NFT-Hacker-Bande auf Raubzug?
Die Hacker-Angriffe auf NFT-Projekte wie den Bored Ape Yacht Club und andere, bei denen allein im Mai 2022 NFT-Werke im Wert von über 22 Millionen US-Dollar erbeutet wurden, gehen vermutlich alle auf das Konto eines größeren Hacker-Netzwerks.
Die zwei Web3-Sicherheitsfirmen TRM Labs und Halborn haben über 100 Hacker-Angriffe auf digitale Assets wie NFT-Werte analysiert und die bisherigen Erkenntnisse in mehreren Berichten veröffentlicht.
Laut einer Analyse von TRM Labs wurden allein im Mai 2022 bei Hacker-Angriffen auf NFT-Sammlungen Inhalte im Wert von über 22 Millionen US-Dollar von den Hackern erbeutet.
Die meisten dieser Angriffe wurden über dieselben Administratorkonten von kompromittierten Discord-Servern ausgeführt. Dies lässt die Folgerung zu, dass es sich bei den Angreifern um Mitglieder einer verbundenen Hacker-Gruppe handeln könnte.
Wurden die Angriffe von einer größeren Hacker-Bande ausgeübt?
Das auf Compliance und Risikomanagement für Firmen der Blockchain- und Kryptobranche spezialisierte Unternehmen, TRM Labs, hat berichtet, dass die Cyberangriffe, die mit NFT-Minting-Betrug in Verbindung gebracht werden können, im Juni 2022 gegenüber dem Vormonat Mai 2022 noch einmal um 55 % zugenommen haben.
The NFT community has suffered more than 150 compromises targeting NFT projects' Discord servers since May 2022. A sampling… (1/2) pic.twitter.com/cEdPaV5mQI
— TRM Labs (@trmlabs) July 25, 2022
Seit 2022 haben wir diese Kompromisse in großem Umfang gesehen, insbesondere bei Discord.
Monika Laird, eine Ermittlerin von TRM Labs, äußerte sich zu den Ermittlungen mit der Erkenntnis, dass die Hacker Angriffe überwiegend im wöchentlichen Turnus stattfinden und meist auf ERC-721 Token abzielen. ERC-721 ist ein Tokenstandard auf der Ethereum-Blockchain, der für nicht fungible Token (NFTs) genutzt wird.
Weiter sagte Laird, dass auf der On-Chain-Seite die Beziehungen zwischen den gemeinsamen Konsolidierungspunkten von Börsen und Mixern sowie der betroffenen Wallets darauf hindeuten, dass ein Großteil der Angriffe von denselben Hackern ausgeübt wurde.
Viele Firmen sind betroffen, unter anderem auch der BAYC
Aus den On-Cain-Daten geht ebenfalls hervor, dass viele der Discord-Kompromittierungen auf demselben Hacker zurückzuführen sind, der im Juni die NFT-Börse des Bored Ape Yacht Club (BAYC) angegriffen hat.
Das Sicherheitsteam von Yuga Labs, die hinter dem BAYC stehen, hat eigene Untersuchungen aufgenommen und eigenen Angaben hartnäckige Bedrohungsgruppen verfolgt, die es auf die NFT-Community des BAYC abgesehen haben.
Sie gehen davon aus, dass in Kürze mit einem weiteren koordinierten Angriff zu rechnen sei, der über mehrere kompromittierte Social-Media-Konten erfolgen wird. Sie haben ihre Mitglieder entsprechend informiert und rufen zu erhöhter Wachsamkeit auf.
Our security team has been tracking a persistent threat group that targets the NFT community. We believe that they may soon be launching a coordinated attack targeting multiple communities via compromised social media accounts. Please be vigilant and stay safe.
— Yuga Labs (@yugalabs) July 18, 2022
So laufen die Angriffe ab
Die Vorgehensweise der Hacker beschreibt Laird so: Sobald die Hacker das Administratorkonto kontrollieren, versenden sie Links, die zu angeblichen Werbegeschenken und exklusiven NFT-Mints führen sollen.
Damit werden die Nutzer auf die „bösartigen“ Websites gelockt, indem eine besondere Dringlichkeit vorgetäuscht wird. Einmal den Link aufgerufen, haben die Hacker meist Zugriff auf die NFT-Schlüssel für die NFT-Werte im Depot. Und können sich letztlich die Eigentumsrechte zuschreiben.
Our Discord servers were briefly exploited today. The team caught and addressed it quickly. About 200 ETH worth of NFTs appear to have been impacted. We are still investigating, but if you were impacted, email us at [email protected].
— Bored Ape Yacht Club (@BoredApeYC) June 4, 2022
Ist Discord besonders unsicher?
Wie bereits beschrieben, laufe sehr viele der Hacker-Angriffe durch das Eingangstor über kompromittierter Discord-Server-Administratorkonten. Das liegt jedoch nicht an einer Schwäche von Discord, nein es sind immer Fehler von Menschen.
Sie speichern versehentlich oder leichtsinnig brisante Daten in ihren Discord-Chats oder Servern und ermöglichen somit den Hackern leichten Zugriff. Und es läuft oft über Discord, weil nahezu alle Akteure im NFT-Markt Discord nutzen.
Wo sich viele NFT-Inhaber tummeln, da kann man auch welche angreifen. Es wurden aber auch in großem Umfang Twitter- und Instagram-Konten kompromittiert, sodass darüber auch mit Angriffen zu rechnen ist.
Es ist nicht unbedingt so, dass Discord an und für sich eine Schwäche hat, aber es macht es einfach zu einer sehr zielgerichteten Umgebung. Wenn Sie nach Leuten suchen, die NFTs besitzen, gehen Sie an einen Ort, an dem sie alle herumhängen, und Sie haben einen Punkt, um [Kontakt] mit ihnen aufnehmen zu können.
Wer sind die Angreifer?
Halburn, die zweite Sicherheitsfirma, die an den Untersuchungen beteiligt ist, hat unter anderem die nordkoreanische Lazarus-Gruppe identifiziert.
Das ist die Hacker-Organisation, die laut US-Finanzministerium die Axie Infinity Spielewelt angegriffen hatten und digitale Vermögenswerte im Wert von etwa 622 Millionen US-Dollar entwendet haben. Weitere Spuren führen nach China.
Die Ermittler von TRM Labs hingegen können noch keine Angreifer spezifizieren, auch nicht aus welchem Teil der Erde die Angriffe gekommen sind.
Wie kann man sich vor den Hacker-Angriffen schützen?
Es sind eigentlich immer die gleichen Dinge und Sicherheitsmaßnahmen, die zu beachten sind.
- Keine Codes und Zugänge abspeichern oder notieren, immer neue, andere und vor allem sichere Passwörter verwenden.
- Keine Links öffnen, von unbekannten oder nicht eindeutig zu identifizierbaren Absendern öffnen.
- Niemals fremden Personen wichtige Zugangsdaten zukommen lassen.
Wir haben einen Artikel vorbereitet, der Dir zeigt, welche NFT-Scams es gibt!
Es gibt ein Sprichwort, dass es so etwas wie neue Verbrechen [oder] neue Betrügereien nicht gibt; es gibt die alten neu verpackt. Es macht also absolut Sinn, dass all die Art von Spear-Phishing, das FOMO, das Menschen dazu bringt, Dinge sehr schnell irrational zu tun, in den neuen Bereich, nämlich NFTs, übergegangen ist.
