Blinde Unterschriften-Betrug ist im dezentralen Finanzwesen nach wie vor weit verbreitet. Dabei handelt es sich um eine Masche, bei der Betrüger trügerische Intelligente Verträge erstellen, um Vermögenswerte von Nutzern von Krypto-Wallets zu stehlen. Aber warum nennt man es blinde Unterschriften und wie können Sie diese Schwachstellen vermeiden?
Intelligente Verträge und blinde Unterschriften
Intelligente Verträge sind der Baustein vieler dApps, NFTs und Sektoren von DeFi. Angenommen, Sie möchten Ihre Kryptowährung in einen Liquiditätspool investieren, um eine monatliche Rendite zu erzielen. Das Liquiditätsprotokoll funktioniert über intelligente Verträge, die Zugriff auf die Token in Ihrer Brieftasche benötigen. Daher müssen Sie den Smart Contracts Zugriff auf Ihre Token gewähren.
Wenn Sie diese Genehmigungstransaktion mit dem privaten Schlüssel Ihrer Hardware-Wallet unterschreiben, bedeutet dies, dass Sie mit den Bedingungen des Smart Contracts einverstanden sind und seinem Code voll und ganz vertrauen.
Eine blinde Unterschrift bedeutet, dass Sie einem intelligenten Vertrag Zugriff auf Token in Ihrer Geldbörse geben, ohne die vollständigen Details des Vertrags zu kennen. Im traditionellen Finanzwesen bedeutet die Unterzeichnung eines Vertrags, dass man die Bedingungen versteht und ihnen zustimmt. Sie können also davon ausgehen, dass das blinde Unterschreiben ähnlich ist wie das Unterzeichnen eines Vertrags auf Papier, ohne dessen Bedingungen vollständig zu lesen.
Was ist, wenn der intelligente Vertrag bei der Unterzeichnung nicht alle Informationen anzeigt?
Krypto-Wallets haben aufgrund des komplexen Codes, der in intelligenten Verträgen verwendet wird, oft Schwierigkeiten, wichtige Informationen anzuzeigen. Diese Verträge enthalten in der Regel wichtige Kontaktdaten, die nicht einfach extrahiert und in einer für die Nutzer verständlichen Sprache dargestellt werden können.
Ursprünglich für einfache Blockchain-Transaktionen konzipiert, ermöglichen Hardware-Wallets den Nutzern nun die Interaktion mit komplexen Smart Contracts für DeFi über Protokolle wie WalletConnect. Diese Protokolle stellen die Informationen jedoch nicht immer in einer leicht verständlichen Weise dar.
Dies kann zu Situationen führen, in denen Sie Transaktionen auf der Grundlage von Vertrauen unterzeichnen müssen, ohne eine endgültige Garantie für den Inhalt zu haben.
Verhindert eine vertrauenswürdige Anzeige Betrug durch Blinde Unterschrift?
Einige könnten argumentieren, dass die Verwendung einer vertrauenswürdigen Anzeige das Risiko minimiert, Opfer von Betrügereien mit Blindsignaturen zu werden. Mit anderen Worten: Ein vertrauenswürdiges Display zeigt dem Nutzer genau, was er unterschreibt.
Eine vertrauenswürdige Anzeige ist eine digitale Anzeige, die geprüfte und authentische Informationen anzeigt und so gewährleistet, dass die dargestellten Informationen korrekt, zuverlässig und sicher sind.
Das ist ein spannender Gedanke. Kann ein vertrauenswürdiges Display Informationen anzeigen, die einfach nicht vorhanden sind? Solche Displays haben die inhärenten Nachteile einer Hardware-Wallet - der Smart-Contract-Code kann zu komplex sein. Darüber hinaus können diese Displays nur die Informationen anzeigen, die der Wallet-Chip aus dem Smart Contract analysieren/dekodieren kann - damit unterscheiden sie sich nicht so sehr vom Bildschirm Ihres Mobiltelefons.
Im Gegensatz zu Ihrem Mobiltelefon, das eines von Millionen ist, die für verschiedene Nutzer hergestellt werden, können Krypto-Geldbörsen mit "vertrauenswürdigen Displays" durch Angriffe in der Lieferkette angegriffen und kompromittiert werden, z. B. durch Austausch oder Umprogrammierung eines unsicheren Chips in der Wallet.
Wie Tangem dieses Problem umgeht
Ein entscheidender Vorteil der Tangem-Geldbörse gegenüber anderen Hardware-Geldbörsen ist ihre Haltbarkeit. Unsere Wallet wurde lächerlichen Tests unterzogen, darunter Einfrieren, Verbrennen, Schüsse und hydraulische Pressen, doch sie blieb funktionsfähig. Schließlich befindet sich der Kryptoraum in seiner Wildwest-Phase - wenn Sie sich entscheiden, Ihre eigene Bank zu sein, müssen Sie sicherstellen, dass Ihr Tresor nicht leicht zu knacken ist.
Das Hinzufügen eines "vertrauenswürdigen Displays" direkt auf der Tangem-Karte stellt ein großes Risiko für deren Zuverlässigkeit und Sicherheit dar. Diese zusätzlichen Komponenten sind oft nicht sicherheitszertifiziert und können anfällig für externe Einflüsse sein, was die Wahrscheinlichkeit eines Ausfalls erhöht. Bei einem Angriff in der Lieferkette könnten Hacker beispielsweise ein echtes Display durch eine gefälschte Anzeige ersetzen.
