Ein Block-Explorer ist eine öffentliche Suchmaschine für eine Blockchain, mit der du Transaktionen, Wallet-Salden und Smart-Contract-Code lesen kannst. Etherscan und seine Familie (Solscan, BNBscan, Tronscan) sind am beliebtesten, aber ihre werbefinanzierten Benutzeroberflächen wurden bereits zum Leeren von Wallets missbraucht. Für hochwertige Wallets ist ein Open-Source-Explorer wie Blockscout oft die sicherere Standardwahl.
Auf einen Blick
- Die Etherscan-Familie dominiert nach Traffic, aber Werbeflächen und Suchergebnis-Anzeigen haben Phishing-Links gehostet, die zu Wallet-Draining-Seiten führen.
- Open-Source-Explorer wie Blockscout und Routescan ermöglichen Self-Hosting und entfernen Werbe- und Tracker-Belastung fast vollständig.
- Überprüfe immer den Quellcode eines Vertrags in einem Explorer, bevor du ihn freigibst, und behandle nicht verifizierte Verträge standardmäßig als nicht vertrauenswürdig.
- Adress-Vergiftung und Fake-Token-Spam tauchen in Explorern auf, nicht nur auf ihnen. Lerne daher die visuellen Erkennungsmerkmale, bevor du irgendetwas anklickst.
Was ist ein Blockchain-Explorer und warum ist die Wahl wichtig?
Ein Blockchain-Explorer ist eine Website oder App, die Daten direkt von einem Blockchain-Knoten liest und sie in einem für Menschen lesbaren Format darstellt. Du kannst eine Wallet-Adresse einfügen, um den Saldo und die Historie zu sehen, eine Transaktions-ID einfügen, um zu prüfen, ob sie erfolgreich war, oder eine Smart-Contract-Adresse einfügen, um den Code zu lesen, der ihn steuert. In der Praxis ist ein Explorer nach der Wallet selbst das am häufigsten genutzte Werkzeug in Krypto.
Der Grund, warum deine Wahl des Explorers wichtiger ist, als die meisten Anfänger annehmen, ist, dass der Explorer der Ort ist, an dem du deine abschließende Sicherheitsprüfung durchführst. Du prüfst, ob ein Token-Vertrag verifiziert ist, bevor du ihn freigibst. Du bestätigst, dass eine Adresse, an die du gleich Geld senden willst, mit derjenigen übereinstimmt, die dein Gegenüber dir gegeben hat. Du schlägst eine Transaktion nach, um zu sehen, warum ein Swap fehlgeschlagen ist. Jede einzelne dieser Prüfungen passiert in einem Browser-Tab, oft unter Zeitdruck, oft kurz nachdem ein Token-Airdrop in deiner Wallet aufgetaucht ist.
Die meisten Nutzer greifen zu dem Explorer, den Google zuerst anzeigt. Genau diese Gewohnheit macht das werbefinanzierte Geschäftsmodell der großen Explorer gefährlich. Wenn ein Explorer seine Suchleiste oder seine Startseite über Werbenetzwerke Dritter monetarisiert, können Angreifer Werbeplätze kaufen, die wie native Explorer-Ergebnisse aussehen. Ein Nutzer, der auf einem beliebten Explorer nach dem offiziellen USDT-Vertrag sucht, hat schon mehrfach auf einen bezahlten Link zu einer nachgebauten Seite geklickt und eine schädliche Freigabe unterschrieben, als der Branche lieb ist.
Das eigentliche Risiko: Werbung, Phishing und Adress-Vergiftung in Explorern
Vor jedem Funktionsvergleich verdient das Risikoprofil des von dir genutzten Explorers einen eigenen Abschnitt. Drei spezifische Fehlermodi tauchen in Post-Mortems geleerter Wallets immer wieder auf, und alle drei überschneiden sich mit der Explorer-Oberfläche.
