Ein Mann unterschreibt ein Papier

Was sind Clear Signing und Blind Signing? Funktionsweise und Bedeutung im Überblick

  • Beitrags-Autor:
  • Beitrags-Kategorie:Hacking

Wenn es um Sicherheit im Krypto-Bereich geht, gibt es gleich mehrere Dinge, die man als Anwender beachten muss. Während viele Nutzer bereits eine Vorstellung davon haben, wie man seine IT und insbesondere sein Wallet sichert, gibt es einige Funktionen, die spezifischeres Wissen erfordern.

Mit dem Aufkommen neuer Anwendungsfälle wie DeFi und NFTs haben sich Transaktionen in Umfang und Komplexität verändert. Leider sind die meisten Wallet-Oberflächen nicht in der Lage, den Benutzern transaktionsrelevante Informationen in einer für Menschen lesbaren Form bereitzustellen. Dies führt dazu, dass die meisten Nutzer alltäglich Transaktionen unterzeichnen, ohne vollständig zu verstehen, worin sie einwilligen. Dieser Vorgang nennt sich Blind Signing und stellt eine ernsthafte Schwachstelle dar, die bis heute von Betrügern ausgenutzt wird, um ahnungslosen Anlegern die digitalen Assets mit deren expliziter Zustimmung zu stehlen.

Aus diesem Grund gibt es in der Krypto-Branche die Bestrebung, das Blind Signing abzulösen und dauerhaft gegen Clear Signing zu ersetzen. Wie diese Verfahren funktionieren und mit welchen Wallets man sie nutzen kann, wollen wir uns in dem vorliegenden Artikel näher anschauen.

Was ist Blind Signing und worin bestehen die Gefahren genau?

Blind Signing ist ein Prozess, bei dem eine Person eine Transaktion oder eine digitale Nachricht signiert, ohne die genauen Details dieser Transaktion vollständig einzusehen. Im Kontext der Verwendung von Kryptowährungen bezieht sich dies oft auf das Signieren von Transaktionen mit einem Hardware-Wallet oder einem Browser-Wallet, wobei der Benutzer aufgefordert wird, eine Aktion zu bestätigen, ohne dabei die vollständigen Informationen über die Empfängeradresse, den Betrag oder andere wichtige Details zu erhalten.

Wenn jemand eine Transaktion in einer Wallet-Software durchführt, insbesondere auf Geräten wie Hardware-Wallets, sieht der Benutzer möglicherweise nur eine sehr knappe Aufforderung, wie zum Beispiel „Transaktion signieren“ oder „Bitte signieren, um fortzufahren“. Die tatsächlichen Transaktionsdetails werden entweder aus Sicherheitsgründen ausgeblendet oder aufgrund einer unzureichenden Integration der Software nicht angezeigt. Der Benutzer bestätigt die Transaktion also blind, ohne zu wissen, welche Details damit verbunden sind.

Blind Signing birgt erhebliche Sicherheitsrisiken, da der Benutzer ohne vollständige Einsicht in die Transaktion möglicherweise unbewusst falsche oder bösartige Transaktionen bestätigt. Dabei sind die konkreten Gefahren vielfältig und beschränken sich nicht ausschließlich auf bösartige Smart Contracts.

Bösartige Smart Contracts

Angreifer erstellen scheinbar legitime dApps oder fälschen Internetpräsenzen, die Benutzer dazu verleiten, mit ihnen zu interagieren. Wenn Benutzer versuchen, diese dApps zu verwenden, wird ihnen eine Transaktionsanfrage angezeigt, die normal erscheint, aber in Wirklichkeit einen bösartigen Smart Contract auslöst.

Diese bösartigen Verträge enthalten oft versteckte Funktionen, die für den Benutzer nicht sofort erkennbar sind. Diese Funktionen könnten es dem Angreifer ermöglichen, das Wallet des Benutzers zu leeren, seine Vermögenswerte auf eine andere Adresse zu übertragen oder andere schädliche Aktionen durchzuführen.

Neben der Nachahmung von legitimen Social-Media-Konten und Webseiten kapern kriminelle Hacker auch Konten von Prominenten und Unternehmen.

Man-in-the-Middle-Angriffe

Obwohl diese Variante in der Praxis selten vorkommt, fangen Angreifer die Transaktionsdaten in kompromittierten Netzwerken, wie öffentlichen WLAN-Hotspots, ab und ändern sie. Sie können bösartigen Code in die Transaktion einfügen, der ausgeführt wird, sobald der Benutzer seine Zustimmung gibt.

Krypto-Konferenzen und Messen sowie die Hotels der Teilnehmer sind eher davon bedroht. In der „freien Wildbahn“ wird sich wohl kaum jemand dazwischenschalten und darauf hoffen, den Datenverkehr eines Krypto-Nutzers abfangen zu können.

Was ist Clear Signing?

Clear Signing ist schlicht und einfach der Gegenentwurf zu Blind Signing. Die Methode kennzeichnet zwei verschiedene Aspekte.

