Ice Phishing: Der 'Login'-Button, der deine Wallet leert
Zusammenfassung: Ice Phishing stiehlt nicht dein Passwort; es stiehlt deine Erlaubnis. Indem sie dich austricksen, eine bösartige Token-Genehmigung zu unterschreiben, können Hacker deine Assets nach Belieben abziehen. Dieser Artikel erklärt die Approve-Funktion und wie man Revoke.cash nutzt.
1. Das Konzept: Approve vs. Transfer
Auf Ethereum/EVM kann ein Smart Contract (wie Uniswap) deine Token nicht anfassen, es sei denn, du gibst ihm die Erlaubnis.
Es gibt zwei Möglichkeiten zu interagieren:
- Transfer: „Sende 10 USDT an Bob.“ (Einmalige Aktion).
- Approve (Genehmigen): „Erlaube Uniswap, bis zu 1.000 USDT von meiner Wallet auszugeben.“ (Dauerhafte Erlaubnis).
Die Lücke: Aus Bequemlichkeit fordern die meisten dApps eine „Unbegrenzte Genehmigung“ (Infinity) an, damit du nicht bei jedem Trade unterschreiben musst. Betrüger missbrauchen genau das.
2. Der Angriff: Das "Sicherheits-Update"
Du erhältst eine E-Mail oder siehst einen Link auf Twitter: „OpenSea Sicherheits-Update: Verifiziere deine Wallet, um Asset-Verlust zu verhindern.“
Du klickst auf den Link. Er sieht exakt aus wie OpenSea.
Du klickst auf „Verifizieren“ (Verify).
Deine Wallet zeigt eine Transaktionsanfrage.
- Sie sagt nicht „Sende ETH“.
- Sie sagt „SetApprovalForAll“ oder „Approve WETH“.
- Die Ausgeber-Adresse (Spender Address) ist der Vertrag des Hackers.
Die Falle: Du denkst, du „loggst dich ein“ oder „verifizierst“. In Wirklichkeit hast du gerade ein Rechtsdokument unterschrieben, das besagt: „Ich erlaube diesem Hacker, ALLE meine NFTs und WETH zu bewegen, wann immer er will.“
Sie stehlen dein Geld nicht sofort. Sie warten, bis du mehr einzahlst, und räumen dann alles auf einmal ab.
3. Wie man die Transaktion liest
Bevor du auf „Bestätigen“ klickst, schau dir den Reiter Daten (Data) oder die Simulation an.
Rote Flaggen 🚩
- Funktion: SetApprovalForAll (Das übergibt 100 % Kontrolle über deine NFT-Sammlung).
- Funktion: Approve (mit einer riesigen Zahl wie 1.1579e+59).
- Spender (Ausgeber): Eine unbekannte Vertragsadresse (Check auf Etherscan – ist sie verifiziert? Heißt sie „Uniswap Router“?).
4. Gegenmaßnahme: Revoke.cash
Wenn du vermutest, eine schlechte Genehmigung unterschrieben zu haben:
- Gehe auf Revoke.cash.
- Verbinde deine Wallet (zuerst im Nur-Lese-Modus).
- Scanne nach „Unbegrenzten Genehmigungen“ (Unlimited Allowances) für unbekannte Verträge.
- Widerrufe sie (Revoke) sofort. Das kostet eine kleine Gas-Gebühr, trennt aber die Verbindung zum Hacker.
Mehr lesen: Um tiefer einzutauchen, wie man diese „Hintertüren“ schließt, lies unseren Guide über Die versteckte Hintertür. Hüte dich auch vor Adressvergiftung, die dich austrickst, Geld freiwillig zu senden.
Fazit
Deine Seed-Phrase ist der Schlüssel zum Tresor. Deine „Genehmigungen“ sind die Bevollmächtigten. Du würdest einem Fremden keine Vollmacht für dein Bankkonto geben – also gib zufälligen Websites kein SetApprovalForAll.
Verwandte Artikel
Der Langzeit-Betrug (Pig Butchering): Wie sie dein Herz und deine Wallet stehlen
Es beginnt mit einer 'Falsche Nummer'-SMS. Es endet mit dem Verlust deiner Rente. Eine Anatomie des psychologischen Drehbuchs des 'Pig Butchering'-Betrugs.
Trade nicht dort, wo du spielst: Ein Plädoyer für ein dediziertes Krypto-Gerät
Dein Gaming-PC steckt voller Sicherheitslücken. Dein Handy ist voller Tracker. Warum 200 $ für ein dediziertes 'Banking-Gerät' die beste Versicherung ist, die du kaufen kannst.
Die versteckte Hintertür: Warum du Berechtigungen widerrufen musst
Du hast deine Wallet getrennt, aber der Hacker kann sie immer noch leeren. Verstehe, wie 'Unbegrenzte Genehmigungen' funktionieren und wie du deine digitale Hintertür verriegelst.