Scam - welche weiteren Schritte sind sinnvoll

[dante]

Liebes Forum,

durch meine eigene Dummheit habe ich via WalletConnect eine vermeintliche Stakeing-Freigabe, die ein Update erfordert hätte, via Wallet Connect auf einem PC Wallet authorisiert. Das alles weg ist werde ich nun verkraften probieren. Die Coins in der entsprechenden Währung wurden sofort abgezogen. Eine der Empfängeradressen war bereits als Pishing gelistet (ethscan), was ich aber nicht erkennen konnte (Vertragsanfrage über keinen Betrag, nur Währung war sichtbar). Die zweite Empfängeradresse, die eine erheblichere Menge eingezogen hat, ist noch nicht markiert und scammed vermutlich weiter fröhlich dahin. Ich habe sie reported. Ich habe die Verbindung zur Website im wallet aufgehoben. Soll ich auch noch das Wallet wechseln? Welche Schritte sind sinnvoll? Gibt es irgendeinen Funken Hoffnung für die Coins?

Zur Vorgehensweise der Scammer: Da ich vorher schon Probleme mit dem Cache meines Wallets hatte (mit dem echten Coin-Anbieter) war ich abgelenkt und handelte automatisiert und glaubte einem "Admin". Es wurde ein Link über netlify sdk mit wallet connect bereit gestellt.

PS: "Selber schuld, DYOR etc." comments müsst ihr euch nicht die Mühe machen 😉  der Ärger über mich selbst ist unangenehmer als alles andere.

Danke euch und passt auf...

Bearbeitet 3. Oktober 2023 von dante

[Matchbox]

Nur mit dem "Connect" einer Wallet kann nichts passieren und entsprechend bringt auch der "Disconnect" der Wallet von einer Seite nichts.

Wenn du die Wallet entbehren kannst, würde ich sie einfach nicht mehr nutzen und gut.
Wenn sie weiterhin nutzen möchtest würde ich um z.B. den Etherscan-Link zur Scam-Transaktion bitten. Dann könnte man mal reinschauen.

Ich gehe davon aus dass du Approvals gesetzt hast, die du mit einer Seite wie De.Fi oder Revoke wieder zurücksetzen müsstest.

 

[dante]

OK, ich verstehe. Vielen Dank, ich kann die Wallet entbehren und nachdem ja nun nix mehr drauf ist, lass ich es und gut ist. Aber vielen Dank für deine Antwort und dein Angebot. Aus emotionaler Sicht möchte ich diese Adresse nur als Mahnmal aufbewahren 😉

Ja ich habe durch den Klick so ein 0x0000....0000 gesetzt, wie ich dann in der Historie erkennen konnte. D.h. vermutlich wenn auf diesen Wallet weitere Tokens laden, wird diese approval "aktiviert" und die tokens werden wieder automatisch abgezogen?

 

[Matchbox]

vor 10 Stunden schrieb dante:

D.h. vermutlich wenn auf diesen Wallet weitere Tokens laden, wird diese approval "aktiviert" und die tokens werden wieder automatisch abgezogen?

Jo, die Approvals gelten idR unbegrenzt.
Wenn nur ein Token abhanden gekommen ist war es wohl ein Approval (o.ä.)
Wenn auch ETH war es etwas anderes, das funktioniert nicht über Approvals oder ähnliche Contract-Spielereien.

Hier steht ab Seite 22 was dazu:
https://docsend.com/view/ghtf87u2kv6iga99

 

Du kannst die Approvals aber über z.B. https://de.fi/shield oder https://revoke.cash zurückziehen ('ungültig' machen)

Bearbeitet 4. Oktober 2023 von Matchbox

[dante]

Vielen Dank ☺️

[skunk]

Am 3.10.2023 um 15:41 schrieb dante:

PS: "Selber schuld, DYOR etc." comments müsst ihr euch nicht die Mühe machen 😉  der Ärger über mich selbst ist unangenehmer als alles andere.

Keine Angst. Das macht uns keine Mühen.

So ein Aproval muss eigentlich von deiner Wallet ausgehen und wäre auf der Blockchain sichtbar. Nehmen wir als Beispiel einfach einen Token den wir DYOR nennen. Du hast davon 1000 Stück. Ich schicke dir eine Transaktion und bitte dich diese zu signieren. Inhalt der Transaktion ist ein Aproval praktisch in unbegrenzter Menge. Du erlaubst mir damit über deine 1000 Token zu verfügen. Ich kann die Token jederzeit an eine von mir gewählte Adresse senden. Das heißt die Adresse zu der die Token hin gesendet werden ist nicht die Adresse die im Aproval steht. Wir haben hier 3 Adressen. Du unterzeichnest ein Aproval für Adresse B und Adresse B darf dann einen Transfer von deinem Wallet zu Adresse C initiieren.

Wie gesagt sollte alles transparent auf der Blockchain stehen. Schau mal bei den Abbuchungen von deinem Wallet etwas genauer hin. Im Blockexplorer wird dir einmal das Transfer Event angezeigt. Wenn ein Aproval im Spiel war, dann sollte dieses Event aber nicht wie sonst üblich von der Transfer Funktion. Um den Funktionsaufruf zu sehen musst du in der Regel einmal die Details aufklappen. Üblicherweise wird dann dort TransferFrom stehen. Das ist eine andere Funktion und funktioniert in der Regel nur in Verbindung mit einem vorangegangenen Aproval.

