Ein Leitfaden zur NFT-Sicherheit: So vermeiden Sie Betrug und schützen Ihr Vermögen.

Verständnis der NFT-Wallet-Schwachstellen

1. Private Schlüssel, die in unverschlüsselten Textdateien gespeichert sind, ermöglichen jedem mit Dateizugriff die volle Kontrolle über die Vermögenswerte.

2. Die Wiederverwendung von Passwörtern auf mehreren Plattformen erhöht das Risiko von Credential-Stuffing-Angriffen auf NFT-Marktplätze.

3. Browsererweiterungen mit übermäßigen Berechtigungen können Wallet-Signaturanfragen abfangen und Transaktionen an vom Angreifer kontrollierte Adressen umleiten.

4. Phishing-Sites, die MetaMask- oder Phantom-Anmeldeschnittstellen nachahmen, verleiten Benutzer dazu, böswillige Vertragsgenehmigungen zu genehmigen.

5. Hardware-Wallets, die während der Signaturaufforderung getrennt werden, können dazu führen, dass Benutzer auf unsichere Softwarealternativen zurückgreifen, ohne sich der Risikoverlagerung bewusst zu sein.

Smart Contract-Risiken in NFT-Projekten

1. Ungeprüfte Verträge enthalten häufig Wiedereintrittsschwachstellen, die es Angreifern ermöglichen, Lizenzmechanismen oder Mint-Funktionen auszunutzen.

2. In ERC-6551-Token-gebundenen Konten eingebettete böswillige Transfer-Hooks können bei Eigentümerwechseln unbefugte Vermögensbewegungen auslösen.

3. Fest codierte Eigentümeradressen in aktualisierbaren Verträgen geben zentralisierten Einheiten einseitige Kontrolle über Metadaten und Minting-Parameter.

4. Überhöhte Gasschätzungen in Mint-Funktionen verdecken verborgene Logik, die über die einfache Token-Erstellung hinaus zusätzliche Zustandsänderungen ausführt.

5. Bei Funktionen mit der Bezeichnung „EmergencyPause“ fehlen häufig Zeitsperren oder Multisig-Schutzmaßnahmen, sodass alle Benutzerressourcen ohne Vorankündigung sofort eingefroren werden können.

Marktplatzspezifische Bedrohungsvektoren

1. Gefälschte Sammlungseinträge auf OpenSea scheinen mit legitimen Projekten identisch zu sein, verwenden jedoch Homograph-Zeichen in Vertragsnamen, um einer Entdeckung zu entgehen.

2. Bid-Sniping-Bots überwachen ausstehende Angebote und übermitteln höherwertige Transaktionen mit erhöhten Gasgebühren, um unterbewertete Vermögenswerte vor der Bestätigung zu erbeuten.

3. Off-Chain-Metadaten-Hosting auf zentralen Servern ermöglicht es Projektbesitzern, Bild-Hashes nach der Erstellung stillschweigend durch schädliche Inhalte zu ersetzen.

4. Die Durchsetzung von Lizenzgebühren wird durch direkte ETH-Überweisungen an Urheberadressen umgangen, wodurch die Erhebung von Gebühren auf Plattformebene umgangen wird, sodass Künstler keine Entschädigung erhalten.

5. Cross-Chain-Bridge-Integrationen mit unzureichender Signaturvalidierung ermöglichen gefälschte Cross-Chain-Mint-Events, die seltene Token über Netzwerke hinweg duplizieren.

Phishing- und Social-Engineering-Taktiken

1. Discord-Imitatoren nutzen verifizierte Abzeichen und klonen Serverstrukturen, um gefälschte Airdrop-Anspruchsportale zu hosten, die Wallet-Verbindungen erfordern.

2. Twitter-Direktnachrichten von kompromittierten hochkarätigen Konten liefern verkürzte Links, die zu als Seltenheitsanalysatoren getarnten Wallet-Leer-Skripten führen.

3. Gefälschte Support-Tickets, die über offiziell aussehende E-Mail-Vorlagen generiert wurden, fordern unter Vorwänden der Dringlichkeit die Überprüfung der Startphrase an.

4. Telegram-Gruppen, die „Whitelist-Spots“ bewerben, fordern ETH-Vorauszahlungen an Nicht-Vertragsadressen ohne Rückerstattungsmechanismus.

5. Betrüger mit Videoanrufen geben sich als Wallet-Recovery-Spezialisten aus, die Opfer dabei unterstützen, private Schlüssel über Screen-Sharing-Sitzungen offenzulegen.

Häufig gestellte Fragen

F: Kann ich überprüfen, ob ein NFT-Vertrag geprüft wurde? A: Ja. Suchen Sie bei Etherscan nach Prüfberichten, die auf der Registerkarte „Vertrag“ des Vertrags verlinkt sind. Suchen Sie nach Unterschriften renommierter Firmen wie CertiK oder OpenZeppelin – und nicht nur nach selbstbeglaubigten Behauptungen in der Projektdokumentation.

F: Warum wird bei einigen NFTs bei Aggregatoren ein Mindestpreis von Null angezeigt? A: Dies geschieht, wenn auf unterstützten dezentralen Börsen keine gültigen Verkaufsaufträge vorhanden sind oder wenn der Sammlungsvertrag keine von den Indexierungsdiensten geforderten Standardübertragungsereignisse ausgibt.

F: Ist es sicher, unbegrenzte Ausgabekontingente für NFT-Marktplätze zu genehmigen? A: Nein. Unbegrenzte Genehmigungen gewähren dauerhaften Zugriff auf alle in Ihrem Wallet gespeicherten Token. Verwenden Sie Tools wie Revoke.cash, um die Freibeträge vor jeder Transaktion auf den genau erforderlichen Betrag zu reduzieren.

F: Wie bestätige ich, ob die Metadaten eines NFT auf IPFS gespeichert sind? A: Sehen Sie sich die Rohdaten des Tokens auf Etherscan an. Wenn das tokenURI Feld mit ipfs:// beginnt, verweist es auf dezentralen Speicher. Vermeiden Sie Token, bei denen URIs in HTTP-Endpunkte aufgelöst werden, die von unbekannten Entitäten kontrolliert werden.