Wie funktionieren gefälschte NFT-Airdrops?

Gefälschte Airdrop-Mechaniken

1. Angreifer setzen gefälschte Projektdomänen ein, die legitime NFT-Marken nachahmen, und nutzen häufig Typosquatting oder Subdomain-Spoofing, um Benutzer zu täuschen.

2. Sie veröffentlichen gefälschte Ankündigungen auf Discord-, Twitter- und Telegram-Kanälen und behaupten, dass frühe Unterstützer oder Whitelist-Teilnehmer exklusive Airdrop-Berechtigungen hätten.

3. Opfer werden auf Phishing-Schnittstellen umgeleitet, wo unter dem Deckmantel der „Überprüfung der Berechtigung“ oder der „Anforderung von Belohnungen“ eine Wallet-Verbindung angefordert wird.

4. Sobald die Verbindung hergestellt ist, löst bösartiger Frontend-Code stille Genehmigungsanfragen – oft getarnt als Routineberechtigungen – für unbegrenzte NFT-Übertragungsrechte aus.

5. Nach der Autorisierung rufen Angreifer die TransferFrom -Funktionen direkt auf den Wallets der Opfer auf und leeren alle aufgelisteten NFTs ohne weitere Interaktion.

Ausnutzung von Signaturen bei Airdrop-Betrügereien

1. Gefälschte Airdrop-Sites präsentieren Benutzern Eingabeaufforderungen zum Signieren von Ethereum-Nachrichten, die verschleierten Bytecode anstelle von für Menschen lesbarem Text enthalten.

2. Die Signatur-Payload bettet von Angreifern kontrollierte Vertragsadressen ein und ermöglicht es ihnen, nach der Signatur beliebige Logik auszuführen.

3. Benutzer genehmigen unwissentlich Genehmigungen, die den vom Angreifer kontrollierten Verträgen die volle Kontrolle über ihre ERC-721- und ERC-1155-Assets gewähren.

4. Schwachstellen bei der Wiederverwendung von Signaturen ermöglichen es Angreifern, signierte Nachrichten über mehrere Ketten oder Verträge hinweg wiederzugeben, was den Schadensumfang vergrößert.

5. Einige Varianten kombinieren Signaturbetrug mit Domain-Fronting, sodass in den Adressleisten des Browsers vertrauenswürdige Ursprünge angezeigt werden, während schädliche Inhalte von kompromittierten CDNs bereitgestellt werden.

Entführung von Wallet-Berechtigungen

1. Betrügerische Airdrop-Seiten injizieren JavaScript, das Ereignisse des Wallet-Anbieters wie eth_requestAccounts und eth_sendTransaction abfängt.

2. Sie überschreiben standardmäßige MetaMask-Bestätigungsdialoge mit benutzerdefinierten Benutzeroberflächen, die irreführende Beschriftungen wie „Anspruch bestätigen“ oder „Wallet überprüfen“ anzeigen.

3. Darunter übermitteln diese Schnittstellen Transaktionen, die setApprovalForAll aufrufen, mit booleschen True-Parametern an Betreiberadressen im Besitz des Angreifers.

4. Nach der Genehmigung initiieren Angreifer Massenübertragungen über gestapelte SafeTransferFrom- Aufrufe, die auf hochwertige Sammlungen abzielen, darunter Bored Ape Yacht Club und CryptoPunks.

5. Während der Genehmigungsphase wird keine Benzingebühr erhoben, was die Opfer in falschem Vertrauen wiegt, bevor es zu einem irreversiblen Vermögensverlust kommt.

Bereitstellung der Phishing-Infrastruktur

1. Angreifer registrieren Domänen, die offiziellen Projekt-URLs ähneln, indem sie homoglyphische Zeichen verwenden (z. B. „opensea[.]io“ vs. „openseà[.]io“ mit kyrillischem „à“).

2. Sie hosten Zielseiten auf kompromittierten WordPress-Instanzen oder missbrauchten Cloud-Speicher-Buckets, um einer sofortigen Deaktivierungserkennung zu entgehen.

3. Gefälschte Airdrop-Banner zeigen Countdown-Timer und live generierte „Claim Success“-Popups auf Client-Seite an, um Social Proof zu simulieren.

4. Backend-Server protokollieren Wallet-Adressen und Signaturen in Echtzeit und speisen die Daten in automatisierte Diebstahlskripte ein, die auf AWS Lambda oder Vercel Edge Functions ausgeführt werden.

5. Gestohlene NFTs werden sofort an Mischdienste weitergeleitet oder an datenschutzorientierte Ketten wie Secret Network weitergeleitet, bevor sie auf Sekundärmärkten weiterverkauft werden.

Häufige Fragen und Antworten

F: Kann ich NFTs wiederherstellen, nachdem ich einen gefälschten Airdrop genehmigt habe? A: Eine Wiederherstellung ist technisch unmöglich, sobald transferFrom ausgeführt wird. Die Unveränderlichkeit der Blockchain verhindert eine Umkehr.

F: Schützen Hardware-Wallets vor gefälschten Airdrop-Signaturen? A: Ja – wenn die Firmware eine strikte Nachrichtenvorschau erzwingt und nicht für Menschen lesbare Nutzlasten ablehnt –, aber viele Benutzer überspringen Überprüfungsschritte.

F: Warum zielen gefälschte Airdrops zuerst auf NFTs mit niedriger Marktkapitalisierung ab? A: Bei kleineren Projekten mangelt es an robusten Sicherheitsüberprüfungen und Community-Moderation, was es leichter macht, sich als solche auszugeben und weniger wahrscheinlich schnelle Betrugswarnungen auslöst.

F: Reicht die Überprüfung von Etherscan aus, um einen Airdrop-Vertrag zu überprüfen? A: Nicht ausreichend – Angreifer setzen frisch erstellte Verträge ohne Transaktionshistorie ein und ahmen verifizierte Vertrags-ABI-Strukturen nach, um legitim zu wirken.