Was ist ein Ice-Phishing-Angriff?

Definition und Mechanismus

1. Ein Ice-Phishing-Angriff ist eine betrügerische Technik, bei der Angreifer Benutzer dazu verleiten, bösartige Transaktionen zu signieren, die unbefugten Zugriff auf ihre Kryptowährungs-Wallets gewähren.

2. Im Gegensatz zu herkömmlichem Phishing, das Zugangsdaten stiehlt, nutzt Ice-Phishing Anfragen nach Wallet-Signaturen aus, sodass Opfer unwissentlich Token-Zuteilungen oder Übertragungsautorisierungen genehmigen.

3. Der Angreifer hostet typischerweise eine gefälschte dezentrale Anwendungsschnittstelle (dApp), die legitime DeFi-Plattformen oder NFT-Marktplätze nachahmt.

4. Wenn Benutzer ihre Web3-Wallet – wie MetaMask – verbinden und eine als Routine dargestellte Transaktion unterzeichnen, genehmigen sie tatsächlich einen Smart Contract, um Vermögenswerte von ihrer Adresse abzuheben.

5. Nach der Genehmigung kann der Angreifer jederzeit ohne weitere Benutzerinteraktion oder Bestätigung Token entziehen.

Gemeinsame Vektoren und Plattformen

1. Schädliche Links, die über Telegram-Gruppen, Discord-Server und Twitter/X-DMs verbreitet werden, führen oft zu gefälschten Airdrop-Anspruchsseiten.

2. Kompromittierte GitHub-Repositorys oder NPM-Pakete schleusen bösartigen Code in die von Entwicklern verwendeten Open-Source-Wallet-Integrationen ein.

3. Gefälschte Browsererweiterungen, die sich als Wallet-Konnektoren ausgeben, fordern bei der Installation oder der ersten Verwendung Signaturberechtigungen an.

4. Kompromittierte Werbenetzwerke stellen vergiftete Banner auf Krypto-Nachrichtenseiten bereit und leiten Benutzer auf nachgeahmte Absteck-Dashboards weiter.

5. Durch die Manipulation der Suchmaschinenoptimierung werden betrügerische dApps bei Suchanfragen mit hoher Absicht wie „Uniswap v3-Liquiditätsrechner“ über authentische dApps gestellt.

Technische Eigenschaften

1. Bei Ice-Phishing-Transaktionen handelt es sich selten um ETH-Transfers; Stattdessen setzen sie Approve()- Aufrufe ein, die auf ERC-20- oder ERC-721-Verträge abzielen.

2. Angreifer nutzen häufig Zero-Adress-Zuteilungen und gewähren böswilligen Verträgen mit scheinbar harmlosen Funktionsnamen wie „initReward“ oder „setManager“ unbegrenzte Ausgaberechte.

3. Signatur-Nutzlasten werden häufig mithilfe von EIP-712-typisierten Datenstrukturen verschleiert, wodurch die wahre Absicht hinter für Menschen lesbaren Domänentrennzeichen und maskierten Nachrichtenfeldern verborgen bleibt.

4. Einige Varianten verwenden Batch-Signaturanfragen , bei denen mehrere Genehmigungen in einer Eingabeaufforderung gebündelt werden, um den Verdacht zu verringern.

5. Bei diesen Angriffen verwendete Vertragsadressen befinden sich häufig in neu bereitgestellten, nicht verifizierten EVM-kompatiblen Ketten, um der Erkennung durch Sicherheitsscanner in der Kette zu entgehen.

Vorfälle aus der realen Welt

1. Im Juni 2023 wurden über 300 Wallets über eine gefälschte Arbitrum-Bridge-Site kompromittiert, die Benutzer dazu aufforderte, eine „optimistische Synchronisierungsgenehmigung“ zu unterzeichnen – was eigentlich eine symbolische Zustimmung zu einem betrügerischen Vertrag war.

2. Eine Phishing-Kampagne, die sich Anfang 2024 an OpenSea-Benutzer richtete, nutzte eine geklonte Domain mit SSL-Zertifikat-Spoofing, was dazu führte, dass die Opfer eine „Collection Verification“-Transaktion unterzeichneten, die den NFT-Diebstahl ermöglichte.

3. Mehrere mit einer Wallet verbundene Spiele auf Polygon wurden massenhaft ausgenutzt, nachdem ein Analyse-SDK eines Drittanbieters mit versteckter setApprovalForAll()- Logik integriert wurde.

4. Eine gefälschte Ledger Live-Aktualisierungsseite veranlasste Benutzer, eine Firmware-Validierungsanfrage zu unterzeichnen, die heimlich einen BEP-20-Token-Transfervertrag auf BSC autorisierte.

5. Eine gefälschte Version des Blur-Marktplatzes hat bösartiges JavaScript eingeschleust, das Wallet-Verbindungsereignisse abfing und legitime Signatur-Payloads durch vom Angreifer kontrollierte ersetzte.

Häufig gestellte Fragen

F: Können Hardware-Wallets Ice-Phishing verhindern? A: Hardware-Wallets zeigen Transaktionsdetails vor der Unterzeichnung an, aber Benutzer können dennoch gefährliche Zertifikate genehmigen, wenn sie die angezeigten Daten falsch interpretieren oder Überprüfungsschritte überspringen.

F: Reduziert der Widerruf von Token-Berechtigungen den Schaden nach einem Ice-Phishing-Vorfall vollständig? A: Durch den Widerruf werden künftige Abhebungen gestoppt, bereits gestohlene Vermögenswerte werden jedoch nicht wiederhergestellt; Sie muss durchgeführt werden, bevor der Angreifer Übertragungen initiiert.

F: Sind mobile Web3-Browser anfälliger für Ice-Phishing als Desktop-Pendants? A: Mobile Schnittstellen komprimieren Signaturaufforderungen oft in weniger detaillierte Ansichten, was die Wahrscheinlichkeit blinder Genehmigungen erhöht – insbesondere auf iOS Safari mit begrenzten dApp-Debugging-Tools.

F: Warum kennzeichnen einige Blockchain-Explorer Ice-Phishing-Verträge nicht als bösartig? A: Viele solcher Verträge enthalten bei der Bereitstellung keine offensichtlich schädlichen Opcodes; Ihre Gefahr entsteht erst, wenn sie mit spezifischen Signaturkontexten und externen Anrufmustern gepaart wird.