  • Klarheit über die Transaktionsabsicht: Die Absichten sind klar erkennbar und man wird darüber informiert, welche Art von Genehmigung man unterzeichnen soll. Zudem wird deutlich, welche dApp die Genehmigung anfordert, um zu verhindern, dass sich eine andere Applikation heimlich einklingt.
  • Für Menschen lesbare Transaktionsfelder: Die Transaktionsfelder geben den vorgesehenen Empfänger und die Kryptos, die von der Erlaubnis betroffen werden, in klar verständlicher Sprache an.

Nur wenn beide Bedingungen erfüllt sind, können Nutzer klar erkennen, welche Genehmigungen sie erteilen. So treffen sie nicht nur besser informierte Entscheidungen, was die Einwilligung anbelangt, sondern schützen sich auch aktiv vor Betrug.

Letzterer grassiert besonders am Krypto-Markt, denn Betrüger profitieren von der Finalität von Transaktionen und der Tatsache, dass ihr eigenes Wallet nicht eingefroren werden kann. Der Selbstschutz von Anlegern ist also unverzichtbar und Clear Signing ist ein vitales Element.

Welche Wallets unterstützen Clear Signing?

Die Methode ist kein Industriestandard, der von einer zentralen Stelle durchgesetzt oder per Gesetz beschlossen wird. Stattdessen ist es bei branchenführenden Unternehmen Konsens geworden, dass Clear Signing dringend benötigt wird, um Betrugsdelikte einzudämmen. Die nachfolgende Auflistung erhebt keinen Anspruch auf Vollständigkeit. Außerdem kann es je nach Software notwendig sein, Clear Signing manuell zu aktivieren.

MetaMask

Unterstützt Clear Signing, insbesondere in Verbindung mit EIP-712, was es Nutzern ermöglicht, strukturierte Daten in einer lesbaren Form zu signieren. Dies bietet zusätzliche Sicherheit, da Nutzer vor dem Signieren genau sehen können, welche Daten signiert werden, anstatt nur eine kryptische Zeichenkette zu bestätigen.

Ledger Live

Ledger, ein führender Anbieter von Hardware-Wallets, unterstützt Clear Signing in Kombination mit EIP-712. Dies bietet Nutzern mehr Klarheit über ihre Transaktionen, insbesondere wenn sie über Ledger Live oder andere dApp-Integrationen agieren.

Trezor Suite

Trezor hat ebenfalls Clear Signing implementiert, um sicherzustellen, dass Nutzer verständlich aufbereitete Informationen zu ihren Transaktionen erhalten. Insbesondere bei der Interaktion mit smarten Verträgen oder bei der Nutzung von dApps ist diese Funktion von Vorteil.

Gnosis Safe

Gnosis Safe unterstützt Clear Signing, insbesondere für Multi-Signatur-Transaktionen, bei denen mehrere Parteien eine Transaktion bestätigen müssen. Hier wird eine lesbare und transparente Darstellung der Transaktion vorgelegt, was bei komplexen Transaktionen von entscheidender Bedeutung ist.

Frame Wallet

Frame ist eine Desktop-Wallet, die Clear Signing aktiv unterstützt. Sie ist bekannt dafür, Nutzern detaillierte Informationen zu den zu signierenden Transaktionen anzuzeigen, was bei der Verwendung von dezentralen Anwendungen (dApps) für zusätzliche Sicherheit sorgt.

Wallets, die Clear Signing unterstützen, bieten ein wichtiges Sicherheitsfeature, das das Risiko von Phishing-Angriffen und Transaktionsfehlern minimiert. Dies macht sie insbesondere bei der Interaktion mit komplexen dApps und smarten Verträgen unerlässlich. Dennoch sollte man niemals allgemeine Sicherheitsregeln ignorieren, denn die Software liefert nur eine Komponente zum Schutz. Clear Signing verspricht also keinen Rundumschutz, aber wir empfehlen grundsätzlich die Verwendung von Wallets, welche die Option anbieten.

Mein Wallet wurde leergeräumt – wie bekomme ich mein Geld zurück?

Sofern Sie Opfer einer Phishing-Attacke oder eines Wallet-Drainers geworden sind und Kryptowährungen verloren haben, gilt es jetzt zu handeln. CryptoTracing kann Sie unterstützen, indem wir die Spur der Mittel auf der Blockchain verfolgen und dokumentieren, wohin die Kryptos abgezogen worden sind. Zudem arbeiten wir eng mit dem Rechtsanwalt Dr. Maisch zusammen, der über umfassende Expertise im Bereich Cybercrime und bei Fällen von Broker-Betrug verfügt. Herr Dr. Maisch kann Sie in allen Rechtsfragen kompetent juristisch beraten und falls notwendig auch vor Gericht vertreten und Ihre Ansprüche durchsetzen.

Gemeinsam kommen wir den Tätern auf die Spur, formulieren eine Strafanzeige, sammeln wichtige Beweise und aktivieren die Behörden. Zögern Sie nicht und nehmen Sie jetzt Kontakt über unser Formular auf. Dort können Sie uns die Details zu Ihrem Fall schildern. Wir melden uns bei Ihnen mit einer kostenlosen Ersteinschätzung zurück und zeigen auf, welche Wege Ihnen offenstehen.