Die größte Schwäche bei Kryptowährungen? Blindsignaturen – verständlich erklärt

Lesen 7 min.
Medium
Wichtigste Erkenntnisse:
– Nach dem unglaublichen Aufstieg von DeFi- und NFT-DApps interagieren die Nutzer auf immer komplexere Weise mit Smart Contracts. Gleichzeitig suchen Betrüger fortlaufend nach neuen Schwachstellen.
Blindsignaturen gehören zu den weniger bekannten Tricks, die von Betrügern eingesetzt werden, um Ihr Vermögen zu stehlen.
– Die Smart Contracts, die von modernen DApps und NFTs verwendet werden, stellen eine Herausforderung für die aktuelle Generation von Krypto-Wallets dar, da ihr Code – der die wichtigsten Vertragsdetails enthält – nicht vollständig extrahiert und angezeigt werden kann. Das bedeutet, dass die Nutzer signieren müssen, ohne zu wissen, was sie signieren.
– Mit dem Einzug von Kryptowährungen in den Mainstream gewinnen immer mehr Menschen Kompetenzen in Sachen Vermögensschutz, und daher gibt es auch weniger Möglichkeiten für Betrüger, sich Zugang zu Ihrem Vermögen zu verschaffen. Deswegen versuchen sie heute nicht mehr, die Tür aufzubrechen, sondern warten geduldig, bis Sie sie für sie öffnen – mithilfe von Blindsignaturen.
– Wir von Ledger haben es uns zur Aufgabe gemacht, jede Ihrer Transaktionen maximal sicher und transparent zu gestalten. Das bedeutet, dass Sie bei jeder Signierung Ihre Smart-Contract-Daten lesen können. Unser neuestes Upgrade erreicht dies, indem es für jede integrierte DApp eine eindeutige Signierung bietet.
Obwohl Blindsignaturen bei DApps, die noch nicht Teil von Ledger Live sind, immer noch erforderlich sind, lassen sie sich mit den folgenden Schritten sicher durchführen.

Wenn Sie bereits von Blindsignaturen gehört, aber bislang noch nicht richtig verstanden haben, was das bedeutet, brauchen Sie nicht mehr weiterzusuchen. Hier erklären wir das Konzept.

Wenn Sie das hier lesen, dann wissen Sie bereits, dass Kryptowährungen ein heißes Eisen sind. Ganz gleich, ob es sich um Coins, Token oder NFTs handelt, wir alle haben ein berechtigtes Interesse daran, unser Vermögen sicher zu verwahren. „Aber klar doch!“, wenden Sie ein. „Ich gebe meine privaten Schlüssel niemals weiter und bin ja auch der einzige Mensch, der meine Wiederherstellungsphrase kennt!“ Das mag stimmen, aber das ist längst nicht alles.

– Nach dem unglaublichen Aufstieg von DeFi und DApps in der Kryptosphäre interagieren die Nutzer auf immer komplexere Weise mit Smart Contracts. Hinzu kommt: Betrüger sind immer auf der Suche nach neuen Sicherheitslücken im Transaktionsprozess. So ist eine neue Welle von Betrugsmethoden entstanden, die darauf abzielen, Sie um Ihr sauer verdientes Kryptovermögen zu bringen. Hinzu kommt: sind sie häufig schwer zu erkennen – und zwar selbst für Kryptoprofis!

Blindsignaturen gehören zu den weniger bekannten Tricks, die von Betrügern eingesetzt werden, um Ihr Vermögen zu stehlen. Hier erklären wir, was eine Blindsignatur ist, wie die einschlägigen Betrugsversuche funktionieren – und wie Sie sie vermeiden.

Was sind Blindsignaturen?

Bevor wir konkretisieren, wie dieses Konzept in der digitalen Welt funktioniert, sollten wir zunächst einmal das Vorbild aus der realen Welt beschreiben. Verträge regeln Beziehungen. Egal ob es sich um einen Arbeitsvertrag handelt, der Sie verpflichtet, 40 Stunden pro Woche zu arbeiten, oder um ein Netflix-Abonnement, das jeden Monat bezahlt werden muss: Wenn Sie einen Vertrag unterschreiben, verpflichten Sie sich, das zu tun, was darin steht. Durch die Unterzeichnung bestätigen Sie, dass Sie die Bedingungen gelesen und verstanden haben und ihnen zustimmen.

