NFT-Diebstähle machen Schlagzeilen. Indrė Viltrakytė ist Mitbegründerin von The Rebels und erklärt dir, wie du dich schützen kannst.
Phishing-Angriffe sind nichts Neues und manchmal sogar leicht zu erkennen. Zum Beispiel, wenn ein Prinz aus einem fernen Land dich dazu auffordert, ihm deine Bankdaten zu schicken. Manchmal sind derartige Betrügereien aber auch schwieriger zu erkennen. Zum Beispiel, wenn eine scheinbar vertrauenswürdige Quelle dich auffordert, die Freigabe deines Krypto- und NFT-Vermögens zu genehmigen.
Dies geschah kürzlich bei einem Phishing-Diebstahl von NFTs. Betroffen war eine Premint-Plattform, auf welcher die Nutzer einer Aufforderung zustimmten, einem unbekannten Unternehmen die Kontrolle über ihr Vermögen zu überlassen.
Am 17. Juli 2022 wurde die beliebte NFT-Plattform Premint NFT gehackt. Den Tätern gelang es, einen Code auf der offiziellen Website von Premint zu implementieren, welcher die Benutzer aufforderte, beim Verbinden ihrer Wallets “Genehmigungen für alle” einzustellen. Auf diese Weise konnten die Angreifer auf die Krypto-Vermögenswerte zugreifen und 314 NFTs im Wert von 430.000 US-Dollar stehlen.
Die Welt der NFTs steckt noch in den Kinderschuhen und könnte für weitere Phishing-Angriffe anfällig sein.
NFT-Diebstähle: Was wird gestohlen?
Bei dem Wort NFT denken wir in der Regel an ein einzigartiges, digitales Bild, das mit der Blockchain verbunden ist. Jedoch ist das Ganze etwas komplizierter. Wenn von NFTs die Rede ist, werden immer die Nachverfolgbarkeit des Eigentums und die Einzigartigkeit betont. Aber nirgendwo im NFT-Standard wird angegeben, was die einzigartigen Token darstellen. Im Grunde genommen sind die Token nichts weiter als eindeutige Nummern, nur die Autoren einer NFT-Sammlung definieren, wofür diese Token stehen.
Außerdem werden die Bilder selbst in der Regel nicht in der Krypto-Wallet gespeichert, da der gebundene Wer nicht Teil des NFT-Vertrags ist. Lediglich ein Hash des Bildes könnte im Vertrag stehen, um eine Verbindung zu der Sache herzustellen, die den NFT repräsentiert. Zudem kümmert sich der NFT-Standard nicht um den Wert oder die Kauf- und Verkaufsvorgänge eines Tokens, sondern ausschließlich um die Methoden zur Übertragung des NFTs als Eigentum. Nur die Marktplätze und die Community bauen darauf auf und behandeln die NFTs als handelbare Vermögenswerte.
So werden NFTs meist als Sammlerstücke gekauft und oft zu Investitionszwecken verwendet. Praktische Anwendungsfälle gibt es erst seit kurzer Zeit. Ein Beispiel dafür sind digitale Mode-Wearables im Metaverse.
Was können wir künftig gegen die Diebstähle tun?
Wer trägt die Schuld? Sind es die Nutzer? Oder ist es die Plattform, welche es dem Angreifer ermöglichte, eine betrügerische Transaktion vorzuschlagen?
In diesem speziellen Fall konnten die Angreifer Inhalte anzeigen, um den Nutzer zur Unterzeichnung einer solchen Transaktion zu verleiten.
Ein vager, plausibel klingender Grund für die Transaktion in Kombination mit dem Vertrauen in die Website reichte bereits für die Täuschung vieler Nutzer aus. Dennoch wäre es nicht richtig zu erwarten, dass der durchschnittliche Web3-Benutzer solche Maschen zu umgehen weiß. In diesem Fallen hatten die meisten nicht genug technisches Hintergrundwissen, um zu erkennen, dass die Transaktion tatsächlich jemandem Zugang zu ihren NFTs verschaffte.
Wird eine Transaktion von einer seriösen Website vorgeschlagen, vertrauen Menschen offensichtlich auf die Sicherheit der Plattform. Die Vermögenswerte in den Wallets sind also nur so sicher wie die Summe ALLER dezentralen Anwendungen (dApps), mit denen der Benutzer interagiert. Ähnliche Fälle werden in Zukunft wahrscheinlich wieder auftreten.
So könnten Dapps die Sicherheit verbessern:
- Wallets könnten mehr menschenorientierte Informationen für verschiedene bekannte Vertragsinteraktionen anzeigen. Zum Beispiel eine große rote Nachricht, die besagt: “Hey, du gibst gerade die Kontrolle über alle deine NFTs an jemanden ab!” Das wäre viel besser als das derzeitige in Großbuchstaben geschriebene “SET APPROVAL FOR ALL” in Grau im Transaktionsbestätigungsfenster der MetaMask.
- Websites könnten alle von ihnen möglichen Vertragsinteraktionen auflisten und veröffentlichen. Die Anbieter wie MetaMask würden dann alle untypischen Transaktionen ablehnen.
So könnten Nutzer sich besser schützen
- Überprüfe die Transaktionsdetails, bevor du unterschreibst. Dadurch schützt du dich zwar nicht zu 100 %, aber dennoch ist es wichtig zu prüfen, welche Methode für welchen Vertrag verwendet wird.
- Teile NFTs (und andere Kryptowährungen) auf mehrere Wallets auf. Wirst du dazu verleitet, jemandem die Kontrolle über die eigenen Vermögenswerte in einem Wallet zu überlassen, sind zumindest die Vermögenswerte in anderen Wallets sicher. Dies gilt natürlich nur, solange du deinen Private Key oder die Seed-Phrase nicht weitergibst.
- Verwende verschiedene Wallets für verschiedene Dapps. Dies kann vielleicht etwas unpraktisch sein, falls die Dapp mit Assets interagieren soll, welche sich nicht bereits in der entsprechenden Wallet befinden, jedoch lohnt sich der Aufwand für die Sicherheit.
Über den Autor
Indrė Viltrakytė ist Mitbegründerin des Web3-Modeunternehmens The Rebels. Das Projekt hat 10101 einzigartige NFT-Charaktere, die auf der umstrittenen Werbekampagne “Jesus, Maria” basieren. Die Kampagne wurde zunächst verboten, gewann den Fall jedoch später vor dem Europäischen Gerichtshof für Menschenrechte und gilt nun als Präzedenzfall für Streitigkeiten im Zusammenhang mit der Meinungsfreiheit in der EU. Indrė Viltrakytė verfügt über mehr als 10 Jahre Erfahrung in der Modebranche.
Haftungsausschluss
In Übereinstimmung mit den Richtlinien des Trust Project gibt dieser Meinungsartikel die Perspektive des Autors wieder und spiegelt nicht unbedingt die Ansichten von BeInCrypto wider. BeInCrypto bleibt einer transparenten Berichterstattung und der Einhaltung höchster journalistischer Standards verpflichtet. Den Lesern wird empfohlen, die Informationen unabhängig zu überprüfen und einen Fachmann zu konsultieren, bevor sie auf der Grundlage dieses Inhalts Entscheidungen treffen.