3,047 Millionen USDC bei Fake Request Finance Contract-Angriff auf Safe abgeschöpft

Ein jüngster Phishing-Angriff hat zum Verlust von 3,047 Mio. USDC geführt. Ziel des Angriffs war eine Safe-Multisignatur-Wallet. Dabei kam ein gefälschter Request-Finance-Vertrag zum Einsatz. Ermittler berichten, dass die Täter den Plan sorgfältig vorbereitet hatten. Sie führten ihn so aus, dass er fast autorisiert wirkte. Das Opfer nutzte eine 2-von-4-Safe-Multisignatur-Wallet. Laut Scam Sniffer schien die Transaktion über die Benutzeroberfläche der Request-Finance-App abgewickelt zu werden. Doch in der Batch-Transaktion war eine Genehmigung für einen bösartigen Vertrag versteckt.

Die gefälschte Vertragsadresse war der echten nahezu identisch. Nur kleine Abweichungen in den mittleren Zeichen unterschieden sie. Anfangs- und Endzeichen waren gleich. Das erschwerte es, den Unterschied auf den ersten Blick zu erkennen. Um die Glaubwürdigkeit zu erhöhen, ließen die Angreifer den schädlichen Vertrag sogar auf Etherscan verifizieren. Dieser Schritt ließ ihn für Außenstehende authentisch wirken. Sobald die Genehmigung erteilt war, entzogen die Täter sofort 3,047 Mio. USDC. Die gestohlenen Gelder wurden in ETH getauscht und schnell über Tornado Cash verschleiert, was eine Nachverfolgung erschwert.

Ein sorgfältig geplanter Ablauf

Der Zeitplan des Angriffs zeigt deutliche Vorbereitung. Dreizehn Tage vor dem Diebstahl stellten die Täter den gefälschten Request-Finance-Vertrag bereit. In der Folge führten sie mehrere „batchPayments“-Transaktionen durch, um den Vertrag aktiv und vertrauenswürdig erscheinen zu lassen. Als das Opfer schließlich damit interagierte, wirkte er wie ein normal genutzter Smart Contract. Während der Nutzung der Request-Finance-App schmuggelten die Täter die versteckte Genehmigung in die Batch-Transaktion. Mit der Signatur des Opfers war der Angriff abgeschlossen.

Reaktion von Request Finance

Request Finance bestätigte den Vorfall und veröffentlichte eine Warnung an Nutzer. Das Unternehmen erklärte, dass ein Angreifer eine Nachbildung des Batch-Payment-Vertrags bereitgestellt habe. Laut der Stellungnahme war nur ein Kunde betroffen. Die Schwachstelle sei inzwischen behoben. Wie die bösartige Genehmigung eingeschleust wurde, bleibt jedoch unklar. Analysten halten mehrere Angriffsvektoren für möglich: eine Schwachstelle in der App selbst, Malware oder Browser-Erweiterungen, die Transaktionen manipulieren, oder auch ein kompromittiertes Frontend beziehungsweise ein DNS-Hijack. Andere Formen von Code-Injektion sind nicht ausgeschlossen.

Sicherheitsbedenken verstärkt

Der Fall verdeutlicht den zunehmenden Trend von Betrugsmaschen in der Krypto-Branche. Angreifer verlassen sich nicht mehr nur auf einfache Phishing-Links oder offensichtliche Tricks. Stattdessen nutzen sie verifizierte Verträge, imitieren echte Dienste und verstecken bösartige Aktionen in komplexen Transaktionen. Batch-Transaktionen, die Zahlungen eigentlich vereinfachen sollen, können so auch neue Angriffspunkte schaffen. Da sie mehrere Aktionen bündeln, ist es für Nutzer schwer, jede Genehmigung oder Überweisung genau zu prüfen. Diese Unübersichtlichkeit ermöglicht es Angreifern, betrügerische Operationen unbemerkt einzuschleusen.

Lehren für die Community

Experten betonen die Notwendigkeit äußerster Vorsicht beim Einsatz von Multi-Send- oder Batch-Payment-Funktionen. Jede Vertragsgenehmigung sollte Zeichen für Zeichen überprüft werden, um Verwechslungen mit ähnlich aussehenden Adressen zu vermeiden. Schon ein übersehenes Detail kann zu erheblichen Verlusten führen, wie dieser Fall zeigt. Sicherheitsfirmen raten außerdem, den Einsatz von Browser-Erweiterungen möglichst zu minimieren und unbekannte Apps im Wallet-Umfeld kritisch zu prüfen.

Aktuelle Software, die Nutzung von Hardware-Wallets für Genehmigungen sowie der Abgleich von Vertragsadressen über vertrauenswürdige Quellen können das Risiko solcher Angriffe verringern. Der Vorfall ist eine klare Erinnerung, den Schutz für Nutzerplattformen zu verstärken. Verbesserte Warnungen, automatische Markierungen von Nachahmerverträgen und mehr Transparenz bei Transaktionen könnten ähnliche Angriffe künftig erschweren.

Eine teure Erinnerung

Der Verlust von 3,047 Mio. USDC ist ein weiteres Beispiel für die hohen Risiken im dezentralen Finanzwesen. Auch wenn Safe und Request Finance weiterhin populäre Werkzeuge sind, nutzen Angreifer zunehmend deren Komplexität aus. Für Nutzer bleibt Vorsicht die einzige wirksame Verteidigung. In diesem Fall setzten die Täter auf subtile Unterschiede, sorgfältige Vorbereitung und ein überzeugendes Täuschungsmanöver. Leider reichte das aus, um selbst eine Multisignatur-Lösung auszuhebeln. Der Vorfall zeigt: Im Krypto-Bereich zählt jeder Klick und jede Genehmigung.