Alternativ kannst du auch mal schauen welche Transaktionen dein Wallet gemacht hat. Dort solltest du den eigentlichen Aproval finden können. Gleiches Spiel in Grün. Der Aproval feuert kein Transfer Event. Im Reiter Token Transfers wirst du die Aproval Transaktion nicht finden. Du musst hier den Reiter wechseln und nach allen Transaktionen schauen.

Edit: Hier mal ein Beispiel was ich gerade auf der Blockchain gefunden habe: https://etherscan.io/tx/0x6eefe5c45bf9976a4e31e92970aadf994a67b293c1fafc6df98d19549830d115

Zu sehen ist hier ein Transfer Event dessen From Adresse abweicht von der Adresse die die Transaktion signiert hat. Also ich signiere einen Transfer von deinem Wallet zu Wallet C.
Weiter unten dann die Details. Bei der Transaktion hier steht da sogar nur unleserlicher Bytecode. In deinem Fall würdest du an der Stelle hoffentlich den Funktionsnamen finden.

Bearbeitet 4. Oktober 2023 von skunk

[dante]

Haha das glaube ich 😉 Danke für deine Antwort.
Ich kann auf Etherscan die Abzocke leider nicht nachvollziehen - das ganze ist aber für mich neu. Mein Wallet wäre 0xF77A77e5eC3F05A4E605a94c5059f0ac23fFf2dC falls du mir Aufschluss geben kannst?
Wenn ich mich richtig erinnere, bestätigte ich einmal diesen verfänglichen Contract bzw. etwas, was mit dieser Seite zusammenhängen muss. Vielleicht gibt dir der Transaction Hash Aufschluss https://etherscan.io/tx/0xd01db364cdd7082c975d6ce42ab195c9a6d5eee667574cb0c26a0625886b145e .? Es handelt sich um die Function: increaseAllowance(address to,uint256 addedValue) und damit sendete das Wallet 2 Beträge an 2 Adressen. Diese Adressen bekam ich gar nie in irgendeiner Form zu sehen, als ich signierte 😉

Was ich auf etherscan nicht sehe, aber im Wallet sehe, ist, dass die Coins an 0x29488e5fd6bf9b3cc98a9d06a25204947cccbe4d (ist als Scam gelistet) und eine weitere Adresse 0x263f819cc3f2b25fa12ee3ac134fe7d7726caae9 die nicht als Scam gelistet ist, gesendet wurden. Ich habe sie zwar gleich als Scam eingereicht, ist aber bis heute noch nicht als diese markiert^^

Bearbeitet 5. Oktober 2023 von dante

[skunk]

vor 18 Minuten schrieb dante:

Vielleicht gibt dir der Transaction Hash Aufschluss https://etherscan.io/tx/0xd01db364cdd7082c975d6ce42ab195c9a6d5eee667574cb0c26a0625886b145e .? Es handelt sich um die Function: increaseAllowance(address to,uint256 addedValue) und damit sendete das Wallet 2 Beträge an 2 Adressen. Diese Adressen bekam ich gar nie in irgendeiner Form zu sehen, als ich signierte 😉

Function: increaseAllowance(address to,uint256 addedValue)

MethodID: 0x39509351
[0]:  0000000000000000000000000000771dc4d85b838a5fe5a7dd3432b1cf970000
[1]:  ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff

Diese Funktion erwartet eine Adresse und den Betrag. Das hier ist so ziemlich das schlimmste was du signieren kannst. Alles f bedeutet maximal möglicher Betrag. Das Problem hierbei ist, dass das kein Standard Transfer ist. Bei der Transaktion wurden keine Token transfieret daher wird dein Wallet dir einfach nur eine Transaktion zur Signatur anzeigen, die für dich unproblematisch aussieht. In Zukunft immer genau hinsehen was da ausgeführt werden soll.

[Matchbox]

vor einer Stunde schrieb dante:

Vielleicht gibt dir der Transaction Hash Aufschluss https://etherscan.io/tx/0xd01db364cdd7082c975d6ce42ab195c9a6d5eee667574cb0c26a0625886b145e

Um es weiter aufzudröseln:
Mit dieser Tx hast du dem WSM-Contract (siehe Empfänger) mitgeteilt, dass der Contract 0x0000771DC4D85B838A5Fe5A7dD3432B1CF970000 (siehe 'adress to - [0]: ... ) eine absurd hohe Zahl (siehe 'uint256 addedValue - [1]: .... ) WSM-Token ausgeben darf (increaseAllowance).

Das hat 0x00077... dann mit dieser Tx getan:
https://etherscan.io/tx/0x6ae8a24ad8eef487c8431835e47cf0f28898574841360601ae39b1ca092bb815

0x0000db5 (Fake_Phishing187019) hat 0x00077 beauftragt die WSM-Token zu den beiden Adressen zu verschieben.

Bei den beiden Adressen gehe ich davon aus das "Fake_Phishing180395" der Entwickler der Smartcontracts ist und 0x263... der tatsächliche Scammer, der die Phishing-Falle irgendwie aufgebaut hat. Deshalb bekommt 0x263... den großen Anteil und "Fake_Phishing180395" kassiert genau 20% 'Gebühr' für's Bereitstellen der Infrastruktur.