen ausgeben, Skript-Payloads in dApp-Interaktionen einschleusen und Signaturanfragen erfassen, bevor sie die Bestätigungsaufforderung des Benutzers erreichen.

2. Gefälschte Wallet-Wiederherstellungsseiten imitieren offizielle Schnittstellen von MetaMask, Trust Wallet oder Phantom und sammeln Startphrasen, die unter dem Deckmantel der „Wiederherstellung des Zugriffs“ eingegeben werden.

3. Kompromittierte npm-Pakete, die in der Frontend-dApp-Entwicklung verwendet werden, haben heimliche Keylogger bereitgestellt, die Tastenanschläge während der Wallet-Einrichtung oder der Transaktionssignierung aufzeichnen können.

4. Phishing-E-Mails mit Links zu gefälschten Blockchain-Explorern verleiten Benutzer dazu, ihre Wallets mit bösartigen Frontends zu verbinden und Signaturberechtigungen für willkürliche Vertragsaufrufe zu erteilen.

5. Social Engineering über Discord- oder Telegram-Gruppen führt dazu, dass Opfer unter Vorspiegelung falscher Tatsachen Remote-Desktop-Software installieren – Angreifer steuern dann direkt den Computer des Opfers, um Hardware-Wallets zu entsperren oder Keystore-Dateien zu extrahieren.

On-Chain-Indikatoren für Entwässerung

1. Ein plötzlicher Anstieg ausgehender Transaktionen von einem Wallet, das zuvor eine geringe Aktivität aufwies – insbesondere wenn alle Ziele ähnliche Adressmuster aufweisen – ist ein deutliches Warnsignal.

2. Mehrere Übertragungen, die zu nahezu identischen Zeitstempeln über verschiedene Blockchains hinweg stattfinden, deuten auf eine kettenübergreifende Entleerung hin, die durch Überbrückungsprotokolle orchestriert wird.

3. Transaktionen, bei denen unbekannte Verträge eingesetzt werden oder mit neu erstellten Token-Verträgen interagieren, gehen häufig einer groß angelegten Vermögensextraktion voraus.

4. Der Einsatz von Verschleierungstechniken wie Flash-Loan-Funded-Swaps oder Multi-Hop-Routing über dezentrale Börsen erschwert die Rückverfolgung von Geldbewegungen erheblich.

5. Wiederholte Genehmigungen für unbekannte Token-Verträge – insbesondere solche ohne verifizierten Quellcode auf Etherscan oder Solscan – weisen auf eine beeinträchtigte Signaturberechtigung hin.

Sicherheitslücken in der Hardware-Wallet

1. Physische Manipulationen bleiben selten, sind aber möglich, wenn Geräte von inoffiziellen Wiederverkäufern bezogen werden; Vorab geflashte Firmware kann während der Initialisierung privates Schlüsselmaterial abfangen und weiterleiten.

2. Seitenkanalangriffe, die auf die USB-Kommunikation zwischen Hardware-Wallets und Host-Rechnern abzielen, haben sich in Laborumgebungen als machbar erwiesen und kryptografische Geheimnisse durch Zeitanalyse extrahiert.

3. Einige Ledger-Firmware-Versionen vor 2.52 enthielten Logikfehler, die es Angreifern mit physischem Zugriff ermöglichten, die Anforderungen zur erneuten PIN-Eingabe nach der ersten Entsperrung zu umgehen.

4. Es hat sich gezeigt, dass Cold-Card-Geräte, die böswilligen QR-Code-Scannern ausgesetzt sind, verschlüsselte Transaktionsdaten falsch interpretieren, was bei visueller Bestätigung zu unbeabsichtigten Geldtransfers führt.

5. Trezor Model T-Firmware v2.4.3 und früher erlaubte die willkürliche Ausführung von JavaScript innerhalb seines Web-UI-Frameworks, was eine Rechteausweitung unter bestimmten Ausnutzungsbedingungen ermöglichte.

Häufig gestellte Fragen

F: Kann eine Wallet geleert werden, auch wenn sie noch nie mit dem Internet verbunden war? A: Ja – wenn die Seed-Phrase jemals aufgeschrieben, fotografiert oder digital auf einem kompromittierten Gerät gespeichert wurde, bleiben Offline-Geldbörsen anfällig für den physischen oder digitalen Diebstahl von Wiederherstellungsmaterial.

F: Verhindern Multisig-Wallets den vollständigen Verlust? A: Nein – Multisig-Setups reduzieren das Risiko, beseitigen es aber nicht. Wenn Schwellenwertsignaturgeräte oder Co-Signer-Endpunkte kompromittiert werden, können Angreifer mithilfe gestohlener Signaturen immer noch autorisierte Abflüsse orchestrieren.

F: Ist es sicher, mein Wallet-Guthaben in öffentlichen Blockchain-Explorern anzuzeigen? A: Ja – das Anzeigen von Salden erfordert nur schreibgeschützte Abfragen. Allerdings stellt die Eingabe privater Schlüssel oder Seed-Phrasen in eine Website, selbst wenn Explorer eine „Wallet-Inspektion“ behaupten, eine unmittelbare Kompromittierung dar.

F: Warum erscheinen abgezogene Gelder selten auf zentralisierten Börseneinzahlungsadressen? A: Angreifer bevorzugen dezentrale Geldwäschemethoden, darunter Mixer-Dienste, datenschutzorientierte Ketten wie Monero oder Chain-Hopping über Brücken, um KYC-verknüpfte Verwahrstellen zu umgehen, an denen Abhebungen Compliance-Prüfungen auslösen.