99.000 Nutzer betroffen: Ethereum-Funktion für Kryptodiebstähle missbraucht

Cyberkriminelle haben eine Funktion von Ethereum missbraucht, um innerhalb von sechs Monaten Kryptowährungen im Wert von etwa 60 Millionen US-Dollar von rund 99.000 Zielpersonen zu stehlen. Aufgedeckt wurden die Diebstähle von Sicherheitsforschern von Scam Sniffer. Eine Einzelperson verlor im Rahmen der untersuchten Vorfälle sogar bis zu 1,6 Millionen US-Dollar, wie aus dem Bericht der Forscher hervorgeht.

Wie das Forscherteam erklärt, konnten die Angreifer anhand der mit dem Constantinople-Upgrade eingeführten Create2-Funktion, die es erlaubt, Smart Contracts auf der Ethereum-Blockchain zu erstellen, Sicherheitswarnungen bestimmter Kryptowallets umgehen. "Der Create2-Opcode ermöglicht es uns, die Adresse eines Vertrags vorherzusagen, bevor er im Ethereum-Netzwerk bereitgestellt wird", erklären die Forscher.

Im Gegensatz zur älteren Create-Funktion berechnet Create2 die Adresse des Smart Contracts nicht mehr auf Basis einer Nonce. Stattdessen verwendet der neue Algorithmus dafür die Erstelleradresse, einen Zufallswert sowie den Code des Vertrages. Dokumentiert ist die Funktion bei der WTF Acadamy.

Create2 ermöglicht Erstellung unzähliger Adressen

Laut Scam Sniffer lassen sich mit Create2 neue Vertragsadressen generieren, die noch mit keinerlei bösartigen Aktivitäten in Verbindung stehen. In dem Bericht heißt es, ein Angreifer könne dadurch gezielt Sicherheitswarnungen von Kryptowallets unterdrücken und sein Opfer so leichter dazu bringen, bösartige Transaktionen zu bestätigen. Außerdem sei es damit auch möglich, für das sogenannte Address-Poisoning eine große Anzahl temporärer Adressen zu erstellen und für Phishing-Zwecke zu missbrauchen.

Bei Address-Poisoning handelt es sich um eine gängige Betrugsmasche, bei der ein Angreifer versucht, eine Zielperson dazu zu bringen, Kryptowährungen an eine Wallet des Betrügers zu übertragen. Dies gelingt etwa dadurch, dass in der Transaktionshistorie der Zielperson durch Überweisung eines Kleinstbetrags eine Wallet-Adresse eingetragen wird, die einer Adresse, an die die angegriffene Person potenziell tatsächlich überweisen will, stark ähnelt.

Zuletzt wurden vermehrt Kryptodiebstähle von Nutzern des Passwortmanagers Lastpass bekannt. An einem einzigen Tag im Oktober gelang es Angreifern, Kryptowährungen im Wert von etwa 4,4 Millionen US-Dollar von über 80 Wallets und mehr als 25 Zielpersonen zu stehlen.