Der erste sind schädliche Anzeigen in der Suchleiste und auf Token-Seiten. Große Explorer betreiben gesponserte Plätze oben in den Suchergebnissen. Legitime Projekte zahlen dafür. Angreifer haben ebenfalls dafür bezahlt, manchmal über kompromittierte Werbekonten, manchmal indem sie das Branding des legitimen Projekts so genau imitiert haben, dass die Werbeprüfung es übersah. Das Ziel ist meist ein Klon der Projektseite, der den Nutzer auffordert, eine Wallet zu verbinden und eine Transaktion zu signieren. Nach der Signatur erlaubt die Freigabe dem Angreifer, die wertvollsten Token in der Wallet zu leeren. Das ist nicht theoretisch. Etherscan und mehrere seiner Schwester-Explorer haben öffentlich bestätigt, schädliche Anzeigen entfernt zu haben, nachdem Nutzer Verluste gemeldet hatten.
Der zweite Fehlmodus sind gefälschte Token und Adress-Vergiftung. Wenn du einen beliebten Token wie USDT nachschlägst, listet die Explorer-Seite normalerweise mehrere Verträge mit demselben Ticker. Einige davon sind echt, einige sind Nachbildungen mit einem geänderten Zeichen, und einige sind reine Honeypots, die den Signierenden um seinen Saldo bringen sollen. Werbeanzeigen in Suchergebnissen und sogar organische Einträge können diese bewerben. Ein Nutzer, der eine Vertragsadresse aus der obersten Liste der Ergebnisse kopiert und einfügt, ist ein häufiges Drain-Szenario.
Der dritte ist die Belastung durch Tracker und Fingerprinting. Kommerzielle Explorer protokollieren deine IP, die Wallet-Adressen, die dich interessieren, und deine Suchmuster. Diese Daten wurden bereits per Gerichtsbeschluss angefordert, sind geleakt und wurden genutzt, um Nutzer mit maßgeschneiderten Phishing-Kampagnen anzugreifen, die sich auf echte, kürzlich erfolgte Transaktionen beziehen. Die Kombination daraus zu wissen, welche Token du hältst und welche Explorer du nutzt, ist für einen Angreifer nützlicher als jedes einzelne Puzzleteil für sich.
Die Etherscan-Familie und ihre Verwandten: Solscan, BNBscan, Tronscan
Die Etherscan-Familie ist eine Gruppe von Block-Explorern, die vom selben Unternehmen entwickelt und betrieben werden, wobei jeder auf eine einzelne Blockchain spezialisiert ist. Etherscan deckt Ethereum ab, Solscan deckt Solana ab, BNBscan deckt die BNB Chain ab und Tronscan deckt TRON ab. Sie teilen sich ein visuelles Design, einen Funktionsumfang und ein Geschäftsmodell, das größtenteils werbefinanziert ist, mit einer kostenpflichtigen API-Stufe für Entwickler.
Was die reine Datentiefe angeht, ist die Etherscan-Familie kaum zu schlagen. Etherscan hat die Verifizierung von Vertrags-Quellcode eingeführt, eine Funktion, mit der man den Solidity-Quellcode eines Vertrags direkt im Browser lesen und mit dem bereitgestellten Bytecode vergleichen kann. Außerdem indexiert Etherscan interne Transaktionen, Token-Transfers und Event-Logs mit einer Vollständigkeit, die kleinere Explorer nur schwer erreichen. Für einen Ethereum-Entwickler oder einen Power-User bleibt Etherscan das Standardwerkzeug, aus demselben Grund, aus dem Google die Standardsuchmaschine ist: Abdeckung und Gewohnheit.
