Ein beträchtlicher Kryptowährungsraub hat eine Person, die mit der MakerDAO-Verwaltung verbunden ist, getroffen und zu einem erheblichen Verlust von über 11 Millionen Dollar geführt. Die betroffenen digitalen Token, aEthMKR und Pendle USDe, wurden von Cyberkriminellen entwendet, die betrügerische Autorisierungssignaturen, auch bekannt als Permit Phishing, ausnutzten.
Dieser Diebstahl ist besonders besorgniserregend aufgrund der Vertrauensposition, die das Opfer in der digitalen Währungsgemeinschaft innehat. Die Raffinesse des Betrugs verdeutlicht ein wachsendes Sicherheitsproblem, das von Blockchain-Sicherheitsspezialisten wie SlowMist identifiziert wurde. Diese Experten weisen auf die inhärenten Risiken des Signatursystems hin, das durch die Implementierung von EIP-2612 ermöglicht wurde.
Permit-Signaturen bieten einen vereinfachten Ansatz für Interaktionen mit Smart Contracts, indem sie den Bedarf an traditionellen Bestätigungsprozessen beseitigen. Personen können Token-Transaktionen allein mit Signaturen autorisieren, ohne On-Chain-Transaktionen auszuführen. Diese Funktion, obwohl bequem, schafft eine Schwachstelle, die von bösartigen Akteuren ausgenutzt wurde. Man kann unwissentlich eine Transaktion über eine fragwürdige Website autorisieren, ohne die Signatur jemals an die Blockchain übermitteln zu müssen, damit sie wirksam wird.
Die heimliche Natur dieser Transaktionen, die außerhalb der Sicht der Blockchain abgeschlossen werden, erschwert die Feststellung der Legitimität einer Signatur. Was die Angelegenheit weiter kompliziert, ist die heimtückische List der Betrüger, die ihre Ziele anlocken, indem sie vertrauenswürdige Online-Plattformen imitieren. Die Blockchain-Sicherheitsfirma SlowMist hat Alarm geschlagen wegen der unzureichenden Warnungen, die den Benutzern bezüglich dieser Phishing-Taktiken gegeben werden, und fordert eine erhöhte Aufmerksamkeit und Verteidigungsmaßnahmen in der dynamischen Landschaft der Kryptowährungstransaktionen.
Wichtige Fragen und Antworten:
– Was ist Permit-Phishing?
Permit-Phishing ist ein Cyberangriffstyp, bei dem böswillige Akteure Personen täuschen, um Signaturen bereitzustellen, die Tokentransaktionen ohne das Wissen der Opfer autorisieren. Diese Form des Betrugs nutzt die im EIP-2642 beschriebene Permit-Funktionalität aus, die Tokeninhabern ermöglicht, Transaktionen zu genehmigen, indem sie eine Nachricht signieren, anstatt eine On-Chain-Transaktion durchzuführen.
– Wie führt die Permit-Funktion zu Sicherheitslücken?
Die Bequemlichkeit der Permit-Funktion, die es Benutzern ermöglicht, den Token-Verbrauch über Signaturen zu aktivieren, kann auch eine Sicherheitslücke darstellen. Betrüger können Benutzer dazu verleiten, Genehmigungen für Transaktionen zu unterschreiben, die sie nicht beabsichtigen durchzuführen. Diese Signaturen können dann ohne Einverständnis oder Wissen des Opfers ausgenutzt werden.
[…]