Unterzeichnen eines digitalen Vertrags

Smart Contracts – d. h. die Infrastruktur, die DApps, NFTs und vielen Elementen von DeFi zugrunde liegt – sind eine digitale Version normaler Verträge. Angenommen, Sie nehmen bei einem Kreditgeber ein Darlehen auf und müssen jeden Monat einen bestimmten Betrag mit Zinsen zurückzahlen. Dadurch, dass Sie die Vereinbarung mit Ihrem privaten Schlüssel verifizieren, signieren Sie den Smart Contract digital.

Aber wenn Sie den Vertrag nun gar nicht sehen können? Dies bringt uns zurück zu unserer ursprünglichen Frage. 

Smart Contracts, die von heutigen DApps und NFTs verwendet werden, stellen eine Herausforderung für die aktuelle Generation von Krypto-Wallets dar, da ihr Code – der die wichtigsten Vertragsdetails enthält – nicht vollständig extrahiert und in einer Sprache angezeigt werden kann, die der Nutzer versteht. Mit anderen Worten: Die Wallets sind, was die neuesten Möglichkeiten für die Verbraucher betrifft, immer noch im Rückstand.

Und was bedeutet das für mich?

Anhand eines konkreten Beispiels soll gezeigt werden, wie sich dies auf Ihre Transaktionen auswirkt. Zunächst einmal sollten wir klarstellen, dass es sich bei jeder Unterschrift, die Sie über Ihren Computerbildschirm tätigen, technisch gesehen um eine Blindsignatur handelt.

Nehmen wir einmal an, Sie tätigen Transaktionen nur über eine Soft-Wallet. In diesem Fall ist Ihr Bildschirm (Computermonitor oder Handydisplay) mit dem Internet verbunden – und daher anfällig für Hackerangriffe.. Das bedeutet, dass man dem Bildschirm, der die Details der Unterschrift anzeigt, nie hundertprozentig vertrauen kann: Es besteht immer die Möglichkeit, dass er gehackt wurde und etwas Unzutreffendes anzeigt, was dazu führt, dass Sie falsche Angaben signieren. Durch das Bestätigen der Transaktion leisten Sie also eine „Blindsignatur“, d. h., Sie genehmigen die Transaktion auf einer Vertrauensgrundlage.

Sinn und Zweck einer Hardware-Wallet wie der Ledger Nano ist es, dieses Risiko auszuschalten. Da Ihre Wallet ein sicherer, außerhalb der Reichweite von Hackern liegender Offline-Ort ist, zeigt ihr Display immer die korrekten Details einer bestimmten Transaktion an. Daher ist unser „vertrauenswürdiges Display“ von unschätzbarem Wert, denn hierdurch ist gewährleistet, dass Sie genau wissen, worauf Sie sich einlassen.

Zwar zeigt Ihre Nano immer die korrekten Transaktionsdetails an, aber dies ist nur möglich wenn diese Details auch verfügbar sind. Leider ist das nicht immer der Fall.

Nehmen wir an, Sie haben geeignete Sicherheitsmaßnahmen ergriffen und führen einen Umtausch mit einer Kombination aus Ihrem Ledger-Gerät und der Soft-Wallet durch, die Sie mit der DApp verbindet – so weit, so gut. 

Wie wir aber bereits gesehen haben, sind die meisten Software-Wallets, d. h. die Middleware zwischen Ihrem Gerät und der DApp, nicht in der Lage, die Smart-Contract-Elemente der Transaktion zu lesen und vollständig zu extrahieren.. Das wiederum bedeutet, dass selbst dann, wenn Sie Ihr Ledger-Gerät für Verifizierung und Abschluss Ihrer Transaktion verwenden, das Gerät nicht in der Lage ist, Ihnen alle Einzelheiten anzuzeigen,  denn die Middleware verfügt nicht über die weiterzureichenden Informationen.

Stattdessen zeigt das Gerät lediglich „Data Present“ (Daten vorhanden) an, sodass Sie wichtige Details wie Aktion, Preis, Empfangsadresse usw. vor der Bestätigung nicht zu sehen bekommen. Das sieht wie folgt aus:

Da keine Einzelheiten über den Vertragsinhalt bekannt sind, besteht die einzige Möglichkeit darin, Ihre Transaktion noch einmal auf einer Vertrauensgrundlage zu prüfen. Daher spricht man von Blindsignaturen.