Der Kompromiss ist das Werbemodell und das Closed-Source-Backend. Du kannst Etherscan nicht lokal betreiben. Du kannst nicht prüfen, wie es die Blockchain abfragt oder wie es die Ergebnisse bei Token-Suchanfragen sortiert. Die einzige Abhilfe, die das Unternehmen anbietet, ist ein kostenpflichtiger werbefreier Tarif namens Etherscan Priority Mode, bei dem man dem Anbieter trotzdem vertrauen muss, dass der Rest der Erfahrung das ist, was er vorgibt zu sein. Für eine Hardware-Wallet im Wert von 200 US-Dollar, die Memecoins im Wert von 500 US-Dollar hält, geht diese Rechnung auf. Für eine Treasury-Adresse oder eine Wallet mit hohem Vermögen sieht die Rechnung anders aus.
Dieselben Kompromisse gelten für Solscan, BNBscan und Tronscan, mit einem zusätzlichen Haken. Tronscan war insbesondere häufig Schauplatz für Werbeinhalte, die Tron-eigene Token fragwürdiger Herkunft bewerben, darunter mehrere, die sich als Ponzi-Schemata herausgestellt haben. Die Explorer-Oberfläche selbst ist neutral, aber die gesponserten Plätze sind es nicht, und die TRON-Nutzerbasis besteht überdurchschnittlich oft aus Nutzern, die neu im Bereich Self-Custody sind und daher stärker Phishing-Versuchen ausgesetzt sind, die als offizielle Ergebnisse getarnt sind.
Unabhängige Explorer: Blockscout, Routescan und der Open-Source-Weg
Die stärkste Alternative zur Etherscan-Familie ist Blockscout, ein Open-Source-Explorer, der mehr als ein Dutzend EVM-kompatibler Chains unterstützt, darunter Ethereum Mainnet, Optimism, Base, Arbitrum, Polygon, Gnosis und viele kleinere Netzwerke. Der gesamte Quellcode ist öffentlich, er kann selbst gehostet werden, und mehrere der unterstützten Chains betreiben ihre eigene Instanz, anstatt sich auf einen Drittanbieter zu verlassen.
Für eine hochwertige Wallet spricht für Blockscout vor allem die Reduzierung der Angriffsfläche. Eine selbst gehostete Instanz hat keine Drittanbieter-Werbung, kein Werbenetzwerk, keine Tracker-Pixel und keine zentralisierte Protokollierung, welche Adressen du nachgeschlagen hast. Der Verifizierungsablauf ähnelt dem von Etherscan: Ein Entwickler reicht den Quellcode ein, er wird kompiliert, und der resultierende Bytecode wird mit dem On-Chain-Bytecode verglichen. Die Benutzeroberfläche ist weniger poliert als die von Etherscan, und einige fortgeschrittene Entwicklerfunktionen hinken hinterher, aber das Sicherheitsmodell ist deutlich anders.
Routescan verfolgt einen ähnlichen Ansatz und ist der Standard-Explorer für eine Reihe von L2s und Sidechains, einschließlich einiger, die die Etherscan-Familie überhaupt nicht indexiert. Für Chains, die nicht Ethereum Mainnet, BNB Chain oder Solana sind, sind Routescan oder Blockscout oft die einzige realistische Option, da die Etherscan-Familie es nicht für nötig gehalten hat, diese zu unterstützen. Wenn du auf einer kleineren L2 Transaktionen durchführst, nutzt du bereits einen unabhängigen Explorer, ob dir das bewusst ist oder nicht.
Der Open-Source-Weg hat echte Nachteile. Du musst deinen eigenen Node betreiben oder der Person vertrauen, die die öffentliche Instanz betreibt. Die Datengenauigkeit bei obskuren internen Transaktionen kann schlechter sein als bei Etherscan. Die API-Ratenlimits öffentlicher Instanzen sind strenger, und die UI-Konventionen unterscheiden sich so stark, dass ein Etherscan-geschulter Nutzer bei den ersten Versuchen ins Stolpern gerät. Keiner dieser Nachteile ist ein Showstopper, aber sie erklären, warum Etherscan für die meisten Nutzer weiterhin der Standard ist.
