Was ist eine Blind-Signing-Transaktion?

Definition und Kernmechanismus

1. Eine Blindsignierungstransaktion bezieht sich auf einen kryptografischen Prozess, bei dem ein Benutzer Daten digital signiert, ohne deren vollständigen Inhalt oder Kontext zu kennen.

2. Dies geschieht, wenn Wallet-Software oder -Hardwaregeräte nur Teilinformationen – etwa eine Adresse oder einen Betrag – bereitstellen, während kritische Felder wie Zielvertragslogik, Funktionsaufrufe oder eingebettete Parameter weggelassen werden.

3. Die Signatur ist mathematisch gültig, aber vom semantischen Verständnis losgelöst, sodass es für den Unterzeichner unmöglich ist, Absicht oder Konsequenzen vor der Genehmigung zu überprüfen.

4. Das blinde Signieren basiert auf kryptografischen Primitiven auf niedriger Ebene, die Eingaben als Rohbytes behandeln und dabei die in Ethereum ABI, EVM-Opcodes oder Token-Übertragungsstandards kodierte strukturelle Bedeutung ignorieren.

Risiken bei Wallet-Implementierungen

1. Viele mobile und browserbasierte Wallets zeigen verkürzte Transaktionsvorschauen an, insbesondere bei komplexen Smart-Contract-Interaktionen mit Delegiertenanrufen oder Proxy-Upgrades.

2. Benutzer genehmigen routinemäßig Transaktionen mit der Bezeichnung „Unbekannte Vertragsinteraktion“ oder „Benutzerdefinierte Daten“, ohne zu wissen, dass die Nutzlast Tokenübertragungen, Eigentumsverzicht oder Selbstzerstörungssequenzen auslösen kann.

3. Hardware-Wallets können verschachtelte Aufrufdaten manchmal nicht dekodieren und zeigen nur die ersten 8–16 Bytes eines Funktionsselektors an, während nachfolgende Argumente, die das Verhalten bestimmen, ausgeblendet werden.

4. Schädliche dApps nutzen dies aus, indem sie betrügerische UI-Ebenen einbetten – indem sie eine Aktion auf dem Bildschirm anzeigen und gleichzeitig völlig andere Anrufdaten an die Blockchain übermitteln.

Ethereum- und EVM-spezifische Schwachstellen

1. ERC-20-Genehmigungen mit unbegrenzten Berechtigungen erscheinen in Wallet-Schnittstellen oft harmlos, ermöglichen aber eine stille Entleerung, wenn der genehmigte Vertrag Wiedereintrittsfehler oder böswillige Eigentümerfunktionen enthält.

2. Transaktionsnutzlasten, die CALLCODE- oder DELEGATECALL- Opcodes enthalten, können beliebigen Code im Speicherkontext des Aufrufers ausführen – eine Tatsache, die in Standard-Bestätigungsbildschirmen selten auftaucht.

3. Proxy-Verträge verschleiern den logischen Standort; Das Signieren einer Transaktion, die auf eine Proxy-Adresse abzielt, garantiert nicht, dass die zugrunde liegende Implementierung den Benutzererwartungen entspricht.

4. Chainlink-Oracle-Updates, Governance-Vorschläge und Multisig-Ausführungsnutzlasten erfordern aufgrund von Größenbeschränkungen oder fehlender ABI-Dekodierungsunterstützung häufig eine Blindsignierung.

Ausbeutungsfälle aus der realen Welt

1. Anfang 2023 konnte eine Wallet-Erweiterung die dynamische Anrufdatenlänge bei einer Uniswap V3-Pool-Migration nicht analysieren, was dazu führte, dass Benutzer Genehmigungen unterzeichneten, die eine schnelle Kreditliquidation für ihre Positionen ermöglichten.

2. Ein beliebter DeFi-Aggregator präsentierte vereinfachte „Tausch“-Schaltflächen beim Bündeln von Genehmigungssignaturen2 und Tresoreinzahlungsanweisungen – Benutzer bestätigten eine einzelne Aktion, autorisierten jedoch mehrere unumkehrbare Vorgänge.

3. Mehrere Phishing-Kampagnen verbreiteten gefälschte Wallet-Wiederherstellungstools, die Benutzer dazu aufforderten, „Authentifizierungsnachrichten“ zu signieren, bei denen es sich in Wirklichkeit um vorsignierte Auszahlungsberechtigungen für vom Angreifer kontrollierte Adressen handelte.

4. Cross-Chain-Bridge-Benutzeroberflächen haben weitergeleitete Nachrichten mit gefälschten Quellkettenkennungen übermittelt und sich darauf verlassen, dass Benutzer Nutzlasten blind signieren, die sie außerhalb der Kette nicht validieren konnten.

Häufig gestellte Fragen

F: Können Hardware-Wallets Blind Signing verhindern? A: Nicht von Natur aus. Wenn die Firmware nicht über eine vollständige ABI-Analyse, Vertragsüberprüfung oder Bytecode-Inspektion auf dem Gerät verfügt, bleiben selbst Air-Gap-Geräte anfällig für falsch interpretierte Anrufdaten.

F: Ist blindes Signieren dasselbe wie das Signieren eines Nachrichten-Hashs? A: Nein. Beim Nachrichten-Hashing handelt es sich um für Menschen lesbare Eingaben, die vor dem Signieren überprüft werden. Blindsignierung gilt für undurchsichtige binäre Nutzlasten, bei denen weder Hash noch Inhalt sinnvoll angezeigt werden.

F: Leiden alle EVM-kompatiblen Ketten gleichermaßen unter den Risiken des blinden Signierens? A: Der Schweregrad des Risikos variiert. Ketten mit standardisierter Transaktionskodierung (z. B. Ethereum mit EIP-2718) bieten konsistentere Dekodierungsmöglichkeiten als Ketten mit benutzerdefinierter Serialisierung wie einige anwendungsspezifische Rollups.

F: Warum lehnen Wallets unsignierte Anrufdaten nicht einfach ab? A: Die Kompatibilität erfordert eine erzwungene Unterstützung für Legacy-Verträge, nicht verifizierte Proxys und nicht standardmäßige Schnittstellen. Die Ablehnung solcher Nutzlasten würde den Zugang zu großen Teilen der bereitgestellten DeFi-Infrastruktur unterbrechen.