HAFTUNGSAUSSCHLUSS

Dieser Leitfaden kann nichts garantieren und ist nicht aus der Perspektive eines "Krypto- oder Cybersicherheitsexperten" geschrieben.

Es ist das Ergebnis kontinuierlichen Lernens aus verschiedenen Quellen und persönlicher Erfahrung.

Zum Beispiel wurde ich selbst sehr früh durch FOMO und Gier hereingelegt (Fake-Livestream-Betrug und Fake-MEV-Bot-Betrug), als ich in diesen Bereich eintrat, also nahm ich mir die Zeit, ernsthaft zu lernen, Sicherheit einzurichten und zu verstehen.

Seien Sie nicht die Person, die gezwungen ist, sich mit Sicherheit zu beschäftigen, weil Sie alles oder eine schmerzlich große Menge verloren haben.

HACK ODER BENUTZERFEHLER?

Alle Arten von Wallet-/Token-/NFT-"Hacks" oder -Kompromittierungen lassen sich grob in eine von zwei Kategorien einteilen:

1. Missbrauch zuvor erteilter Token-Zulassungen.

2. Kompromittierung des privaten Schlüssels/Saatgutsatzes (normalerweise in einer Hot Wallet).

TOKEN-ZUSTIMMUNGEN

Token-Zulassungen sind im Wesentlichen eine Berechtigung für einen Smart Contract, auf eine bestimmte Art oder Menge eines Tokens in Ihrer Brieftasche zuzugreifen und es zu verschieben.

Zum Beispiel:

1. Geben Sie OpenSea die Erlaubnis, Ihr NFT zu verschieben, damit Sie es verkaufen können.
2. Geben Sie Uniswap die Erlaubnis für Ihre Tokens, damit Sie einen Austausch vornehmen können. \
   \
   Wenn Sie weitere Hintergrundinformationen zu Token-Zulassungen wünschen,Du kannst diesen Thread hier lesen.

Für etwas Vorkontext ist im Grunde alles auf dem Ethereum-Netzwerk, AUSSER ETH, ein ERC-20-Token.

Eine der Eigenschaften von ERC-20-Token ist die Fähigkeit, anderen Smart Contracts Genehmigungsberechtigungen zu erteilen.

Diese Genehmigungen sind irgendwann erforderlich, wenn Sie jemals Kern-DeFi-Interaktionen wie Token-Swap oder Token-Brücke durchführen möchten.

NFTs sind jeweils ERC-721 und 1155 Tokens; ihre Genehmigungsmechanismen funktionieren ähnlich wie bei ERC-20s, jedoch für NFT-Marktplätze.

Die erste Token-Zulassungsaufforderung von MetaMask (MM) gibt Ihnen mehrere Informationen, aber die relevantesten sind:

• der Token, für den Sie Ihre Zustimmung geben

• die Website, mit der Sie interagieren

• Der Smart Contract, mit dem Sie interagieren

• Die Möglichkeit, die Token-Berechtigungsmenge zu bearbeiten

Unter dem Dropdown-Menü mit allen Details sehen wir eine zusätzliche Information: die Genehmigungsfunktion.

Alle ERC-20 Tokens müssen bestimmte Eigenschaften und Merkmale gemäß dem ERC-20 Standard aufweisen.

Eine davon ist die Fähigkeit von Smart Contracts, Token basierend auf der genehmigten Menge zu bewegen.

Die Gefahr bei diesen Genehmigungen besteht darin, dass Sie böswilligen Smart Contracts Berechtigungen für die Gewährung von Tokens erteilen und Ihre Vermögenswerte gestohlen/ausgeleert werden könnten.

UNBEGRENZTE GEGEN BENUTZERDEFINIERTE LIMITFREIGABEN (ERC-20-TOKEN)

Viele DeFi-Apps werden standardmäßig zur unbegrenzten Genehmigung des ERC20-Tokens auffordern.

Dies dient zur Verbesserung der Benutzererfahrung, da es bequemer ist und keine zukünftigen Genehmigungen erfordert, wodurch Zeit und Gasgebühren eingespart werden.

WARUM IST DAS WICHTIG?

Das Genehmigen einer unbegrenzten Menge an Token birgt potenziell Ihre Gelder in Gefahr.

Das manuelle Bearbeiten der Token-Genehmigung auf einen bestimmten Betrag setzt den maximalen Betrag an Token fest, den die genehmigte dApp verschieben kann, bis eine weitere Genehmigung für einen größeren Betrag unterzeichnet wird.

Dies begrenzt Ihr Abwärtsrisiko, wenn dieser Smart Contract ausgenutzt wird. Wenn es eine Ausnutzung in einer dApp gibt, für die Sie unbegrenzte Genehmigungen erteilt haben, dann besteht das Risiko, dass Sie alle diese genehmigten Token aus der Brieftasche verlieren, die diese Vermögenswerte hält und diese Genehmigung erteilt hat.

