Angriffe auf NFT-Communities: Discord-Server werden immer häufiger Opfer von NFT-Scams

NFT-Scams auf Discord nehmen zu

Der Messaging-Dienst Discord erfreut sich immer grösserer Beliebtheit. Wurde die Plattform, auf der Nutzer miteinander via Text, Sprache und Video kommunizieren können, ursprünglich für Online-Gaming geschaffen, zählt Discord mit dem Aufkommen zahlreicher NFT-Projekte in den letzten Monaten nun viele weitere Nutzer. So vernetzen sich Entwickler der Projekte sowie Fans von Non-Fungible Token miteinander und tauschen sich aus. Wie aus einem Bericht des auf Kryptowährungen spezialisierten Sicherheitsunternehmens TRM Labs hervorgeht, wird die Anwendung aber zunehmend zum Ziel von Hackern. "Im Juni 2022 stiegen die Phishing-Angriffe im Zusammenhang mit NFT-Minting-Betrug, die über kompromittierte Discord-Konten durchgeführt wurden, um 55 Prozent im Vergleich zum Vormonat", heisst es in einer Erklärung von TRM Labs. Allein seit Mai wurden die Discord-Server entsprechender Projekte mehr als 150 mal von Cyberkriminellen angegriffen, wie aus Daten von TRM Labs-Plattform "Chainabuse" hervorgeht. Dies soll der NFT-Community seitdem bereits einen Verlust von etwa 22 Millionen US-Dollar beschert haben.

Der Kauf von Bitcoin ist recht kompliziert und aufwändig.
» Hier können Sie ganz einfach Bitcoin kaufen und verkaufen

Angriffe auf Bored Ape Yacht-Nutzer

Alleine Anfang Juni wurden 40 Projekte angegriffen, darunter Swampverse, RunBlox sowie SODA. Bored Ape Yacht Club von Yuga Labs, eine der bekanntesten NFT-Kollektionen, die sich durch von einer künstlichen Intelligenz generierten Bildern von Cartoon-Affen auszeichnet, wurde TRM zufolge am 4. Juni bereits zum zweiten Mal angegriffen.

The NFT community has suffered more than 150 compromises targeting NFT projects' Discord servers since May 2022. A sampling... (1/2) pic.twitter.com/cEdPaV5mQI

- TRM Labs (@trmlabs) July 25, 2022

So soll das Discord-Konto von Yugas Social Manager Boris Vagner, der in der Community unter dem Pseudonym BorisVagner.ETH bekannt ist, kompromittiert worden sein. Nachdem der Hacker den Account Vagners übernahm, teilte er Nachrichten, die auf vermeintliche Giveaways hinwiesen, bei denen User kostenlos an Token kommen sollten. Dazu müssen Interessierte nur den angefügten Link öffnen, so der Betrüger. Klickten die Opfer auf diesen, wurden sie dazu aufgefordert, ihre Wallets zu verknüpfen, wodurch Angreifer einen Genehmigungsmechanismus für NFTs einsetzen konnten und damit Kontrolle über die digitalen Sammelbehälter erhielten. Anschliessend führten die Hacker die NFTs von den kompromittierten Wallets ab. Nicht nur die Token der Opfer aus der Bored Ape Yacht Club-Community, sondern auch die von weiteren Nutzern, die in ähnlichen Discord-Servern auf die Betrüger hereinfielen, wurden dann an ein einziges Wallet übermittelt, so TRM. In diesem habe sich dann eine umfassende Zusammenstellung aus NFTs von 18 Projekten befunden, darunter neben BAYC auch Mutant Ape Yacht Club, OthersideMeta und MekaVerse.

Nutzer wurden unter Druck gesetzt

Konnten die Hacker nicht die Discord-Profile bekannter Entwickler übernehmen, drängten sie ihre Opfer offenbar mit Social Engineering-Tricks dazu, die schädlichen Links zu öffnen. So gaben sie sich etwa als Administratoren aus und blockierten das Eingreifen tatsächlicher Moderatoren. Auch betonten die Hacker in den Nachrichten an die Nutzer, dass schnelles Handeln erforderlich sei, damit diese sich kostenlose NFTs sichern können. In einem Fall, der auf Chainabuse gemeldet wurde, schrieb der Scammer "safran_eth" etwa, dass nur noch 117 der Token verfügbar seien und implizierte damit, dass man daher schnell auf den Link klicken solle.

