Ein beträchtlicher Krypto-Betrug hat eine Person, die mit der MakerDAO-Governance in Verbindung steht, getroffen und zu einem enormen Verlust von über 11 Millionen US-Dollar geführt. Die digitalen Tokens aEthMKR und Pendle USDe wurden von Cyberkriminellen gestohlen, die sich die betrügerischen Autorisierungssignaturen – auch Permit Phishing genannt – zunutze machten.
Dieser Diebstahl ist besonders besorgniserregend aufgrund der Vertrauensposition, die das Opfer in der digitalen Währungsgemeinschaft innehat. Die Komplexität des Betrugs unterstreicht eine wachsende Sicherheitsbedenken, die von Blockchain-Sicherheitsexperten wie SlowMist identifiziert wurden. Diese Experten weisen auf die inhärenten Risiken des Signatursystems hin, das durch die Implementierung von EIP-2612 ermöglicht wurde.
Permit-Signaturen bieten eine vereinfachte Herangehensweise an Smart-Vertragsinteraktionen, indem sie die Notwendigkeit traditioneller Bestätigungsprozesse beseitigen. Einzelpersonen können Token-Transaktionen nur mit Signaturen autorisieren, ohne On-Chain-Transaktionen auszuführen. Diese Funktion, obwohl praktisch, schafft eine Sicherheitslücke, die von bösartigen Akteuren ausgenutzt wurde. Man kann unwissentlich eine Transaktion über eine fragwürdige Website abzeichnen, ohne die Signatur an die Blockchain zu übertragen, damit sie wirksam wird.
Die heimliche Natur dieser Transaktionen, die außerhalb der Sichtweise der Blockchain abgeschlossen werden, macht es schwierig, die Legitimität einer Signatur zu erkennen. Was die Angelegenheit weiter kompliziert, ist die listige Täuschung der Betrüger, die ihre Ziele durch die Nachahmung vertrauenswürdiger Online-Plattformen anlocken. Die Blockchain-Sicherheitsfirma SlowMist hat Alarm geschlagen wegen der unzureichenden Warnungen, die den Benutzern hinsichtlich dieser Phishing-Taktiken zur Verfügung gestellt werden, und fordert ein gesteigertes Bewusstsein und defensive Maßnahmen im dynamischen Bereich der Kryptowährungstransaktionen.
Wichtige Fragen und Antworten:
– Was ist Permit-Phishing?
Permit-Phishing ist eine Art von Cyberangriff, bei dem böswillige Akteure Einzelpersonen dazu verleiten, Signaturen bereitzustellen, die Token-Transaktionen ohne das Wissen der Opfer autorisieren. Diese Art von Betrug nutzt die Permit-Funktionalität gemäß EIP-2642 aus, die es Token-Inhabern ermöglicht, Transaktionen zu genehmigen, indem sie eine Nachricht signieren, anstatt eine On-Chain-Transaktion auszuführen.
– Wie führt die Permit-Funktion zu Sicherheitslücken?
Die Bequemlichkeit der Permit-Funktion, die es Benutzern ermöglicht, über Signaturen den Token-Verbrauch zu aktivieren, kann auch eine Sicherheitslücke darstellen. Betrüger können Benutzer dazu verleiten, Transaktionsgenehmigungen für Transaktionen zu unterschreiben, die sie nicht ausführen wollen. Diese Signaturen können dann ohne das Einverständnis oder Wissen des Opfers ausgenutzt werden.
– Welche Herausforderungen stellen Betrügereien wie diese für die Krypto-Gemeinschaft dar?
Betrügereien wie Permit-Phishing stellen mehrere Herausforderungen dar, darunter die Untergrabung des Vertrauens in die Sicherheit von Smart Contracts, die Verursachung erheblicher finanzieller Verluste und die Erschwerung der Verfolgung und Umkehrung von unbefugten Transaktionen. Sie weisen auch auf die Notwendigkeit erhöhter Benutzererziehung und Sicherheitsmaßnahmen hin.
Kontroversen und Herausforderungen:
Die Kontroverse liegt im Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit. Während Permit-Signaturen die Benutzererfahrung verbessern, indem sie die Smart-Vertragsinteraktionen vereinfachen, eröffnen sie auch Möglichkeiten für Betrüger. Die Identifizierung und Verhinderung dieser Betrugsfälle ist aufgrund der dezentralen und unveränderlichen Natur der Blockchain-Technologie eine Herausforderung.
Hauptprobleme sind unter anderem:
– Benutzer über Sicherheitsrisiken aufklären, ohne die Benutzererfahrung übermäßig zu komplizieren.
– Entwicklung von Systemen zur Erkennung und Verhinderung von auf Signaturen basierendem Betrug, ohne die Vorteile von dezentralen Finanzplattformen zu beeinträchtigen.
– Lösung der Spannung zwischen der Ethik der DeFi-Gemeinschaft hinsichtlich persönlicher Verantwortung und Freiheit und dem Bedarf an Schutzmaßnahmen, die möglicherweise die Macht oder Autorität zentralisieren könnten.
Vor- und Nachteile:
Vorteile:
– Vereinfacht und beschleunigt Smart-Vertragsinteraktionen.
– Reduziert Transaktionskosten, indem es die Gasgebühren für On-Chain-Genehmigungen vermeidet.
– Stärkt Benutzer durch Selbstverwahrung und Kontrolle über ihre Vermögenswerte.
Nachteile:
– Erhöht die Angriffsfläche, die von Betrügern ausgenutzt werden kann.
– Erschwert die Wiederherstellung gestohlener Vermögenswerte aufgrund der Unveränderlichkeit von Blockchain-Transaktionen.
– Legt eine hohe Last auf Benutzer, ihre digitalen Vermögenswerte gegen raffinierte Phishing-Angriffe zu sichern.
Zum Thema Kryptowährungsbetrug und Sicherheit sind hier einige ausgewählte Links zu Hauptdomänen, die Benutzer für weitere Informationen besuchen können:
MakerDAO – Eine Organisation, die mit dem Opfer des Betrugs in Verbindung steht.
SlowMist – Das Blockchain-Sicherheitsunternehmen, das Bedenken hinsichtlich dieser Art von Betrügereien hervorgehoben hat.
Ethereum – Die Ethereum-Plattform, die EIP-Standards einschließlich EIP-2612 verwendet, die mit der Permit-Funktion und den damit verbundenen Sicherheitsbedenken in Zusammenhang stehen.
Benutzer werden ermutigt, sich regelmäßig zu informieren und Sicherheitsdienste von Blockchain-Sicherheitsspezialisten in Anspruch zu nehmen, um auf dem neuesten Stand der Cybersicherheit im Kryptowährungsbereich zu bleiben.
The source of the article is from the blog be3.sk