Ein gefälschtes Metamask-Token und ein Token, das in Anspielung auf das neue Jahr $YEAR getauft wurde, haben es geschafft, vielen Nutzern das Geld aus der Tasche zu ziehen. Diese Praxis ist leider im Jahr 2021 wieder in Mode gekommen.
Ein MetaMask-Token-Scam
Scammern gelang es, fast 400 Personen um eine Summe von rund 1,8 Millionen Dollar zu betrügen.
Die Täter nutzten die Gerüchte über ein zukünftiges offizielles Token der MetaMask-Wallet, kündigten ein Token namens MASK an und boten den Interessenten an, ihr Geld auf ein Paar wETH/MASK auf der Tauschplattform Uniswap zu setzen. Das Paar ist hier immer noch zu sehen.
Einige Nutzer berichteten, dass sie ihre Token eine Zeit lang weiterverkaufen konnten, was wahrscheinlich von den Betrügern ermöglicht wurde, um bei den Käufern keinen Verdacht zu erregen.
Dann wurde der Verkauf unmöglich, nachdem der Gesamtwert der Barmittel des Pools 1 Million US-Dollar erreicht hatte, wodurch die Käufer um ihr Eigentum gebracht wurden.
Laut einem Twitter-Thread des Nutzers coby.eth gelang es den Scammern, eine Schwachstelle im Frontend-Code auf der DexTools-Website auszunutzen, wodurch das MASK-Token den Nutzern der Plattform als verifiziert und sicher angezeigt wurde:
Screenshots des Verifizierungs-Pop-ups und Screenshot des verifizierten Tokens (Quelle: Twitter)
Laut etherscan, einem Tool zur Verfolgung von Transaktionen, die auf der Ethereum-Blockchain (ETH) stattfinden, haben der oder die Drahtzieher des Betrugs erfolgreich 475 ETH (entspricht zum Zeitpunkt des Schreibens dieser Zeilen 1.594.575 $) transferiert und verfügen außerdem über fast 10 Millionen $MASK-Token.
Beide Transaktionen wurden aus dem auf der Uniswap-Plattform gehosteten Liquiditätspool heraus getätigt und anschließend auf eine digitale Brieftasche übertragen.
Das Geld wurde dann zu Tornado Cash transferiert, einer Plattform, die es ermöglicht, Coins zu „mischen“, um die Transaktionen vollständig zu anonymisieren. Auf diese Weise kann die Person, die den Gewinn erhalten hat, nicht ausfindig gemacht werden.
Bisher hat Dextools noch keine Antwort auf die Sicherheitslücken in ihrem Code veröffentlicht, die der Hauptgrund für den Erfolg dieses Scams waren.
Der erste Scam von 2022
Leider handelt es sich hierbei nicht um einen Einzelfall, denn am 31. Dezember wurde ein Projekt mit dem Namen „EtherWrapped“ ins Leben gerufen, das sich als Airdrop für Nutzer der Ethereum-Blockchain vorstellte.
Die ursprüngliche Ankündigung erfolgte über ein Twitter-Konto mit dem Namen @etherwrapped, das inzwischen jedoch gelöscht wurde.
Die Nutzer wurden aufgefordert, die Scam-Website zu besuchen und ihre MetaMask-Wallet zu verbinden, um eine Belohnung in Form von Token mit dem Namen „YEAR“ zu erhalten, die proportional zu ihren Investitionen in die Blockchain waren.
Erfassung der Belohnungen, die durch den Airdrop von YEAR-Tokens angeboten werden (Quelle: Twitter)
Der Smart Contract des YEAR-Tokens erschien zunächst bei der Ethereum Virtual Machine (EVM) als nicht verifiziert, woraufhin der Schöpfer des Tokens seinen Code öffentlich machte, um ihn überprüfen zu lassen, damit jeder nachprüfen kann, ob sich nicht doch Schadcode darin befindet, was das übliche Verfahren ist.
Laut dem Twitter-Nutzer meows.eth war es ein auf den ersten Blick harmloser Code, der den Diebstahl möglich gemacht hätte.
Der Scammer habe diese Codezeile verwendet, um die Besitzer des Tokens daran zu hindern, es zu verkaufen, so dass eine Aufwärtskurve ohne Wiederverkauf und nur auf Käufen basierend beobachtet werden konnte.
Nach 30 Minuten zog der Täter dann das gesamte Bargeld aus dem Pool ab, 30 ETH (entspricht 100.410 $ in diesem Moment), wodurch das YEAR-Token auf einen Wert von 0 $ fiel.
Es ist anzumerken, dass trotz der Tatsache, dass die Käufer ihre MetaMask-Wallet mit der Scam-Website verknüpft haben, noch kein Diebstahl direkt aus der Brieftasche der Käufer gemeldet wurde. Der Dieb hätte also „nur“ die 30 ETH aus dem Liquiditätspool als Gewinn gehabt, die er von den Käufern des betrügerischen Tokens erhalten hatte.
