Post navigation

Softwareentwickler

Trotz aller Volatilität, Wankelmütigkeit und Doppeldeutigkeit rund um Blockchain zeigt diese Technologie weiterhin einen unaufhaltsamen Aufstieg.

Laut Statista soll die dezentralisierte Technologie bis 2032 auf rund 1 Billion US-Dollar wachsen. Die Zahlen umfassen keine dezentralisierten Anwendungen wie Blockchain-Gaming, die, wenn berücksichtigt, die endgültige Summe noch weiter erhöhen würden.

Zweifellos bietet Blockchain eine vielversprechende Zukunft, zieht aber auch viele Saboteure an, die versuchen, Lücken im dezentralisierten Ökosystem auszunutzen.

In letzter Zeit gibt es immer mehr Beschwerden über Betrugsfälle, die sich gegen Blockchain-Entwickler richten – betrügerische Jobangebote und Testaufgaben, die dazu dienen, Codebasen zu infiltrieren.

Dieser Web3-Betrug bleibt oft unbemerkt, bis es zu spät ist, da Angreifer schädlichen Code einschleusen, der darauf abzielt, private Schlüssel, Wallets und Projektdetails zu stehlen.

In diesem Artikel untersuchen wir die aufkommende Bedrohung, analysieren, wie man solche Episoden erkennt, und lernen, wie man sich vor solchen Plänen schützen kann.

Warum sind Krypto- und Blockchain-Entwickler ein Hauptziel für Betrüger?

Das ist einfach – Krypto- und Blockchain-Entwickler haben oft Zugriff auf eine Vielzahl sensibler Daten. Schon ein kompromittierter Schlüssel kann massive Verluste verursachen, und eine Wiederherstellung ist kaum möglich.

Betrüger nutzen die Angewohnheit von Entwicklern aus, Code aus verschiedenen Quellen herunterzuladen, indem sie Malware in vermeintlich legitime Repositories einfügen.

Im Blockchain-Bereich, wo Startups und Projekte mit bemerkenswerter Häufigkeit entstehen, ist es für Angreifer einfacher, sich als ehrliche Unternehmen auszugeben, die attraktive Möglichkeiten bieten, die zu gut erscheinen, um sie abzulehnen.

Wie Hacker Blockchain-Softwareentwickler angreifen: Allgemeiner Überblick

Der Grund, warum Hacker oft Blockchain-Entwickler ins Visier nehmen, ist offensichtlich. Hier ist es jedoch wichtiger zu verstehen, wie sie das tun.

Blockchain-Softwareentwickler

Solche Betrüger nehmen oft direkt über soziale Medien wie LinkedIn oder Jobportale wie Upwork Kontakt zu Entwicklern auf und geben sich als Arbeitgeber oder Kunden aus. Sie präsentieren vermeintliche Testaufgaben und bitten Softwareentwickler, neuen Code in Projekte zu integrieren.

Hier taucht die größte Warnung auf: Der von ihnen bereitgestellte Code enthält Hintertüren oder Funktionen, die darauf ausgelegt sind, Gelder aus Wallets abzuziehen, Entwicklungsschlüssel zu stehlen oder das gesamte Projekt zu gefährden.

Der beliebteste Weg, das Misstrauen eines Entwicklers zu überwinden, ist Social Engineering – die Überzeugung, dass die Erledigung einer Aufgabe ein Schritt in Richtung einer festen Stelle oder einer lukrativen freiberuflichen Gelegenheit ist. Ihre Absicht ist jedoch lediglich, die Entwickler dazu zu bringen, ihren bösartigen Code in einer lokalen Umgebung auszuführen.

Angreifer verlassen sich auf die mentale Überzeugung, die Entwickler diesen „Jobangeboten“ entgegenbringen, die aus glaubwürdigen Quellen zu stammen scheinen.

Der Köder, die Leine, das Senkblei: Anatomie eines Blockchain-Betrugs

Wie jeder andere unehrliche Trick, der darauf abzielt, einem ahnungslosen Opfer Geld zu entlocken, besteht ein Blockchain-Angriff aus mehreren Teilen: dem Köder, der Leine und dem Senkblei.

Der Köder

Stellen Sie sich vor: Sie sind ein Blockchain-Entwickler und durchsuchen aufgeregt neue Jobmöglichkeiten. Ein HR-Manager oder CEO meldet sich und lädt Sie ein, sich für eine verlockende Position zu bewerben.