So verifizierst du einen Vertrag in jedem Explorer
Die Vertragsverifizierung ist die mit Abstand wichtigste Sicherheitsprüfung, die ein Explorer ermöglicht, und sie funktioniert bei Etherscan, Blockscout und allen anderen auf die gleiche Weise. Wenn ein Entwickler einen Smart Contract bereitstellt, veröffentlicht er nur den Bytecode, die kompilierten Maschinenanweisungen, die die EVM tatsächlich ausführt. Verifizierung bedeutet, dass der Entwickler zusätzlich den ursprünglichen Solidity-Quellcode hochlädt, der Explorer ihn lokal kompiliert und das Ergebnis mit dem On-Chain-Bytecode übereinstimmt. Ein grünes Häkchen neben dem Vertrag zeigt eine erfolgreiche Übereinstimmung an.
Verifizierung ist keine Garantie dafür, dass der Vertrag sicher ist. Ein verifizierter Vertrag kann trotzdem eine Hintertür, eine versteckte Mint-Funktion oder eine Gebühr enthalten, die 99 % jeder Übertragung einbehält. Was die Verifizierung ermöglicht, ist, dass ein Leser genau versteht, was der Vertrag tut, und das ist die einzige Möglichkeit, diese Fallen zu erkennen. Ein nicht verifizierter Vertrag ist intransparent. Du signierst eine Transaktion gegen Bytecode, den du nicht lesen kannst, was in etwa dem Ausführen einer Binärdatei entspricht, die du 2003 von einer zufälligen Website heruntergeladen hast.
Der praktische Ablauf ist: Füge die Vertragsadresse in deinen Explorer ein, suche nach dem grünen Häkchen, öffne den Quellcode, lies die Transfer- und Approval-Funktionen und achte auf bekannte Warnsignale. Zu den Warnsignalen gehören Funktionen, die beliebige Adressen auf eine schwarze Liste setzen können, Funktionen, die den Handel pausieren können, owner-only-Funktionen, die neues Supply minten können, sowie jede Fee-on-Transfer-Logik, die mehr als einen kleinen Prozentsatz nimmt. Wenn der Vertrag nicht verifiziert ist, ist die sicherste Annahme, ihn als feindlich einzustufen und zunächst mit einer Test-Wallet zu interagieren.
Adressvergiftung, gefälschte Token und worauf du achten musst
Adressvergiftung ist der Angriff, bei dem ein Betrüger eine winzige Transaktion von einer Adresse sendet, die die ersten und letzten Zeichen mit einer echten Adresse teilt, mit der du bereits Transaktionen durchgeführt hast. Die Idee ist, dass du, wenn du später die Adresse aus deinem Verlauf kopierst, versehentlich die Adresse des Betrügers greifst, weil die beiden in einer Listenansicht identisch aussehen. Die Lösung besteht darin, die vollständige Adresse zu verwenden oder besser noch ein Adressbuch in deiner Wallet zu nutzen, und niemals aus einem Transaktionsverlauf zu kopieren in der Annahme, dass der neueste Eintrag der richtige sei.
Explorer ermöglichen diesen Angriff sowohl als auch mildern ihn ab. Sie ermöglichen ihn, indem sie aktuelle Transaktionen in einer Listenansicht anzeigen, die Adressen abschneidet, was Nutzer darauf trainiert, sich auf die gekürzte Form zu verlassen. Sie mildern ihn ab, indem sie es dir ermöglichen, die vollständige Adresse aufzuklappen und zur Kontoseite zu navigieren, um deren gesamten Verlauf einzusehen. Eine echte Gegenpartei-Adresse wird eine lange, abwechslungsreiche Historie haben. Eine vergiftete Adresse wird in der Regel aufgeladen, sendet die Dust-Transaktion und bleibt leer.
