Web Wallet Phishing: Funktioniert das Web3 falsch?

Web Wallet Phishing ist ein wachsendes Problem. Wer sich viel im Web3 rumtreibt, der kennt die Sorge: Ständig dient die Anwendung dazu, Nachrichten zu signieren. Oft erhält man so Zugriff auf dApps, doch weil die Botschaften für Nutzer unverständlich sind, können sie ebenso leicht dem Betrug dienen. MetaMask etablierte neue Funktionen, um Kunden zu schützen. Einem Entwickler gefällt das so gar nicht. Er klagt das Vorgehen an und bringt die Frage auf: Funktioniert das Web3 falsch?

Web Wallet Phishing

Eigentlich soll die Web Wallet das Tor zum Web3 sein. Nutzer sollen endlich mehr Freiheit erlangen, als sie das im Web2 können. Anwendungen wie MetaMask sind dafür zwingend notwendig. Mehr als 10,5 Millionen Nutzer verwenden bereits ein entsprechendes Plugin. Für sie wird das Instrument der Freiheit immer öfter zu einer Gefahr.

Web Wallet Phishing lässt sich vergleichsweise einfach umsetzen. Eine Web Wallet ist in der Lage, direkt mit einer Webseite zu interagieren. Nutzer müssen eine Nachricht signieren, um einen Datentransfer zuzulassen. Welchen Inhalten sie dabei wirklich zustimmen, ist für Laien allerdings gar nicht zu erkennen.

Viele Nutzer klicken optimistisch auf “signieren”. Schliesslich wollen sie auf die Inhalte zugreifen, für die sie die Seite überhaupt erst öffneten. Vertrauen sie dabei der falschen Webseite, kann es an dieser Stelle schon zu spät sein – die Kontrolle über die in der Wallet verwalteten Kryptowährungen geht an einen bösartigen Akteur über.

Diese Phishing-Methode ist beliebt. Sogar Nordkoreas berüchtigte Lazarus Gruppe setzt darauf, wertvolle NFTs auf diese Weise zu stehlen.

Wie MetaMask Nutzer vor Phishing schützt

Unter den Entwicklern des Ethereum-Ökosystems ist dieser Kritikpunkt nichts Neues. Sogar ETH-Initiator Vitalik Buterin warnte im November 2020 vor Sicherheitslücken und sprach damit explizit auf den Verifizierungsvorgang an, den Web Wallets und dApps untereinander vornehmen.

Buterin glaubt, dass die technikaffine Branche Schwachpunkte der Sicherheit meist aus eigener Arroganz heraus missachtet.

Meiner Meinung nach sprechen wir nicht genug über Sicherheitsfragen, weil niemand bereit ist, zuzugeben, dass er 200.000 US-Dollar verloren hat. Wer das zugibt, steht wie ein Idiot da.

Sagte er damals auf der Latin American Bitcoin & Blockchain Konferenz. Inzwischen etablierten Anbieter wie MetaMask Lösungen wie die MetaMask Phishing Detection oder den Ethereum Phishing Detector.

MetaMask und Co. überprüfen, ob die angefragte Signatur bösartige Elemente enthält oder ob die entsprechende Domain als bösartig verzeichnet ist und warnen infolgedessen den betroffenen Nutzer mit einer unmissverständlichen Botschaft.

The proposed solution is to plaster giant warnings everywhere and relentlessly instil fear about the dangers of this wonderful technology, instead of introspect honestly about why we are even asking users to do what we ask of them in the first place. 3/ pic.twitter.com/BCa2iG6erH

— 🦇🔊🐼 cawfree.⟠ ᵍᵐ (@cawfree) January 25, 2023

Die Funktionsweise des Web3 ist falsch

Die Funktionsweise des Web3 ist falsch – zu dieser Erkenntnis kommt der britische Programmierer Cawfree. Er hält die Vorgehensweise, Nutzern mit roten Bannern Furcht zu machen, für widersinnig.

Cawfree glaubt: dApps müssten ganz anders entwickelt werden. Doch weil die verantwortlichen Programmierer ihre Produkte nur ungewissenhaft entwickeln, müssen Web Wallets immer mehr Last tragen.

Konkret wünscht er sich eine klassische Herangehensweise. Möchten Nutzer Geld an eine bestimmte dApp verschieben, so erfolgt das über eine klassische Transaktion. Die Gefahr, dass ein bösartiger Akteur unbefugten Zugriff auf Anlagen erhält, entfällt dabei, da eine digitale Signatur nicht mehr nötig ist.

Besonders problematisch: Derzeit ist es üblich, jede dApp gleich zu behandeln. Unbeachtet bleibt, ob sich die neueste Anwendung bereits als vertrauenswürdig erweisen konnte.

Die Verwendung von erprobten DEXs und des neuesten Token-Drops von irgendwelchen anonymen Nutzern sollte nicht dasselbe sein.

Erklärt Cawfree. Und er hat noch eine Idee. Um zu vermeiden, dass jede genutzte dApp spezifisch in eigenen Nutzeroberflächen verwaltet werden muss, könnten Web Wallets als eine Art Verwaltungszentrum dienen. Beinahe wie bisher. Nur mit einem wesentlichen Unterschied: Jede dApp erhält nur den Zugriff auf ihren spezifischen Private Key.

Katastrophale Gesamtverluste aller innerhalb der Wallet befindlichen Kryptos wären damit passé. Cawfree glaubt: Der Idee der Dezentralisierung wäre diese Entwicklung ebenso förderlich.

Für kritikwürdig hält der Programmierer auch die Rolle von RPC-Diensten wie Infura. Im November gerieten MetaMask und Infura aufgrund neuer Nutzungsbedingungen in die Kritik. Seitdem bemühte sich Entwickler ConsenSys um Aufklärung und lenkte ein.