Alles sieht auf den ersten Blick tadellos aus – ein vertrauenswürdiges Team, eine glaubwürdige Kommunikationsquelle und aktive Social-Media-Seiten. Es sieht so gut aus, dass es lächerlich wäre, das Angebot abzulehnen.

Aber Vorsicht! Betrüger geben sich oft große Mühe, legitim zu wirken, indem sie überzeugende Hintergrundgeschichten, Profile und sogar Websites erstellen. Sie locken Sie mit verführerischen Rollen und bitten dann um eine „Testaufgabe“, um Malware in Ihr System einzuschleusen.

Die folgenden Punkte könnten Indikatoren für möglichen Betrug sein:

  • Extrem lukrative Stellenangebote
  • Unverifizierte Kunden
  • Jobangebote, selbst wenn Blockchain nicht Ihr Fachgebiet ist
  • Der Kunde möchte keinen Vorgesprächsanruf führen, und falls doch – er verweigert den Einsatz einer Webcam
  • Viele logische Inkonsistenzen im gesamten Einstellungsprozess

Sobald Sie diesen Betrug erkennen, können Sie ihn in Zukunft mühelos erkennen, da alle diese Systeme demselben Muster folgen. Bleiben Sie vorsichtig und fallen Sie nicht auf Versprechen herein, die zu gut erscheinen, um wahr zu sein.

Die Leine

Wenn Sie den Köder geschluckt haben, wechseln die Betrüger zur zweiten Phase: der „Leine“. Hier ziehen sie Sie tiefer hinein, indem sie überzeugende Kommunikation, gefälschte Verträge und dringende Anfragen nutzen.

Die Geschichte verläuft in der Regel auf eine von zwei Arten: Entweder ist ihr vorheriger Entwickler auf mysteriöse Weise verschwunden, oder sie benötigen Ihre Vorbereitung, indem Sie etwas Code prüfen und einfache Funktionen vor einem Vorstellungsgespräch hinzufügen.

Der Haken? Sie müssen ihre Codebasis herunterladen, die mit Malware verseucht ist. Sie drängen Sie mit Dringlichkeit – nur eine schnelle Reparatur, nichts Kompliziertes. Und all das soll dazu führen, dass Sie einen Fehler machen, während sie direkte Anrufe oder tiefere Interaktionen vermeiden.

Das Senkblei

Das „Senkblei“ ist der Moment, in dem die Falle zuschnappt. Wenn Sie die Codebasis herunterladen und ausführen, aktivieren Sie unwissentlich einen versteckten Remote Access Trojan (RAT).

Diese ausgeklügelte Malware dringt in Ihr System ein und durchsucht unauffällig sensible Daten wie Browserprofile, gespeicherte Passwörter, Seed-Phrasen oder Anmeldeinformationen. Schlimmer noch, sie ist plattformunabhängig – sie nutzt Tools wie npm, um Zugriff zu erlangen.

Während Sie versuchen, den Code zu inspizieren, arbeitet die Malware lautlos im Hintergrund, zeichnet Tastenanschläge und Zwischenablagen auf, greift auf Dateien zu und zielt auf Ihre Krypto-Vermögenswerte ab. Das Endspiel? Leere Wallets und kompromittierte Konten.

Wie schädlicher Code Blockchain-Entwickler ins Visier nimmt: Die technische Seite des Web3-Betrugs

Auf den ersten Blick kann bösartiger Code, der in Testaufgaben eingebettet ist, harmlos erscheinen. Hacker verwenden Verschleierungstechniken, um schädliche Elemente in scheinbar harmlosen Code zu verstecken.

Web3-Betrugs

Sie können Hintertüren oder Trojaner in Funktionen verstecken, die normal aussehen, aber heimlich Daten exfiltrieren, wenn der Code ausgeführt wird.

Beispiel: Die Sentry-Bibliothek, die nicht aus dem npm-Repository, sondern lokal aus der Datei importiert wird. Ein weiteres Beispiel sind viele bösartige, veraltete Abhängigkeiten. Der Code ist unzusammenhängend und verwirrend.

Das eigentliche Problem liegt darin, dass dieser Code in einer Testumgebung wie erwartet funktionieren kann, was es Softwareentwicklern erschwert, anfangs ungewöhnliches Verhalten zu bemerken.

Die Angreifer verlassen sich darauf, dass Entwickler entschlossen sind, die Aufgabe zu erfüllen, anstatt jede Codezeile zu inspizieren. Zu dem Zeitpunkt, an dem die bösartigen Aktionen – wie der Diebstahl privater Schlüssel, Daten oder Wallet-Zugangsdaten – erfolgen, ist es zu spät.

