Alte Betrugsmaschen machen auch vor neuen Entwicklungen nicht halt. Dies mussten kürzlich einige Nutzer der Plattform OpenSea schmerzhaft feststellen. Nur weil das System der NFTs auf einer Blockchain basiert und eine hohe Sicherheit verspricht, heißt das am Ende noch lange nicht, dass auch eine vollständige Garantie für Sicherheit gegeben werden kann. Im Gegenteil hört man immer wieder von Betrugsfällen und anderen Schwierigkeiten.
**Was ist genau passiert?**
Die Online-Plattform OpenSea als Marktplatz für NFTs hat einige Tage vor dem Angriff ein Update bezüglich ihres Smart Contracts angekündigt. Die dazugehörige Berechtigung können User relativ einfach per Klick erteilen.
Diesen Umstand nutzte der Täter offenbar kreativ aus, indem Nutzer der Plattform mit einer Email kontaktiert wurden, welche einer echten Email der Plattform täuschend ähnlich sah. Offenbar kopierte der oder die Täter schlicht eine ältere Email der Plattform und setzen darin Links zu manipulierten Verträgen. Diese hochproblematische Betrugsmasche ist im Internet allgegenwärtig.
Nach den bisher bekannten Zahlen scheinen 32 Nutzer dem Link in der Email gefolgt zu sein. Statt ein Update zu erhalten, ermöglichten die Nutzer damit, dass ihre Walltes geleert wurden. Auf diese 32 Nutzer entfallen wohl über 200 NFTs im Wert von ca. 1.115 Ether, also im Wert von mehr als 2,5 Millionen Euro.
Unter den erbeuteten NFTs befanden sich unter anderem drei „Bored Ape Yacht Club“ und andere beliebte und rare Stücke. Der Täter sortierte die Beute im Anschluss offenbar gut aus und sandte einen Teil der NFTs wieder an die Nutzer zurück.
**Wie wehrt man sich gegen eine solche Attacke?**
Gerade im schnelllebigen Internet muss man vor falschen Links und anderen Problemen auf der Hut sein. Beim Phishing werden Websiten, Emails usw. gefälscht und dem Betroffenen vorgespielt, dass es sich um eine echte Nachricht handeln würde. Zumeist wird die Tür für die Angreifer durch das bloße Reagieren auf diese Fälschung geöffnet, sodass sich der Schadenseintritt fast nicht verhindern lässt.
Bevor man irgendwelche Berechtigungen erteilt, sollte vorsichtshalber immer überprüft werden, welche Berechtigung sich dahinter genau verbirgt und wer davon profitieren darf. Dies gilt im Übrigen auch für Berechtigungen bei Smartphone-Apps.
Im Kontext von Emails gilt es immer vorsichtig zu sein, bevor man Links anklickt. Insbesondere sollte die genaue Absender-Adresse auf ihre Richtigkeit und Nachvollziehbarkeit überprüft werden. Auch an der inhaltlichen Gestaltung der Nachrichten kann man oftmals erkennen, dass hier „etwas nicht stimmt“. Dies kann in Art und Aufbau der Nachricht liegen. Bevor man einen darin enthaltenen Link anklickt, sollte man sich im Zweifel beim angeblichen Absender rückversichern, ob die Nachricht auch tatsächlich von dort stammt.
Sofern man Opfer einer Phishing-Attacke geworden ist, sollte man sich umgehend Hilfe von Experten einholen. Schnelles Handeln ist hier oft wichtig, um wichtige Beweise zu sichern oder einen weiteren Schaden zu verhindern.
**Wer haftet für den Schaden?**
Klar ist, dass der oder die Angreifer für einen eingetretenen Schaden haften. Gerade im Internet sind diese Personen aber nur sehr schwer zu identifizieren. Überdies können sich die Täter weltweit aufhalten, sodass selbst bei einer Identifikation eine Anspruchsdurchsetzung äußerst schwierig werden kann.
In Einzelfällen kann auch an eine Haftung der Plattform-Betreiber gedacht werden. Dies kommt aber nur dann in Betracht, wenn den Plattform-Betreibern auch tatsächlich ein (schwerwiegender) Vorwurf gemacht werden kann. Dies ist aber nur in Einzelfällen denkbar und muss inhaltlich gut geprüft werden.
Ob weitere Personen oder Unternehmen haften könnten, hängt sodann immer vom konkreten Einzelfall ab. Dabei muss der Sachverhalt gut erforscht und aufbereitet werden. Erst dann wird sich klären, ob vielleicht eine dritte Stelle den Grund oder die Möglichkeit für diesen Angriff geschaffen hat.
Wenn Sie rechtliche Beratung im Bereich von NFTs benötigen, können Sie sich gerne an Rechtsanwalt Dr. Raphael Rohrmoser unter info@advoadvice.de oder 030 / 921 000 30 wenden. Dabei ist zunächst unerheblich, ob es um Betrugsfälle oder andere Haftungsfragen geht oder ob es sich rein um vertragsrechtliche Aspekte oder ähnliches handelt.