Es gibt eine neue, raffinierte Betrugsmasche, die Nutzer auf Telegram ins Visier nimmt. Dabei werden Opfer um ihr digitales Vermögen gebracht, ohne dass eine Transaktionsbestätigung erforderlich ist. Diese Methode nutzt eine Schwachstelle in Tokens, die dem ERC-2612-Standard folgen und ermöglicht es Betrügern, Übertragungen ohne Transaktionsgebühren durchzuführen.
Das Schlupfloch im ERC-2612-Standard
Der Kern des Problems liegt im ERC-2612-Standard, der für seine Fähigkeit bekannt ist, Überweisungen ohne Ether (ETH) im Wallet des Senders zu ermöglichen. Dieser Mechanismus erfordert, dass Benutzer eine Nachricht signieren, statt eine Transaktion direkt zu genehmigen. Mit der zunehmenden Implementierung des ERC-2612-Standards in mehr Tokens könnte diese Art von Angriff häufiger werden. Ein Nutzer berichtete Cointelegraph, dass er über 600 Dollar in Open Exchange (OX) Tokens verlor, nachdem er einer gefälschten Telegram-Gruppe beigetreten war, die sich als offizielle Gruppe der Token-Entwickler ausgab.
So funktioniert der Betrug
Das Opfer wurde in der Gruppe aufgefordert, sein Wallet zu verbinden, um zu beweisen, dass es kein Bot ist. Diese Aufforderung führte zur Öffnung eines Browserfensters und zur Verbindung des Wallets mit einer betrügerischen Website. Kurz darauf waren alle OX-Token des Opfers verschwunden, ohne dass eine Transaktion explizit genehmigt wurde. Die Untersuchung enthüllte, dass die Betrüger eine gefälschte Version des Collab.Land-Telegram-Verifizierungssystems verwendeten, um ihre Opfer zu täuschen.
Vorsicht ist geboten
Die Betrüger nutzten die „Permit“-Funktion des OX-Token-Vertrags, um sich selbst als „spender“ zu autorisieren und die Token ohne traditionelle Genehmigung zu übertragen. Dieser Vorfall unterstreicht die Notwendigkeit für Web3-Nutzer, äußerst vorsichtig zu sein und zu verstehen, dass die Unterzeichnung einer Nachricht ausreichen kann, um Betrügern den Zugriff auf ihre Mittel zu ermöglichen. Während die „Permit“-Funktion ursprünglich dazu gedacht war, die Benutzerfreundlichkeit zu erhöhen, indem sie Transaktionen ohne ETH ermöglicht, zeigt dieser Fall, dass Betrüger innovative Wege finden, um diese Technologie auszunutzen.
Ausblick
Die Entwickler hinter Collab.Land bestätigten, dass weder der Bot noch die Website, die für den Angriff verwendet wurden, mit dem echten Collab.Land-Protokoll in Verbindung stehen. Nachdem sie über den Betrug informiert wurden, meldeten sie den Vorfall an Telegram. Dieser Vorfall dient als warnendes Beispiel für die Krypto-Community, die Sicherheit ihrer Wallets ernst zu nehmen und wachsam gegenüber neuen Betrugsmethoden zu bleiben. Nutzer sollten sich bewusst sein, dass die Genehmigung von Transaktionen nicht die einzige Möglichkeit ist, wie Angreifer Zugang zu ihren Mitteln erhalten können.
