Wie Ethereum Smart Contracts für Cyberkriminalität genutzt werden

und seine Smart Contracts bieten eine revolutionäre Plattform für dezentrale Anwendungen und Finanztransaktionen. Doch diese Technologie hat auch die Aufmerksamkeit von Cyberkriminellen erregt, die innovative Methoden entwickelt haben, um Smart Contracts für schädliche Zwecke zu missbrauchen. Im Folgenden werden verschiedene Angriffsszenarien dargestellt, ihre technischen Hintergründe erklärt und mögliche Verteidigungsstrategien diskutiert. Der Artikel basiert auf Berichten bei Socket.dev, die jeweils verlinkt sind.

Angriffsszenarien im Überblick

  1. Supply-Chain-Angriffe durch gefälschte npm-Pakete: Angreifer verwenden typosquatting und schädliche Postinstall-Skripte, um Entwicklerumgebungen zu kompromittieren.
  2. Blockchain-basierte Command-and-Control (C2): Nutzung von Ethereum-Smart-Contracts für die Kommunikation und Steuerung von Botnets.
  3. Malware-basierte Botnets: Erstellung von plattformübergreifenden Botnets mit persistenter und schwer detektierbarer Architektur.

Details der Angriffsszenarien

1. Supply-Chain-Angriffe durch gefälschte npm-Pakete

Angreifer nutzen die Beliebtheit und das Vertrauen in Open-Source-Tools wie npm (Node Package Manager), um gefälschte Pakete mit ähnlichen Namen wie legitime Bibliotheken zu erstellen (z. B. „@nomisfoundation/hardhat-configure“ statt „@nomiclabs/hardhat“). Diese Pakete enthalten schädliche Postinstall-Skripte, die automatisch beim Installieren ausgeführt werden. Diese Skripte:

  • Sammeln sensible Informationen wie private Schlüssel und mnemonische Phrasen.
  • Übertragen verschlüsselte Daten an Angreiferserver.
  • Installieren Backdoors oder Malware, die weiterführende Angriffe ermöglicht.

Technischer Ablauf: Die Postinstall-Skripte nutzen den Hardhat-Runtime-Kontext (HRE) und Funktionen wie hreConfig() und hreInit() zum Zugriff auf kritische Daten, die anschließend über API-Aufrufe exfiltriert werden.

2. Blockchain-basierte Command-and-Control (C2)

Angreifer verwenden Ethereum-Smart-Contracts, um dezentrale und schwer zu deaktivierende C2-Infrastrukturen aufzubauen. Die Architektur basiert darauf, dass Smart Contracts Adressen von Kontrollservern (C2) speichern und bereitstellen. Angeschlossene Bot-Clients rufen diese Adressen ab und erhalten Anweisungen für ihre nächsten Schritte.

Technische Details:

  • Ein (z. B. Adresse: 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b) speichert verschlüsselte URLs zu C2-Servern.
  • Angreifer-Clients interagieren über APIs wie getString() mit dem Smart Contract.
  • Diese Methode verhindert die einfache Blockierung durch konventionelle Netzwerksicherheitsmechanismen, da die selbst unveränderlich und dezentral ist.

3. Malware-basierte Botnets

Angreifer erstellen plattformübergreifende Botnets, die sich über Windows, Linux und macOS ausbreiten. Diese Botnets nutzen JavaScript-basierte Malware, die von Ethereum-Smart-Contracts gesteuert wird. Merkmale dieser Botnets umfassen:

  • Automatisierte Infektion: Verteilung über npm-Pakete mit obfuskiertem Code.
  • Persistenz: Dateien werden an strategische Orte kopiert (z. B. Autostart-Verzeichnisse) und Mechanismen zur Überlebensfähigkeit nach Neustarts implementiert.
  • Stealth-Mechanismen: Nutzung von Obfuskations-Tools wie javascript-obfuscator, um Analysen zu erschweren.

Verteidigungsstrategien

Für Entwickler

Entwickler können Sicherheitsrisiken minimieren, indem sie umfassende Sicherheitsmaßnahmen implementieren. Dazu gehören regelmäßige Audits und Scans der genutzten npm-Pakete sowie deren Abhängigkeiten. Tools wie Socket oder GitHub Dependabot können dabei helfen, potenziell schädliche Komponenten frühzeitig zu erkennen. Zusätzlich sollten Postinstall-Skripte, die automatisch ausgeführt werden, genau überprüft und in sensiblen Umgebungen unterbunden werden. Auch die Sensibilisierung der Entwickler durch Schulungen zu Bedrohungsmodellen und aktuellen Angriffsvektoren spielt eine wichtige Rolle.

Für Ermittler

Ermittler müssen in der Lage sein, verdächtige Smart-Contract-Adressen und Wallets zu identifizieren, um schädliche Operationen nachzuverfolgen. Die Analyse von Blockchain-Transaktionen kann dabei helfen, die Struktur und den Umfang von Angriffen zu verstehen. Auch die Simulation von Angriffen in kontrollierten Sandboxen bietet wertvolle Einblicke in die Infektionsketten. Eine enge Zusammenarbeit mit Plattformen wie npm oder Ethereum ist entscheidend, um schädliche Elemente schnell zu entfernen und weitere Angriffe zu verhindern.

Für Organisationen

Organisationen sollten umfassende Netzwerküberwachungsstrategien implementieren, um Anomalien im Datenverkehr zu erkennen, insbesondere solche, die mit Ethereum-Smart-Contracts kommunizieren. Durch das Whitelisting von Paketen können Unternehmen sicherstellen, dass nur genehmigte Abhängigkeiten in Produktionsumgebungen eingesetzt werden. Notfallpläne zur Reaktion auf Angriffe sind ebenfalls essenziell, um bei einem Sicherheitsvorfall schnell und effektiv handeln zu können.


Ausblick

Die zunehmende Nutzung von Ethereum-Smart-Contracts für Cyberkriminalität zeigt die Notwendigkeit innovativer Abwehrstrategien. Während die Dezentralisierung zahlreiche Vorteile bietet, ist sie zugleich eine Herausforderung für die Cybersicherheit. Durch die Kombination von technischen Maßnahmen, Bildung und Zusammenarbeit können Entwickler, Ermittler und Organisationen dieser entgegenwirken.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.