Was ist das NFT-Malware-Risiko?

Grundlagen des NFT-Malware-Risikos

1. Das NFT-Malware-Risiko bezieht sich auf die Ausnutzung einer nicht fungiblen Token-Infrastruktur, um bösartige Payloads durch scheinbar legitime Interaktionen mit digitalen Assets zu liefern.

2. Angreifer betten ausführbaren Code oder betrügerische Links in NFT-Metadaten ein, die außerhalb der Kette gespeichert, aber über URI-Felder in der Kette referenziert werden.

3. Wenn Benutzer mit infizierten NFTs interagieren – beispielsweise indem sie sie auf Marktplätzen ansehen oder sie in mit Wallets verbundene dApps laden – können ihre Browser oder Anwendungen ohne ausdrückliche Zustimmung bösartige Skripte ausführen.

4. Im Gegensatz zu herkömmlichem Phishing nutzt NFT-basierte Malware das Vertrauen in die Unveränderlichkeit der Blockchain und dezentrale Plattformen und verringert so das Misstrauen der Benutzer beim routinemäßigen Surfen oder Handeln.

5. Aufgrund der dezentralen Natur von NFT-Marktplätzen wie OpenSea gibt es keine zentrale Moderationsebene, um bösartige URIs vor der Auflistung zu scannen oder zu filtern.

Häufige Infektionsvektoren

1. Bösartige IPFS-Gateways stellen manipulierte Versionen von NFT-Assets bereit, indem sie JavaScript einschleusen, das Wallet-Verbindungen bei der Vorschau kapert.

2. Gefälschte Minting-Seiten, die sich als legitime NFT-Projekte ausgeben, verleiten Benutzer dazu, Wallets zu verbinden und Transaktionen zu signieren, die versteckte Funktionsaufrufe enthalten.

3. Kompromittierte Smart Contracts, die für die Verteilung von Lizenzgebühren oder Zweitverkäufen verwendet werden, enthalten Fallback-Funktionen, die externe Vertragsaufrufe an bösartige Adressen auslösen.

4. SVG-basierte NFTs betten selbstausführende Skript-Tags ein, die aktiviert werden, wenn sie von anfälligen SVG-Parsern in Browsererweiterungen oder Wallet-Schnittstellen gerendert werden.

5. Phishing-NFT-Airdrops verteilen Token mit Metadaten, die auf Domänen verweisen, die als „Claim-Portale“ getarnte Credential-Harvester hosten.

Ausnutzungsmuster auf Wallet-Ebene

1. Aufforderungen zur Transaktionsgenehmigung werden mithilfe von EIP-712-Signatur-Spoofing manipuliert, um nicht autorisierte Übertragungen als legitime NFT-Käufe zu maskieren.

2. Wallet-Connect-Sitzungen werden während der Transaktion gekapert, um Genehmigungen auf von Angreifern kontrollierte Verträge umzuleiten, die Null-Saldo-NFTs enthalten, die ausschließlich für Wiedereintrittsauslöser konzipiert sind.

3. Schwachstellen in der Hardware-Wallet-Firmware ermöglichen es Angreifern, angezeigte Transaktionsdetails abzufangen und zu ändern, wenn sie NFT-bezogene Vertragsinteraktionen genehmigen.

4. Die Einschleusung von Browser-Erweiterungen ermöglicht die Echtzeitmodifikation von DOM-Elementen des NFT-Marktplatzes, indem legitime „Genehmigen“-Schaltflächen durch bösartige Varianten im Zusammenhang mit betrügerischen Verträgen ausgetauscht werden.

5. Signature-Replay-Angriffe nutzen wiederverwendete Nonce-Werte in NFT-Genehmigungssignaturen aus und ermöglichen es Angreifern, signierte Autorisierungen über verschiedene Ketten oder Kontexte hinweg erneut zu übermitteln.

Techniken zur Metadatenmanipulation

1. JSON-Metadatendateien, die auf kompromittierten CDNs gehostet werden, geben nach dem ersten Minting veränderte Inhalte zurück und ersetzen Bild-URIs durch bösartige Iframes.