Siehe die Multichain WETH (WETH ist ein ERC-20-Token-Wrapper von ETH) exploitals ein Beispiel.

Diese häufig genutzte Brücke wurde ausgenutzt, indem die früheren unbegrenzten Token-Berechtigungen missbraucht wurden, um Gelder von Benutzern abzuziehen.

Ein Beispiel (mit der Zerion-Brieftasche) für die Änderung von den standardmäßigen unbegrenzten Genehmigungen zu manuellen Genehmigungen.

NFT-GENEHMIGUNGEN

"setApprovalForAll" für NFTs

Dies ist eine häufig verwendete, aber potenziell gefährliche Genehmigung, die in der Regel vertrauenswürdigen NFT-Marktplätzen erteilt wird, wenn Sie Ihr NFT verkaufen möchten.

Dies ermöglicht es dem NFT, durch den Smart Contract eines Marktplatzes übertragbar zu sein. Wenn Sie also ein NFT an einen Käufer verkaufen, kann der Smart Contract dieses Marktplatzes das NFT automatisch an den Käufer übertragen.

Diese Genehmigung gewährt Zugang zu allen NFT-Token einer bestimmten Sammlung/Vertragsadresse.

Dies kann auch von bösartigen Websites/Verträgen verwendet werden, um Ihre NFTs zu stehlen.

BEISPIEL FÜR BÖSWILLIGEN TÄTER, DER „SETAPPROVALFORALL“ MISSBRAUCHT

Der klassische 'Wallet-Abfluss' für eine FOMO-freie Münzsituation läuft folgendermaßen ab:

Benutzer besucht eine bösartige Website, von der sie glauben, dass sie legitim ist.

Wenn sie ihr Wallet mit einer Website verbinden, kann die Website nur den Inhalt des Wallets sehen.

Allerdings verwenden sie dies, um das Portemonnaie nach den wertvollsten NFTs zu durchsuchen und MM zur Genehmigung für alle vom Vertragsadress für dieses NFT zu veranlassen.

Der Benutzer denkt, dass er Münzen prägt, gibt aber tatsächlich dem bösartigen Vertrag die Zustimmung, diese Token zu bewegen.

Der Betrüger stiehlt dann Tokens und liquidisiert sie in offenen OS- oder Blur-Geboten, bevor das Element als gestohlen markiert wird.

SIGNATURES VS APPROVALS

Zur Genehmigung ERFORDERT Gas, da sie eine Transaktion verarbeiten.

Signaturen sind gasfrei und werden häufig verwendet, um sich bei dApps anzumelden und zu beweisen, dass Sie über diese entsprechende Brieftasche verfügen.

Signaturen sind im Allgemeinen Aktionen mit geringerem Risiko, können aber immer noch genutzt werden, um Zustimmungen, die zuvor für vertrauenswürdige Websites wie OpenSea gegeben wurden, auszunutzen.

Es ist auch möglich (für ERC-20s), Ihre Genehmigungen mit einer gasfreien Signatur zu ändern, da Genehmigungsfunktionen kürzlich auf ETH eingeführt wurden.

Dies kann gesehen werden, wenn Sie eine DEX wie 1inch verwenden.

Eine genauere Betrachtung davonhier.

TOKEN-ZUSTIMMUNGEN ERKENNTNISSE

Seien Sie vorsichtig, wenn Sie Genehmigungen für irgendetwas erteilen, stellen Sie sicher, dass Sie wissen, für welche Token Sie Genehmigungen erteilen und an welchen Smart Contract (nutzen Sie etherscan.)

Begrenzen Sie Ihr Risiko auf Genehmigungen:

1. Verwenden Sie mehrere Wallets (Zustimmungen sind walletspezifisch) - unterschreiben Sie keine Zustimmungen für Ihr Tresor-/Hochwert-Wallet.
2. Idealerweise reduzieren oder vollständig vermeiden, unbegrenzte Genehmigungen für ERC-20s zu erteilen.
3. Überprüfen Sie regelmäßig Berechtigungen über etherscan oder revoke.cash und heben Sie sie auf.

Revoke.cashist eine Website, die es Ihnen ermöglicht, verschiedene Token-Zulassungen leicht zu widerrufen.

HARDWARE/COLD WALLETS

Hot Wallets sind über Ihren Computer oder Ihr Telefon mit dem Internet verbunden. Schlüssel-/Wallet-Anmeldeinformationen werden online oder lokal in Ihrem Browser gespeichert.

Kaltwallets sind Hardwaregeräte, bei denen der Schlüssel rein offline und physisch in Ihrer Nähe generiert und gespeichert wird.