Der Verzicht auf ein eingebautes Display bietet den Nutzern der Tangem Wallet ebenfalls mehrere Vorteile:
- Eine Mindestlebensdauer von 25 Jahren;
- Vollständig wasser- und staubdicht nach IP69K;
- Extreme Temperaturbeständigkeit;
- Leichtes Gewicht, ähnlich einer Bankkarte.
99% der Angriffe auf Wallet-Benutzer zielen darauf ab, Seed-Phrasen, private Schlüssel oder Signaturen ohne Autorisierung des Benutzers zu erhalten. Tangem bietet den bestmöglichen Schutz gegen all diese Angriffsvektoren.
Was passiert, wenn eine gefälschte Tangem-App in die App-Stores gelangt?
Wie können Sie darauf vertrauen, dass die Tangem-App Ihnen die richtigen Informationen anzeigt, wenn Ihr Smartphone kompromittiert ist?
Im Gegensatz zu Web-Apps, Desktop-Plattformen und Browser-Erweiterungen ist es unmöglich, client-seitige mobile Apps und/oder Geräte-Firmware massenhaft zu kompromittieren. Keine bekannte mobile Malware kann Anwendungen wie Tangem mit einer robusten Sicherheitsarchitektur ausnutzen.
Mobile Geräte sind zu 100 % sicher, wenn sie von vertrauenswürdigen Anbietern gekauft werden. Installieren Sie offizielle Apps, und jailbreaken Sie das Betriebssystem nicht.
Zur Erinnerung: Ihre privaten Schlüssel sind auf der Karte gespeichert, die nicht mit dem Internet verbunden ist.
Was ist, wenn das Betriebssystem des Smartphones kompromittiert ist?
Obwohl Tangem keine Kontrolle über das zugrunde liegende Betriebssystem - iOS oder Android - hat, können wir für die Tangem-App und die Karten bürgen. Es ist theoretisch unmöglich, bösartigen Code in die Tangem-App zu injizieren oder eine gefälschte Tangem-Karte zu erstellen. Die Tangem-App kann auf einem infizierten Gerät funktionieren, aber wir raten davon ab, sie auf einem solchen zu verwenden. Für einen optimalen Schutz ist es wichtig, eine sichere Umgebung aufrechtzuerhalten.
Was ist mit Keyloggern als Angriffsvektor?
Keylogger sind bösartige Software, die Tastatureingaben auf einem Computer oder Mobilgerät aufzeichnet und überwacht. Ihr Hauptzweck ist es, sensible Informationen wie Benutzernamen, Passwörter, Kreditkartennummern und andere persönliche Daten, die Benutzer eingeben, zu erfassen.
Wenn Sie mit der Tangem-Wallet Seed-Phrasen erzeugen, zeigt die App die Seed-Phrasen auf dem Display Ihres Smartphones an und fordert Sie auf, sie aufzuschreiben. Sobald Sie ihn aufgeschrieben haben, fordert die App Sie auf, ihn zu bestätigen, indem Sie einige Seed-Wörter richtig antippen. Zusammenfassend lässt sich sagen, dass Keylogger hier keine echte Bedrohung darstellen.
Darüber hinaus sollten Sie Ihr Telefon regelmäßig auf Virenbefall überprüfen und auf Anzeichen von Malware/Spyware achten, wie z. B. schnelles Entladen des Akkus, ein heißes Telefon, Verzögerungen oder unerwartetes Öffnen von Apps.
Wie man Betrug mit Blinde Unterschriften vermeidet
Sie können vermeiden, Opfer eines Blinde Unterschrift-Betrugs zu werden, indem Sie die folgenden Maßnahmen ergreifen:
- Vermeiden Sie die Interaktion mit unbekannten dezentralen Anwendungen.
- Stellen Sie immer Ihre eigenen Nachforschungen an und überprüfen Sie jedes Projekt online.
- Vermeiden Sie es, mit Direktnachrichten in sozialen Medien zu interagieren, insbesondere wenn ein "Teammitglied" eines Projekts Sie kontaktiert.
- Klicken Sie nicht auf Links aus unbekannten Quellen.
- Experimentieren Sie nicht mit dem Betriebssystem Ihres Smartphones, indem Sie es jailbreaken.
- Geben Sie Ihre Seed-Phrase (falls vorhanden) nirgendwo ein und verraten Sie sie auch niemandem.
Selbstverwahrung bedeutet, dass Sie die Kontrolle über Ihre privaten Schlüssel haben; daher sind Sie der letzte Verteidigungspunkt für Ihr Krypto-Vermögen, und Ihr Urteilsvermögen ist entscheidend.
Abschließende Überlegungen
Bei Tangem legen wir großen Wert auf die Sicherheit unserer App-Entwicklungs- und Bereitstellungsprozesse. Dies ist die Grundlage unseres Produkts und unseres Rufs, und wir nehmen es ernst. Wir garantieren, dass kein bösartiger Code seinen Weg in die endgültige Version unserer App finden wird. Wenn Sie dies überprüfen möchten, können Sie jederzeit den neuesten Code auf GitHub einsehen und die App selbst erstellen.
Wenn zusätzliche Schaltflächen oder Bildschirme zur Überprüfung oder Autorisierung von Transaktionen hinzugefügt werden, führt die erhöhte Komplexität für die meisten Benutzer zu mehr Schwachstellen und Risiken. Geräte, die mehrere Tasten und Bildschirme erfordern, eröffnen Angreifern neue Möglichkeiten, mehrere Schnittstellen, Firmware-Updates im Feld und Lieferketten auszunutzen. Daher bleibt der Ansatz von Tangem zur Transaktionssignierung die beste Option.