2. Base64-codierte Attribute in NFT-Metadaten werden in verschleiertes JavaScript dekodiert, das beim Parsen durch clientseitige NFT-Viewer ausgeführt wird.

3. Dynamische Metadatenverträge rufen Remote-Inhalte zum Zeitpunkt des Renderns ab und ermöglichen es Angreifern, Nutzlasten nach der Erstellung zu wechseln, ohne den On-Chain-Status zu ändern.

4. Durch die SVG-in-JSON-Injection werden fehlerhafte SVG-Strings in Metadatenfelder eingefügt, was in bestimmten Wallet-SDKs eine Speicherbeschädigung auf Parser-Ebene auslöst.

5. In Metadaten-URIs eingebettete Umleitungsketten führen Benutzer durch mehrere Domänen, bevor sie auf den endgültigen Exploit-Kits landen, und umgehen statische URL-Analysetools.

Marktplatzspezifische Schwachstellen

1. Der Lazy-Minting-Mechanismus von OpenSea ermöglicht nicht signierte NFT-Listings und ermöglicht es Angreifern, bösartige Token ohne vorherige Gaskosten oder Überprüfung zu veröffentlichen.

2. Der Auktionsschnittstelle von Blur fehlt die Eingabebereinigung für Gebotskommentare, wodurch XSS-Nutzlasten möglich sind, die über Auktionsansichten hinweg bestehen bleiben und Bieter-Dashboards infizieren.

3. Das Empfehlungsverfolgungssystem von LooksRare akzeptiert beliebige URLs in Kampagnenparametern und ermöglicht es Angreifern, Weiterleitungslogik in geteilte NFT-Links einzuschleusen.

4. Die Cross-Chain-Bridge-Benutzeroberfläche von Rarible kann die Zielketten-Identifikatoren nicht validieren, was gefälschte Transaktionsvorschauen ermöglicht, die legitime Cross-Chain-Mints imitieren.

5. Der Erstellerverifizierungsprozess der Foundation basiert ausschließlich auf GitHub-OAuth-Bereichen und ermöglicht es kompromittierten Entwicklerkonten, böswillige Vertragsbereitstellungen unter verifizierten Profilen voranzutreiben.

Häufig gestellte Fragen

F: Kann ein NFT selbst ausführbaren Code enthalten? Ja. Während Ethereum-Standards wie ERC-721 keine On-Chain-Codeausführung innerhalb von Token-Daten zulassen, verweisen NFT-Metadaten-URIs oft auf externe Ressourcen – einschließlich SVG-Dateien, HTML-Dokumente oder JSON mit eingebetteten Skripten – die ausgeführt werden, wenn sie von Clients geladen werden.

F: Schützen Hardware-Wallets vor NFT-Malware? Nicht von Natur aus. Hardware-Wallets überprüfen Transaktionssignaturen, können jedoch das Metadatenverhalten außerhalb der Kette nicht überprüfen. Wenn ein Benutzer eine Transaktion genehmigt, indem er mit einem böswilligen Vertrag interagiert oder eine manipulierte NFT-Vorschau anzeigt, signiert das Hardwaregerät wie angewiesen, ohne die nachgelagerte Skriptausführung zu erkennen.

F: Sind in der Kette gespeicherte Metadaten immun gegen Manipulationen? Nein. Die meisten NFTs speichern nur einen Hash- oder URI-Zeiger in der Kette. Die eigentlichen Metadaten befinden sich außerhalb der Kette und können von demjenigen geändert werden, der den Hosting-Dienst kontrolliert – seien es zentralisierte Server, kompromittierte IPFS-Knoten oder bösartige Gateways.

F: Wie profitieren Angreifer von NFT-Malware? Der direkte Diebstahl von Wallet-Geldern, die unbefugte Übertragung hochwertiger NFTs, der Einsatz von Ransomware, die auf NFT-Sammlungen abzielt, und das Sammeln von Zugangsdaten für spätere Kontoübernahmen an Börsen sind die wichtigsten Monetarisierungswege.