538 Mio. $ von Drainers gestohlen: ETH- & SOL-Wallets vereinen sich mit Echtzeit-Phishing-Blockaden

SEAL, die gemeinnützige Sicherheitsorganisation, die seit Ende 2023 Krypto-Drainer-Operationen stört, hat am 22. Oktober in Partnerschaft mit MetaMask, WalletConnect, Backpack und Phantom ein Echtzeit-Phishing-Abwehrnetzwerk gestartet.

Die Koalition setzt die Technologie der Verifiable Phishing Reports ein, die es Nutzern ermöglicht, kryptografisch beglaubigte Beweise für bösartige Seiten einzureichen und so den manuellen Überprüfungsengpass zu umgehen, der es Drainern erlaubt, ihre Infrastruktur schneller zu wechseln, als Verteidiger reagieren können.

Laut im Laufe des Jahres veröffentlichten Berichten von CertiK wurden bis zum 30. September etwa 538 Millionen US-Dollar durch Phishing-Angriffe gestohlen. Diese Schätzung schließt den 1,4 Milliarden US-Dollar Exploit gegen Bybit im Februar aus.

Die Zusammenarbeit adressiert einen Eskalationszyklus, in dem Drainer sich an jede Gegenmaßnahme anpassten.

Als SEAL die Updates für eth-phishing-detect beschleunigte, wechselten Drainer-Operatoren ihre Landingpages häufiger.

Als Infrastruktur-Anbieter missbräuchliches Hosting blockierten, migrierten Drainer zu Offshore-Bulletproof-Services. Als SEAL automatisiertes Scannen über seinen Phishing Bot implementierte, setzten Drainer Cloaking- und Anti-Fingerprinting-Maßnahmen ein, um der Erkennung zu entgehen.

Das Ergebnis war ein Wettrüsten zugunsten der Angreifer, die die Initiative behielten, während Verteidiger Schwierigkeiten hatten, Einsendungen in großem Maßstab zu validieren.

Der Verifiable Phishing Reporter ändert das Engagement-Modell. Nutzer reichen Berichte ein, die den exakten Inhalt einer verdächtigen Phishing-Seite enthalten, begleitet von einer TLS-Bestätigung, die beweist, dass der Inhalt nicht gefälscht wurde.

SEAL verarbeitet diese Einsendungen in Echtzeit ohne manuelle Triage und umgeht so Cloaking-Techniken, die bösartige Nutzlasten vor automatisierten Scannern verbergen.

Die Koalition leitet validierte Berichte in ein End-to-End-Erkennungssystem, das Phishing-Domains und riskante Vertragsinteraktionen in teilnehmenden Wallets blockiert und so lokale Informationen in netzwerkweiten Schutz verwandelt.

Ohm Shah, Sicherheitsforscher bei MetaMask, erklärte:

„Drainer sind ein ständiges Katz-und-Maus-Spiel wie die meisten Sicherheitsfragen. Die Zusammenarbeit mit SEAL und deren unabhängigen Forschern ermöglicht es Wallet-Teams wie MetaMask, agiler zu sein und SEALs Forschung in der Praxis anzuwenden, was der Infrastruktur der Drainer effektiv einen Strich durch die Rechnung macht.“

Derek Rein, CTO von WalletConnect, fügte hinzu, dass die Partnerschaft den Schutz für WalletConnect Certified Wallets erweitert, die Nutzer bereits vor bekannten Betrugsseiten warnen.

Armani Ferrante, CEO von Backpack, stellte die Integration als Teil der Mission der Wallet dar, den Besitz digitaler Vermögenswerte sicherer zu machen, während Kim Persson, Senior Engineer bei Phantom, betonte, dass Domain-Sicherheit und Nutzersicherheit weiterhin Kernprioritäten bleiben.

Erfolgsmessung

Die Effektivität des Netzwerks könnte auf drei Säulen beruhen: weniger Nutzer, die Gelder verlieren, schnellere Neutralisierung von Bedrohungen und hochwertige Erkennungen, gemessen an einer Vor-Launch-Basislinie und einer passenden Kontrollgruppe.

Die primäre Kennzahl ist die Verlustquote pro aktivem Nutzer, beispielsweise Dollar-Verluste durch Phishing pro 1.000 monatlich aktive Wallets, die aus On-Chain-Drainer-Clustern, Selbstberichten von Opfern und Wallet-Telemetrie geschätzt werden kann.

Geschwindigkeit definiert die zweite Messungsebene. Time-to-protect verfolgt die mittlere und 95. Perzentil-Dauer vom ersten Verifiable Phishing Report bis zur Warnung oder Blockierung in der Wallet.

Time-to-neutralize misst separat Web-Vektoren, Berichte zur Blocklist-Propagation bis zur Abschaltung der Seite, und On-Chain-Vektoren, bei denen Berichte das Abfangen riskanter Verträge oder Adressen auslösen.

Anhaltende Verkürzungen dieser Intervalle sollten mit geringeren realisierten Verlusten korrelieren.

Abdeckung und Qualität bilden die dritte Säule. Recall erfasst den Anteil bekannter Phishing-Domains und -Adressen, die vor der ersten geschädigten Transaktion markiert wurden, validiert durch unabhängige Quellen und Nachuntersuchungen.

Die Präzision wird als Eins minus der Falsch-Positiv-Rate gemessen, bestätigt durch nachfolgende saubere TLS-Bestätigungen und Nutzerbeschwerden.

Weitere Qualitätskontrollen umfassen den Anteil der Netzwerkaktionen, die durch gültige TLS-Bestätigungen gestützt werden, Duplikationsraten unter den Reportern und die mittlere Lebensdauer einer Domain nach der ersten Bestätigung.

Verhaltensmetriken würden zeigen, ob Schutzmaßnahmen das Nutzerverhalten verändern. Die Deflection Rate teilt die Anzahl der Warnungen, die zum Abbruch riskanter Aktionen führen, durch die Gesamtzahl der angezeigten Warnungen, während die Blocked-Sign-Rate gestoppte Transaktionen zählt.

Die Organisation lädt weitere Wallets ein, dem Netzwerk beizutreten, und ermutigt Sicherheitsforscher und Nutzer, über den auf ihrer Website verfügbaren Verifiable Phishing Reporter Client beizutragen.

Der Beitrag $538M stolen by drainers: ETH & SOL wallets unite with real-time phishing blocks erschien zuerst auf CryptoSlate.