Wenn Sie mehr als 1000 US-Dollar an Krypto-Vermögenswerten haben, sollten Sie wahrscheinlich ein Ledger kaufen und einrichten, da ein Ledger ungefähr 120 US-Dollar kostet. Sie können Ihre Ledger-Wallets mit Ihrem MM verbinden (nicht importieren), um über die gleiche Funktionalität wie ein anderes Hot Wallet zu verfügen und gleichzeitig ein gewisses Maß an Sicherheit zu gewährleisten.

Ledger und Trezor sind die beliebtesten. Ich mag Ledger, da es am kompatibelsten mit Browser-Wallets ist (ähnlich wie Rabby und MM).

BESTE PRAXIS BEIM KAUF EINES LEDGERS

Immer vom offiziellen Hersteller-Website kaufen, NICHT auf Ebay oder Amazon kaufen = möglicherweise kompromittiert/vorinstallierte Malware.

Stellen Sie sicher, dass die Verpackung versiegelt ist, wenn Sie den Artikel erhalten.

Wenn Sie das Ledger zum ersten Mal einrichten, wird es eine Startphrase generieren.

Schreiben Sie das Seed nur auf physisches Papier oder eine Stahlplatte, damit Ihr Seed-Code feuer- und wasserdicht ist.

NIEMALS ein Foto machen oder den Seed in irgendeine Form einer Tastatur eingeben (auch auf dem Telefon nicht), da dies den Seed digitalisiert und deine „kalte“ Brieftasche nun zu einer unsicheren „heißen“ Brieftasche macht.

Die Krypto wird nicht direkt auf der Hardware-Wallet gespeichert, sondern "innerhalb" der Wallet, die durch die Seed-Phrase generiert wird.

Der Seed-Phrasen (12-24 Wörter) ist ALLES, es muss um jeden Preis geschützt/gesichert werden.

Es gibt volle Kontrolle / Zugriff auf ALLE Geldbörsen, die unter diesem Seed-Satz generiert wurden.

Der Seed ist nicht gerätespezifisch, Sie können ihn bei Bedarf als Backup in eine andere Hardware-Wallet „importieren“.

Wenn der Seed verloren/zerstört und die originale Hardware-Wallet verloren/zerstört/ausgesperrt ist, bedeutet dies, dass der dauerhafter Zugriff auf ALLE Ihre Vermögenswerte verloren geht.

Es gibt verschiedene Stufen der Seed-Level-Speicherung wie das Aufteilen in mehrere Teile, das Hinzufügen von physischem Abstand zwischen den Teilen, das Speichern an unauffälligen Orten (eine Suppendose am Boden des Gefrierschranks, irgendwo unterirdisch auf Ihrem Grundstück usw.)

Mindestens sollten Sie 2-3 Kopien haben, wobei eine auf Stahl sein sollte, um sich vor Wasser und Feuer zu schützen.

Ein „Privatschlüssel“ ist wie eine Samenphrase, aber nur für 1 spezifische Brieftasche. Er wird in der Regel verwendet, um Hot Wallets in ein neues MM-Konto zu importieren oder in Automatisierungstools wie Handelsroboter.

DAS 25. WORT - LEDGER

Neben dem ursprünglichen 24-Wort-Samen verfügt Ledger über eine optionale zusätzliche Sicherheitsfunktion.

Das Passphraseist eine erweiterte Funktion, die ein 25. Wort Ihrer Wahl von maximal 100 Zeichen zu Ihrem Wiederherstellungsphrase hinzufügt.

Die Verwendung einer Passphrase führt zur Erstellung eines vollständig anderen Satzes von Adressen, auf den allein über die 24-Wort-Wiederherstellungsphrase nicht zugegriffen werden kann.

Neben der Hinzufügung einer weiteren Schicht gewährt Ihnen die Passphrase eine glaubhafte Abstreitbarkeit, wenn Sie unter Druck stehen.

Wenn Sie eine Passphrase verwenden, ist es wichtig, sie sicher aufzubewahren oder sich perfekt daran zu erinnern, Zeichen für Zeichen und Groß-/Kleinschreibung beachtend.

Dies ist die einzige und letzte Verteidigung gegen Situationen des "5-Schlüssels-Angriffs", bei denen Sie physisch bedroht werden.

WARUM DEN GANZEN AUFWAND BETREIBEN, UM EINE HARDWARE-WALLET EINZURICHTEN?

Hot Wallets speichern die privaten Schlüssel an einem Ort, der mit dem Internet verbunden ist.

Es ist täuschend einfach, über das Internet dazu gebracht, getäuscht und manipuliert zu werden, um diese Zugangsdaten preiszugeben.