So gesehen scheinen Blindsignaturen ziemlich riskant zu sein, und doch werden sie von den meisten von uns genutzt. Denn Hand aufs Herz: Wann haben Sie das letzte Mal die Nutzungsvereinbarung für einen neuen Service gelesen, bei dem Sie sich angemeldet haben? Tatsache ist: Wir treffen viele Entscheidungen unter Berücksichtigung des Rufs, den der jeweilige Geschäftspartner genießt.

Blindsignaturen – ein Einfallstor für neue Betrugsmethoden

Mit dem Einzug von Kryptowährungen in den Mainstream gewinnen immer mehr Menschen Kompetenzen in Sachen Vermögensschutz, und daher gibt es auch weniger Möglichkeiten für Betrüger, sich Zugang zu Ihrem Vermögen zu verschaffen. Daher versuchen sie heute nicht mehr, die Tür aufzubrechen, sondern warten geduldig, bis Sie sie für sie öffnen.

Ein Paradebeispiel dafür sind NFT-Drops auf weniger bekannten Websites. Die gegenwärtige NFT-Obsession hat eine enorme Nachfrage nach diesen digitalen Vermögenswerten ausgelöst, und die Drops sind darauf ausgelegt, aus dieser Begeisterung buchstäblich Kapital zu schlagen. Bevor Sie jedoch eine NFT-Transaktion blind signieren, sollten Sie sich Gedanken machen: Wenn es sich nicht um eine bekannte Marke handelt, können Sie dann sicher sein, dass die Transaktion, die Sie bestätigen, auch wirklich die ist, für die Sie sie halten?

Private Nachrichten sind eine weitere Brutstätte für diesen Angriffstyp. Kürzlich kam es zu einem Vorfall, bei dem sich Betrüger auf Discord als technische Administratoren von OpenSea ausgaben. Ein erfahrener Sammler, der technische Hilfe suchte, begann ein Gespräch über sein Konto in dem Glauben, er spreche mit einem Serviceberater. Im Laufe des Gesprächs bat der Berater ihn, einen Transaktionsaufruf – ohne Anzeige der Vertragsdetails – mit seiner Ledger Nano zu genehmigen. In Wirklichkeit vermittelte die Transaktion, die der Sammler bestätigte, Zugriff auf seinen Tresor, und der Berater war in Wirklichkeit ein Betrüger – das gesamte Szenario war ein abgekartetes Spiel.

Dies ist ein perfektes Beispiel dafür, wie selbst erfahrene Kryptonutzer Fehler machen, wenn die Umstände nur überzeugend genug sind.

Vertrauen ist gut, Kontrolle ist besser.

Bei solchen Betrugsmethoden geht es ausschließlich um Social Engineering: Die Betrüger sind darauf spezialisiert, ein Umfeld zu schaffen, in dem man ihnen so sehr vertraut, dass man unvorsichtig wird. In diesem Fall vertraute das Opfer einer Transaktion mit Blindsignatur, weil es annahm, es kommuniziere mit einem seriösen Helpdesk.

Diese Betrugsform kommt immer häufiger vor, weil die schiere Geschwindigkeit der Entwicklung Blindsignaturen quasi zu einer Branchennorm gemacht hat. Nun wird es Zeit, dass die Tools wieder Boden gutmachen.

Kann ich DApps jemals sorgenfrei nutzen?

Wir von Ledger haben es uns zur Aufgabe gemacht, jede Ihrer Transaktionen maximal sicher und transparent zu machen. Das bedeutet, dass Sie bei jeder Signierung Ihre Smart-Contract-Daten lesen können. Unser neuestes Upgrade erreicht dies, indem es für jede integrierte DApp eine eindeutige Signierung bietet. Hierdurch wird die Schwachstelle beseitigt, mit der Nutzer bislang konfrontiert waren, und es wird ein Benutzererlebnis implementiert, das maximale Sicherheit und Bequemlichkeit bietet.

Unser Upgrade sieht zwei große Verbesserungen vor, die dies möglich machen. Ihre Nano kann jetzt nicht nur Smart-Contract-Informationen für eine Reihe von DApps lesen und anzeigen, sondern die kürzlich erfolgte Einführung unseres App-Katalogs in Ledger Live ermöglicht Ihnen den Zugriff auf eine Reihe von DeFi-Apps und DApps direkt auf Ihrem hochsicheren Ledger-Gerät. Dies erlaubt die Nutzung des Ledger-Ökosystems als sicheres Einfallstor zu Ihren bevorzugten DApps und Services.