Die finanziellen Risiken von Blockchain-Betrug für Entwickler und Unternehmen

Derartige Betrügereien können schwerwiegende finanzielle und betriebliche Folgen haben. Entwickler, die unwissentlich kontaminierten Code ausführen, können Wallet-Zugangsdaten, geistiges Eigentum und andere persönliche Daten preisgeben.

Für Unternehmen kann der Schaden jedoch noch gravierender sein: Verlust des Vertrauens der Kunden, rechtliche Konsequenzen und im schlimmsten Fall der Verlust von Geldern oder sogar des gesamten Projekts.

Die Nachwirkungen umfassen oft kostspielige Wiederherstellungsmaßnahmen, einschließlich des Wiederaufbaus der kompromittierten Codebasis und der Benachrichtigung der Kunden über den Verstoß. Der Reputationsschaden kann sich langfristig auf die Fähigkeit eines Blockchain-Unternehmens auswirken, neue Kunden oder Investoren zu gewinnen.

Reale Betrugsfälle im Blockchain-Bereich

Die DEV#POPPER-Kampagne ist eines der bekanntesten Beispiele, bei denen Angreifer, die sich als Recruiter für legitime Krypto-Projekte ausgaben, Entwickler aufforderten, Testaufgaben durchzuführen, die tatsächlich bösartigen Code enthielten, um private Schlüssel und Wallet-Daten zu stehlen.

Dieser Fall wurde wahrscheinlich von nordkoreanischen Cybergruppen durchgeführt, die Social Engineering einsetzten, um Blockchain-Nutzer zu treffen.

Ein weiteres Beispiel waren die gefälschten Stellenangebote für die Plexus-Blockchain. Betrüger gaben sich als bekannte Kryptounternehmen aus (mithilfe von schädlichen, ähnlichen Domainnamen) und schickten Entwicklern Aufgaben mit eingebetteter Malware. Nachdem einige dieser Aufgaben abgeschlossen waren, stellten Entwickler fest, dass ihre Wallets geleert worden waren.

Andere Taktiken beinhalteten Köder in GitHub-/Bitbucket-Repositories, bei denen Betrüger Entwickler einluden, ein Projekt zu klonen und daran mitzuarbeiten. Allerdings versteckte das Projekt Spionagesoftware im Repository.

Die Software zielte auf Passwort-Manager und Krypto-Wallets ab und stahl Anmeldedaten und Seed-Phrasen. Mehrere Entwickler teilten unbeabsichtigt ihre privaten Informationen, indem sie einfach mit dem Projekt interagierten.

Wie wir uns vor solchen Bedrohungen schützen

Bei SCAND erkennen wir die Bedrohung und haben unser Möglichstes getan, um alle möglichen Maßnahmen zu integrieren, um bösartige Angriffe zu erkennen und abzuwehren:

  • KYC-Prozess für potenzielle Kunden: Wir überprüfen potenzielle Kunden durch einen gründlichen KYC-Prozess, der Videoanrufe, die Überprüfung von Kommunikationskanälen, die Identitätsprüfung und Checklisten für Warnsignale umfasst.
  • Detaillierte Code-Inspektionen: Jede Kunden-Codebasis wird von unseren erfahrenen Entwicklern untersucht, um Anomalien oder versteckte schädliche Elemente zu erkennen.
  • Isolation schädlicher Codes: Wir führen bereitgestellten Code (nach Inspektionen) nur in isolierten Umgebungen aus, sodass kein Schaden angerichtet werden kann.
  • Erweiterte Sicherheitstools: Wir verwenden komplexe Tools, um Codebasen auf Schwachstellen, verschleierte Malware oder Hintertüren zu überprüfen. Diese Tools liefern sofortige Signale und verhindern, dass Bedrohungen unbemerkt voranschreiten.
  • Teamaufklärung und Schulung: Unser Team nimmt regelmäßig an Sicherheitsworkshops teil, die alle über die neuesten Betrugsmaschen und Hacking-Techniken auf dem Laufenden halten. Sie helfen unserem Team, Warnsignale wie verdächtige Testaufgaben oder übertriebene Jobangebote zu erkennen und weiteren Kontakt zu vermeiden. Außerdem halten wir uns an die ISO27001-zertifizierten Sicherheitspraktiken, um Daten sicher zu schützen.
  • Kontrollierter Zugang und Segmentierung: Wir schützen sensible Systeme und Daten streng und gewähren keinem Teammitglied Zugang zur Produktionsumgebung. Entwickler haben nur Zugriff auf Entwicklungs- und Staging-Systeme, ohne Zugang zu Wallets mit echten Kundengeldern. Eine geschichtete Sicherheitsarchitektur hilft, sensible Zugangsdaten und Schlüssel zu isolieren. Wir verwenden Sicherheitsgruppen, KMS und starke Verschlüsselung im Ruhezustand und während der Übertragung, automatisierte CI/CD-Prozesse, Sicherheitsüberwachungstools sowie regelmäßige Abhängigkeits- und Codescans.
  • Penetrationstests und Simulationen: Wir führen regelmäßig simulierte Angriffe durch, um unsere Abwehrmechanismen zu testen und Schwachstellen zu identifizieren, bevor Angreifer diese ausnutzen können. Dieser vorausschauende Ansatz ermöglicht es uns, potenziellen Gefahren einen Schritt voraus zu sein und unsere Systeme zu schützen.
  • Zusammenarbeit und Berichterstattung: Indem wir Betrugsmuster mit der breiteren Entwicklergemeinschaft teilen, möchten wir nicht nur uns selbst, sondern alle schützen. Darüber hinaus melden wir jede verdächtige Aktivität an Plattformen oder Behörden, um das Ökosystem für alle sicherer zu machen.

Best Practices für Blockchain-Entwickler und Unternehmen

Um Blockchain-Betrug zu vermeiden, ist es wichtig, einige Regeln zu befolgen. Überprüfen Sie zunächst immer Jobangebote, indem Sie Ihre Nachforschungen anstellen – recherchieren Sie den Kunden und prüfen Sie seine Verbindungen. Wenn Sie Zweifel haben, fragen Sie ChatGPT, um das Unternehmen zu analysieren.

Wenn es um Code geht, nehmen Sie nichts als selbstverständlich hin. Führen Sie gründliche Untersuchungen durch und überprüfen Sie durch mehrere Ebenen der Verifizierung, um verdächtige Indikatoren zu erkennen.

Begrenzen Sie außerdem den Zugang zu vertraulichen Aufzeichnungen – nur technische Systemkonten sollten Zugriff auf die Schlüssel zu kritischen Komponenten haben.

Und natürlich: Informieren Sie Ihr Team. Häufige Schulungen zu aktuellen Trends in der Sicherheit können den Unterschied ausmachen, um Betrügereien zu erkennen und abzuwehren.

Für den Schutz sollten Sie immer potenzielle Partner gründlich prüfen und nur mit verifizierten Partnern arbeiten. Klar definierte Projektleitlinien und sichere Kommunikation tragen wesentlich dazu bei, Ihre Arbeit vor solchen Schurken zu schützen.

Abschließender Gedanke: Wie Sie Blockchain-Bedrohungen einen Schritt voraus bleiben

Während sich die Blockchain-Technologie weiterentwickelt, entwickeln sich auch die Methoden der Cyberkriminellen.

Sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, müssen sich der Risiken bewusst sein und Vorsichtsmaßnahmen treffen, um 100 % Sicherheit in ihren Projekten zu gewährleisten.

Im Großen und Ganzen bedeutet dies, Anzeichen von böswilligen Absichten erkennen zu können, gründliche Codeinspektionen durchzuführen und branchenübliche Praktiken zu befolgen, die das Risiko minimieren, Opfer von Angriffen zu werden.

Seien Sie wachsam, wenn Sie sich neue Blockchain-Möglichkeiten ansehen, und bleiben Sie auf der Hut!

Web3 dev

Unser Team wird sich schnell mit Ihnen in Verbindung setzen, um Ihre Vermögenswerte vor Cyberbedrohungen zu schützen. Für Beratungen oder weitere Details darüber, was wir für Sie tun können, zögern Sie bitte nicht, uns zu kontaktieren!

Author Bio

linkedin
Author photo

Viola Baranowska

Projektleiter

Viola ist SCANDs Projektleiterin und eine führende Spezialistin für Business-Entwicklung. Sie hat eine bewährte Erfahrung in der Zusammenarbeit mit großen Kunden im Bereich Blockchain und Krypto. Sie gewährleistet eine hohe Produktivität und eine positive Beziehung zwischen dem Kunden und unserem Team.

Kontakt Uns