Gefälschte Token funktionieren auf die gleiche Weise. Ein Betrüger stellt einen Vertrag namens USDT bereit, gibt ihm 9 Billionen Token und airdropt eine kleine Menge an Tausende von Adressen. Der Token erscheint in der Wallet des Opfers mit einem echt aussehenden Ticker und einem echt aussehenden Logo. Wenn das Opfer versucht, ihn zu swappen, signiert es eine Approval, die die Wallet leert. Die Lösung ist, airdropte Token komplett zu ignorieren und niemals einen Vertrag zu approven, mit dem du nicht absichtlich interagiert hast. Ein Explorer hilft hier, weil du auf den Token-Vertrag klicken, sehen kannst, dass es sich um eine kürzlich erfolgte Bereitstellung ohne Verifizierung und ohne Liquidität handelt, und das Muster erkennen kannst.
So wählen Sie den passenden Explorer für Ihre Situation
Welcher Explorer der richtige ist, hängt davon ab, was Sie tun und wie viel auf dem Spiel steht. Für eine 50-Dollar-Hot-Wallet, mit der gelegentlich ein NFT gemintet wird, überwiegt der Komfort von Etherscan das kleine Werberisiko, und die praktische Gegenmaßnahme besteht darin, niemals auf ein gesponsertes Ergebnis zu klicken und Vertragsadressen manuell einzugeben. Für eine Treasury-Wallet, eine Adresse für langfristige Cold Storage oder jede Adresse, die mehr hält, als Sie durch einen einzigen Fehlklick zu verlieren bereit wären, ist es sinnvoll, eine selbst gehostete Blockscout-Instanz oder eine vertrauenswürdige öffentliche Instanz zu nutzen und die kommerziellen Explorer für diese Adresse komplett aus dem Workflow herauszuhalten.
Für Entwickler geht die Rechnung stärker in Richtung API-Zugang und Indizierungstiefe. Die kostenpflichtige API der Etherscan-Familie ist der De-facto-Standard, was selbst ein Zentralisierungsrisiko für das Ökosystem darstellt, aber sie ist auch der Weg des geringsten Widerstands für ein Team, das Transaktionen im großen Maßstab nachschlagen muss. Die API von Blockscout ist kostenlos und offen, allerdings sind die Rate-Limits der öffentlichen Instanz streng, und das Self-Hosting ist echte Infrastrukturarbeit. Für ein ernsthaft arbeitendes Team ist die Antwort meist eine Mischung: kommerzieller Explorer für den Komfort, selbst gehostetes Blockscout für jeden Workflow, der Nutzergelder berührt.
Für Nutzer auf Chains jenseits von Ethereum ist die Wahl oft bereits getroffen. Wenn Sie auf Solana transagieren, landen Sie am Ende bei Solscan. Wenn Sie auf TRON transagieren, ist Tronscan die Standardadresse. Dasselbe Risikoprofil gilt allerdings auch dort. Behandeln Sie gesponserte Ergebnisse als nicht vertrauenswürdig. Überprüfen Sie Verträge, bevor Sie ihnen eine Freigabe erteilen. Signieren Sie niemals eine Transaktion gegen einen unverifizierten Vertrag. Und wenn die Chain, die Sie nutzen, eine Blockscout- oder Routescan-Instanz ohne Werbung hat, bevorzugen Sie diese für hochvolumige Wallets.
So verfolgen Sie Nachrichten zu Blockchain-Explorern auf smarte Weise
Explorer-Kompromittierungen und Phishing-Kampagnen entwickeln sich schnell weiter, und dasselbe Muster wiederholt sich selten länger als ein paar Wochen, bevor die Angreifer zu einem neuen Trick wechseln. Zu verfolgen, welcher Explorer aktuell schädliche Werbung ausliefert, welche neuen Lookalike-Verträge deployt werden und auf welchen Chains frische Wellen von Address-Poisoning zu beobachten sind, ist genau die Art von Signal, die in Preisdatenströmen nicht auftaucht. Zippfeed liefert Schlagzeilen zu Blockchain und Infrastruktur mit Sentiment-Bewertung (bullish, neutral oder bearish) und einer Wichtigkeitsstufe, damit Sie die Warnungen sehen, bevor sie Ihre Wallet treffen, und nicht erst danach.