Auch die offiziellen Websites können bösartige Autorisierungen auslösen: Das 3-Millionen-US-Dollar-Ereignis hat mir GRVT SecureKey neu erklärt
Am 25. Juni bestätigte Polymarket offiziell, dass ein Drittlieferant für Frontends gehackt wurde. Dadurch wurde ein bösartiges Skript in das echte Frontend injiziert, das von einem Teil der Nutzer aufgerufen wurde. PeckShield zitiert On-Chain-Recherchen: Etwa 3 Millionen US-Dollar in PUSD wurden abgezogen, anschließend über einen Cross-Chain-Transfer von Polygon zu Ethereum gebracht und gegen etwa 1.893 ETH getauscht. Polymarket erklärte, dass die betroffenen Abhängigkeiten entfernt wurden, die betreffenden Nutzer kontaktiert und eine vollständige Entschädigung geleistet wurde.
Das Ungewöhnlichste daran ist, dass es an den falschen Stellen „stimmt“: Die Domain ist korrekt, HTTPS funktioniert, das Konto lässt sich auch anmelden – allein damit lässt sich jedoch nicht beweisen, dass die Inhalte, die man als Nächstes signieren soll, wirklich deiner Absicht entsprechen.
Genau das ist der Grund, warum ich das Design von
@grvt_io SecureKey erneut überdacht habe. Laut GRVT-Hilfe-Center sind die Kontoberechtigungen in zwei Ebenen aufgeteilt: E-Mail, Passwort oder Google-/Microsoft-OAuth gehören zu Web2-Zugangsdaten. Damit kann man Assets einsehen, Positionen betrachten und an nicht-transaktionalen Funktionen teilnehmen; bei allen Aktionen, die die Zuordnung von Assets verändern können, ist eine Web3-SecureKey-Signatur erforderlich.
SecureKey ist im Kern ein Ethereum Public-/Private-Key-Paar. Nutzer können eine externe Wallet wählen oder das von Privy unterstützte E-Mail-OTP-Verfahren nutzen.
Die Bedeutung dieser Schichtung ist: Selbst wenn Web2-Login-Zugangsdaten kompromittiert werden, kann ein Angreifer nicht allein mit dem Login-Status die Asset-Änderungen durchführen, für die SecureKey-Autorisierung nötig ist.
Wenn das Gerät mit Malware kontrolliert wird, eine Wallet-Erweiterung ersetzt wird oder Nutzer auf einer echten Website Inhalte genehmigen, die manipuliert wurden, kann selbst eine kryptografisch gültige Signatur eine falsche Absicht ausdrücken. Was Self-Hosting reduziert, ist das Risiko, dass eine Plattform einseitig Assets verwaltet oder verschiebt – aber es beseitigt nicht automatisch Risiken durch Phishing, Abhängigkeiten/Komponenten, Smart Contracts und eigene Handlungen.
Nach diesem Vorfall habe ich meinen Signaturen fünf zusätzliche Prüfungen hinzugefügt:
1. Über Lesezeichen oder offizielle Einstiege gelangen, nicht über Suchanzeigen und Direktnachrichten-Links;
2. Prüfen, ob die Anfrage wirklich Login-Beweis, Bestellung, Token-Autorisierung, Überweisung oder Auszahlung ist;
3. Assets, Menge, Zieladresse, Kontrakt und Autorisierungsumfang abgleichen;
4. Wenn die Seite und die Wallet-Anzeige nicht übereinstimmen oder plötzlich eine unbegrenzte Autorisierung verlangt wird, sofort abbrechen;
5. Bei großen Konten möglichst ein separates Signiergerät nutzen und nicht den täglichen Download-Workflow und wertvolle Schlüssel zusammen mit dem Signiergerät verwenden.
#grvt #SelfCustody #WalletSecurity #Web3Security