Ein Cold Wallet zu haben bedeutet, dass ein Betrüger physisch Ihren Ledger oder Seed finden und mitnehmen müsste, um Zugang zu diesen Wallets und den darin befindlichen Vermögenswerten zu erhalten.

Seed gefährdet = alle Hot Wallets und Vermögenswerte darin sind gefährdet, auch solche, die nicht mit der bösartigen Website/Smart Contract interagiert haben.

GEWÖHNLICHE METHODEN, WIE MENSCHEN IN DER VERGANGENHEIT "GEHACKT" WURDEN

Gängige Methoden, wie Menschen in der Vergangenheit "gehackt" wurden (Kompromittierung des Seed-Phrases) über Hot Wallets.

1. Durch das Herunterladen von Malware über Jobangebot-PDFs, das "Beta-Testen" von Spielen, das Ausführen von Makros über Google Sheets, die Nachahmung legitimer Websites und Dienste getäuscht werden.

2. Interaktion mit bösartigen Verträgen: FOMO-Minting von einer Nachahmungsseite, Interaktion mit Vertrag von unbekannten Luftabwürfen/erhaltenen NFTs.

3. Einfügen oder Senden von Schlüsseln & Samen an den "Kundensupport" oder ein verwandtes Programm/Formular.

BEISPIELE UND AUFSCHLÜSSELUNG VON HOCHKARÄTIGEN "HACKS"

Kevin Rose: Ging, um eine Sammlung zu prägen (Kunstblock), unterzeichnete eine Signatur-TXN (gaslos), dachte, er würde sich nur auf der Münzseite einloggen.

Aber Seehafen (neuer OpenSea-Marktplatzvertrag) ermöglicht es Ihnen, benutzerdefinierte Aufträge zu erstellen, die Sie dann nur mit einer Signatur akzeptieren können.

Da Kevin bereits Genehmigungen für seine Vermögenswerte an den OpenSea-Vertrag erteilt hatte, hat der Hacker ihn dazu gebracht, eine Signatur zu unterzeichnen, die eine kundenspezifische Bestellung erfüllt, um alle teuren NFTs von Kevin kostenlos/~$1 an den Hacker zu verkaufen.

Wichtige Erkenntnisse:

Signaturen können auch missbraucht werden, wenn sie bereits erteilte Genehmigungen ausnutzen, selbst wenn diese Genehmigung einer vertrauenswürdigen Quelle erteilt wurde.

Unterschreiben Sie keine OpenSea (OS) Genehmigungen auf Websites außerhalb von OS, interagieren Sie nicht mit Verträgen oder Websites, wenn Sie über eine "grail/main vault"-Brieftasche verfügen. Senden Sie sie an eine Zwischenbrieftasche und interagieren Sie dann.

NFT_GOD: verwendete die Importkonto-Option (im Gegensatz zur Hinzufügen-Hardware-Wallet-Option) von MetaMask und tippte seinen Seed-Phrasen in MetaMask ein, als er sein Ledger einrichtete.

Dies hat seinen Cold Wallet effektiv in einen Hot Wallet verwandelt - erinnern Sie sich an die vorherige goldene Regel, niemals Ihre Seed-Phrase zu digitalisieren.

Dann hat er anscheinend eine gefälschte OBS (Aufnahmesoftware) namens ODS heruntergeladen, die als Werbung oben in der Google-Suche beworben wurde.

Dies war Malware, also hat sie die Seed-Phrase gestohlen und damit alle Vermögenswerte in seinen Hot-Wallets gestohlen und auch seine Cold-Wallets.

Hauptergebnis:

NIEMALS Ihre Seed-Phrase in irgendeiner Weise 'digitalisieren' = sie in irgendeine Art von Tastatur (auch auf dem Telefon) einzugeben oder ein Foto zu machen (automatische Sicherung in Cloud-Diensten hat auch Menschen gefährdet.)

Haftungsausschluss:

1. Dieser Artikel wurde ausgedruckt von [Einblickreiche InsiderWeitergabe des Originaltitels 'Wie man in der Krypto-Welt niemals wieder betrogen wird', alle Urheberrechte liegen beim Originalautor [.EINSICHTSVOLL]. Wenn es Einwände gegen diesen Nachdruck gibt, wenden Sie sich bitte an Gate LearnTeam und sie werden es umgehend bearbeiten.

2. Haftungsausschluss: Die in diesem Artikel geäußerten Ansichten und Meinungen sind ausschließlich die des Autors und stellen keine Anlageberatung dar.

3. Übersetzungen des Artikels in andere Sprachen werden vom Gate Learn-Team durchgeführt. Sofern nicht anders angegeben, ist das Kopieren, Verteilen oder Plagiieren der übersetzten Artikel untersagt.