Ein „Meta“-Scam kursiert auf Facebook
Einige Scams trauen sich alles: So kann man derzeit eine Werbung für ein „Meta“-Token sehen, das sich auf die Namensänderung von Facebook bezieht.
Nur wird die Werbung hervorgehoben… auf der Facebook-Seite selbst.
Das mag außergewöhnlich klingen, aber genau das ist das Problem: Es ist leicht, darauf hereinzufallen, so schwer ist es zu glauben, dass ein Scam auf der Plattform, die er vortäuscht, verbreitet werden kann!
Beispiele für Scam-Werbeanzeigen (Quelle: Facebook)
In diesem Fall können Sie das Tool Scam Detector verwenden. Hier erhält diese Seite eine Bewertung von 0,6/100 in Bezug auf die Zuverlässigkeit, was dem Minimum entspricht. Dies ist ein einfacher Tipp, der Ihnen viel Ärger ersparen kann.
Die Rug-Pull-Methode
Die oben beschriebenen Scams verwenden die sogenannte „Rug pull“-Methode (Teppichziehen), ein Verfahren, das in der Welt der Kryptowährungen leider viel zu häufig vorkommt.
Einfach ausgedrückt: Der Betrüger setzt auf den FOMO-Effekt (Fear Of Missing Out – Angst vor Fehlschlägen).
Er wird ein Token auf den Markt bringen und dabei auf sein Image achten, indem er Geld für Werbung ausgibt oder sogar Personen mit einem gewissen Bekanntheitsgrad davon überzeugt, dass sein Projekt sicher ist und immer funktionieren wird.
Manche werben auch in den bekanntesten sozialen Netzwerken wie Instagram, Facebook oder Twitter, oft indem sie den Nutzern private Nachrichten schicken, in denen sie ihnen verlockende Airdrops oder Giveaways versprechen.
So steigt der Wert der Token nach dem Start des Projekts rasant an und erzeugt die berühmte Angst, die Gelegenheit zu verpassen, seine Token zu einem reduzierten Preis zu bekommen, um sie dann teurer weiterverkaufen zu können.
Sobald der Scammer die gewünschte Summe erreicht hat, kann er einfach mit der Kasse abhauen.
Beispiel für einen Rug Pull (Quelle: ByBit)
Einige grundlegende Maßnahmen sollten getroffen werden, bevor man in ein neues Projekt investiert:
Der erste ist, das White Paper des Projekts zu überprüfen. Obwohl es keine hundertprozentige Sicherheit bietet, vermittelt es einen Eindruck von der Zuverlässigkeit des Projekts. Achten Sie darauf, ob es umfangreich ist und ob es seriös verfasst wurde. Wenn Sie zwischen einem fünfseitigen und einem 50-seitigen White Paper wählen, ist es offensichtlich, dass das letztere wahrscheinlich sicherer ist.
Als Nächstes können Sie sich ansehen, wer hinter dem Projekt steht: Haben die Mitglieder bereits an anderen bekannten Projekten mitgewirkt? Haben sie Erfahrung im Blockchain- oder Technologiesektor? Wird das Projekt von bekannten Persönlichkeiten oder Unternehmen aus der Branche unterstützt?
Eine eher technische Überprüfung besteht darin, zu überprüfen, wie die Gelder eines Projekts aufgeteilt werden. Bei der Ethereum-Blockchain können Sie z. B. etherscan verwenden und überprüfen, ob wenige oder viele Personen die Token besitzen: Wenn sehr wenige Personen alle Token besitzen, sollten Sie misstrauisch werden.
Eine weitere gängige Betrugsmethode ist der „Honey Pot“, der nach einer etwas komplizierteren Methode funktioniert, die Sie aber mit denselben Vorsichtsmaßnahmen vermeiden können.
Um sein Opfer in die Falle zu locken, stellt der Scammer einen Smart Contract aus, der eine Sicherheitslücke aufweist, die das Opfer glauben machen soll, dass es diese Lücke ausnutzen kann, um Geld zu verdienen.
Beispielsweise kann das Opfer glauben, dass es mit einem Smart Contract regelmäßig und unbemerkt Geld verdienen kann. Um an seine Beute zu gelangen, muss das Opfer jedoch Geld vorstrecken.
Geld, das es natürlich nie wieder sehen wird, da die gefälschte Schwachstelle völlig absichtlich kodiert wurde. Es handelt sich um eine Version des allgemein bekannteren „4-1-9-Betrugs“, die jedoch an Kryptowährungen angepasst wurde.
Sie können das Tool zur Erkennung von Honeypots auch für Ethereum oder die Binance Smart Chain verwenden.
Sie sollten wissen, dass im Jahr 2021 über 7,7 Milliarden US-Dollar mit skrupellosen Methoden wie diesen aus der Welt der Kryptowährungen gestohlen wurden, 81% mehr als im Jahr 2020.
Volumen von Kryptowährungen, die von Scammern erlangt wurden (Quelle: Chainalysis)
Wir können Ihnen nur empfehlen, bei neuen Projekten äußerst wachsam zu sein, vor allem, wenn sie Ihnen den Mond versprechen. Seien Sie immer sehr vorsichtig