Ziel des Scams sollen ausserdem oftmals Nutzer gewesen sein, die bereits über wertvolle NFTs verfügten.

Mögliche Verbindung zwischen den Fällen

Aufgrund des ähnlichen Musters und der Tatsache, dass eins der für den Scam verwendeten Wallets NFTs mehrerer Projekte abgreifen konnte, vermutet TRM Labs, dass eine Vielzahl der Fälle auf ein und denselben Hacker - oder eine Hackergruppe - zurückgehen.

...of TRM's analysis indicates dozens of these attacks are likely related. In the recent Yuga Labs exploit, a consolidation wallet used by the attacker was linked to wallets with direct exposure to other compromises from May & June. Read the report: https://t.co/YFR7G4rkaH (2/2) pic.twitter.com/0GV0tKxEYI

- TRM Labs (@trmlabs) July 25, 2022

Anschliessend wurden die gestohlenen NFTs aus dem Hacker-Wallet zu einem NFT-Marktplatz übertragen, wo diese gegen Ether getauscht wurden. Die dadurch eingenommene Summe soll dann grösstenteils in drei weitere Wallets verschoben worden sein, von wo aus sie dann in Tornado Cash und weitere Wallets aufgeteilt wurde. Anschliessend wurden die Gelder in Bitcoin transferiert und über verschiedene dezentrale Dienste und Darknet-Plattformen ausgezahlt. Zu diesen Ergebnissen sei TRM Labs mithilfe des Untersuchungstools TRM Forensics gekommen. Eines der drei Zwischen-Wallets soll ausserdem mit ähnlichen Scams in Verbindung stehen, die im Mai und Juni 2022 durchgeführt wurden. Ein weiteres Wallet, das die Hacker verwendeten, sei auch bei anderen Kompromittierungen von Discord-Konten zum Einsatz gekommen.

Denkbar sei aber auch, dass mehrere verschiedene Hacker oder Hackergruppen mehrere Betrugsmaschen umsetzen und nicht nur ein einziger Akteur für alle Angriffe verantwortlich ist. So könnten Betrüger die Strategien ihrer Mitbewerber kopieren und wiederholen.

So können sich NFT-Fans vor Scams schützen

Doch wie können sich User vor den Angriffen schützen? Schliesslich können die Projekte zwar die Sicherheit ihrer Plattformen und Server erhöhen, die Angriffe erfolgten jedoch über die Anwendung Discord. Daher liege der Fokus besonders auf dem Handeln von Einzelpersonen. "Das Wissen um gängige Angriffsvektoren, einschliesslich Plattformen wie Discord, und gängige Taktiken von Bedrohungsakteuren, einschliesslich Phishing-Angriffen, die FOMO-induzierende Sprache verwenden, wird dazu beitragen, das Risiko, Opfer dieser Betrügereien zu werden, zu verringern", heisst es in dem Bericht von TRM Labs. Die Web3-Organisation "Surge" rät etwa dazu, die Privatnachrichten auf Discord generell oder für einzelne Server abzustellen. Fügt man einen anderen Nutzer zu seiner Freundesliste hinzu, seien Privatnachrichten ausserdem weiterhin möglich, dadurch könne man aber eine erste Barriere gegen Scammer errichten. Darüber hinaus sei es empfehlenswert, 2-Faktor-Authentifizierung (2FA) zu aktivieren. So müsse der Nutzer sich bei einer Anmeldung mit der Eingabe eines Codes verifizieren, der beispielsweise auf dem Smartphone abrufbar ist.

Auch könne man sich vor Social Engineering schützen, indem man sich beim Durchlesen von Nachrichten Zeit lässt, um Ungereimtheiten zu entdecken, diese auf deren Wahrheitsgehalt zu überprüfen und nur im Rahmen der eigenen Portfolio-Strategie zu handeln. In vielen NFT-Communities können sich ausserdem Hinweise auf aktuelle Scams finden, so Surge weiter.

Redaktion finanzen.ch