Sorgen wir dafür, dass Blindsignaturen der Vergangenheit angehören.

Ein Blick auf eine ParaSwap-Transaktion zeigt, was das für Sie bedeutet:

Wie im obigen Beispiel zu sehen ist, ist die hochsichere und vertrauenswürdige Nano nun in der Lage, statt der einfachen Anzeige „Data Present“ (Daten vorhanden) die vollständigen Transaktionsdetails auf dem Display anzuzeigen. Das bedeutet: Sie müssen nicht mehr vertrauen, sondern können guten Gewissens verifizieren.

Mit den ständig neuen Integrationen ist der App-Katalog von Ledger führend in der Branche für DApps-Sicherheit.

Was mache ich denn, wenn die von mir benötigte DApp nicht integriert ist?

Da Ledger Live eine offene Open-Source-Plattform ist, können Sie – unabhängig vom Projekt – Ihr eigenes Plugin schreiben, um es mit Ledger Live kompatibel zu machen und Ihren Nutzern die Freigabesignatur zu ermöglichen. Warum also warten?

Natürlich verstehen wir, dass, auch wenn unsere Integrationen immer stärker erweitert werden, für einige Transaktionen immer noch eine zwischengeschaltete Wallet benötigt wird. Wenn Sie Transaktionen mithilfe von Middleware verifizieren, werden Sie möglicherweise trotzdem zu einer Blindsignatur aufgefordert. Aber auch in diesem Fall können Sie immer noch eine Reihe von Maßnahmen ergreifen, um das Betrugsrisiko zu senken.

  • Verwenden Sie keine DApps, von denen Sie noch nie gehört haben, und überprüfen Sie immer die Authentizität.
  • Seien Sie skeptisch bei Direktnachrichten in den sozialen Medien: Wenn jemand, den Sie nicht kennen, Sie aktiv anspricht, sollten Sie die Gründe dafür prüfen. Vergessen Sie nicht, dass das jeder sein könnte (klicken/verlinken Sie nicht auf Links).
  • Unabhängig von der Art der durchgeführten Transaktion ist Ledger Nano stets ein wertvolles Tool, um Ihre privaten Schlüssel jederzeit offline zu halten. Die Verwendung dieser Funktion implementiert eine zusätzliche Sicherheitsebene für Ihre gesamten Interaktionen.
  • Und bevor wir es vergessen: Geben Sie niemals Ihre Wiederherstellungsphrase an Dritte weiter, speichern Sie sie niemals auf einem Gerät, das mit dem Internet verbunden ist, und geben Sie sie keinesfalls auf einer Software-Wallet ein. Ihre Ledger-Wiederherstellungsphrase ist einzig und allein dafür gedacht, in Ihr Ledger-Gerät eingegeben zu werden. Man kann es einfach nicht oft genug sagen.

Sie haben die Verantwortung

Blindsignaturen haben zwei Aspekte: Es ist eine Lücke in der Technologie, die zudem zu menschlichen Fehlern einlädt. Daher ist Ihr Urteilsvermögen wichtiger denn je.

Ganz egal, wie fortschrittlich Ihre Wallet ist: Sie selbst sind die letzte Verteidigungslinie für Ihr Kryptovermögen. Dank der Möglichkeit, wirklich jeden Teil der Transaktion überprüfen zu können, sind Sie nun in der Lage, mit dem immer weiter wachsenden App-Katalog von Ledger die unglaublichen neuen Möglichkeiten zu nutzen, die durch Kryptowährungen ermöglicht werden, ohne sich dem Zufall auszuliefern.

Wenn Sie Kryptobetrug verstehen und wissen wollen, wie Sie ihm aus dem Weg gehen, sehen Sie sich unsere School of Block-Folge „In the Head of a Scammer“ an.



Bleibe in Kontakt

Ankündigungen sind in unserem Blog zu finden. Pressekontakt:
[email protected]

Abonniere unseren
Newsletter

Infos zu neu unterstützten Coins, exklusive Angebote und Blog-Updates, direkt in deinen Posteingang


Deine E-Mail-Adresse wird ausschließlich für die Zusendung unseres Newsletters sowie für Updates und Angebote verwendet. Du kannst dich jederzeit über den in den Newslettern enthaltenen Link abmelden.

Erfahre mehr darüber, wie wir deine Daten verwalten und welche Rechte du hast.