Was ein Krypto-Phishing-Angriff tatsächlich ist
Ein Krypto-Phishing-Angriff ist ein Social-Engineering-Versuch, der darauf abzielt, einen Nutzer dazu zu bringen, eine Blockchain-Transaktion zu signieren, eine Token-Genehmigung zu erteilen oder eine Seed-Phrase herauszugeben. Der Angreifer muss selten einen Software-Bug finden. Die Blockchain selbst – ob auf Bitcoin, Ethereum oder Solana – funktioniert genau wie vorgesehen. Das Opfer autorisiert lediglich eine Transaktion, die es nicht vollständig versteht.
Genau das verwirrt Einsteiger. Wenn die Chain sicher und die Wallet verschlüsselt ist, wie kann dann Geld verschwinden? Die ehrliche Antwort lautet: Kryptografie schützt den privaten Schlüssel einer Wallet, aber sie kann einen Menschen nicht davor schützen, freiwillig die falsche Nachricht zu signieren. Phishing nutzt die Lücke zwischen dem, was eine Transaktion darstellt, und dem, was sie on-chain tatsächlich bewirkt.
Phishing im Krypto-Bereich ist zudem ungewöhnlich endgültig. Eine Bank kann eine betrügerische Überweisung rückgängig machen. Eine Blockchain kann es konstruktionsbedingt nicht. Das ist die ganze Idee von dezentralem Geld – und genau deshalb lieben es Betrüger. Sobald eine Drainer-Transaktion bestätigt ist, wandert das Geld in die Wallet des Angreifers, und eine Rückerholung hängt vom Goodwill zentralisierter Dienste ab, die downstream existieren können oder nicht.
Die echten Risiken: Was tatsächlich schiefläuft
Bevor wir darüber sprechen, wie Phishing funktioniert, sollte man offen benennen, was auf dem Spiel steht, denn die Fehlerarten sind nicht abstrakt.
Vollständiger Wallet-Drain. Eine erfolgreiche Signatur kann einen Smart Contract ermächtigen, jeden Token und jedes NFT in deiner Wallet zu transferieren – nicht nur einen einzelnen Token. Das ist der worst case und 2024/2025 der häufigste Ausgang. Betroffene loggen sich oft ein, um ihr Portfolio zu sehen, und finden innerhalb weniger Minuten nach der Signatur eine leere Wallet vor.
Token-spezifischer Diebstahl. Manche Genehmigungen sind auf einen einzelnen ERC-20-Token beschränkt. Der Nutzer behält möglicherweise den Großteil seines Saldos, verliert aber den speziellen, hochwertigen Vermögenswert, den der Angreifer ins Viser genommen hat – oft einen Stablecoin wie USDT oder USDC oder einen beliebten Token wie ETH oder SOL.
Wiederholte Diebstähle durch dieselbe Genehmigung. Das übersehen Anfänger häufig. Eine Genehmigung ist kein einmaliges Ereignis. Sobald du beispielsweise setApprovalForAll auf einer NFT-Sammlung signierst, kann der Angreifer diese Genehmigung immer wieder aufrufen, bis sie widerrufen wird. Viele Betroffene werden ein zweites Mal gedraint, weil sie die ursprüngliche Signatur nie widerrufen haben.
Verlust der Seed-Phrase. Eine kleinere, aber noch verheerendere Kategorie von Phishing zielt direkt auf die Seed-Phrase. Gefälschte Wallet-Apps, falsche „Support“-Mitarbeiter und bösartige Browser-Erweiterungen können die 12 oder 24 Wörter abfangen, mit denen sich eine Wallet vollständig wiederherstellen lässt. Mit diesen Wörtern braucht der Angreifer keine einzige Signatur. Er stellt die Wallet einfach auf seinem eigenen Gerät wieder her und räumt sie leer.
Reputations- und Konto-Kompromittierung. Auf Chains wie Ethereum kann das Signieren einer bösartigen Nachricht eine Aussage on-chain veröffentlichen – etwa „Ich bin ein Betrüger“ – oder dem Angreifer einen Token verleihen, mit dem er dich in bestimmten Apps imitieren kann. Das ist seltener, zeigt aber, wie flexibel Signatur-Missbrauch sein kann.
Das ehrliche Fazit: Phishing ist die mit Abstand häufigste Ursache für individuelle Krypto-Verluste, und die Verluste sind meistens total und irreversibel. Es ist keine Randerscheinung.
Der Aufbau eines modernen Krypto-Phishing-Angriffs
Modernes Krypto-Phishing wird als Produkt verkauft. Drainer-Kits wie Pink Drainer, Inferno Drainer und Angel Drainer wurden in Dark-Web-Foren als Abo-Dienste angeboten, komplett mit Dashboards, Kundensupport und Gewinnbeteiligungsmodellen. Die Einstiegshürde für einen angehenden Betrüger ist erschreckend niedrig, weshalb die Zahl der Angriffe weiter steigt.
Trotz der Vielfalt folgt die Kill Chain einer vorhersehbaren Abfolge. Jeden Schritt zu verstehen, ist der einzige zuverlässige Weg, sie zu unterbrechen, denn Angreifer gewinnen oder verlieren im Moment der Signatur.
Schritt 1: Der Köder
Jeder Angriff beginnt mit einem Grund, warum du klicken solltest. Die häufigsten Köder im aktuellen Zyklus sind:
- Gefälschte Airdrops. Eine Nachricht behauptet, du hättest Anspruch auf einen kostenlosen Token-Drop von einem echten Projekt. Der Link führt dich auf eine Seite, die identisch mit der echten Projektdomain aussieht. Gefälschte Airdrop-Seiten und Drainer-Kits werden oft gebündelt, sodass ein einzelnes Phishing-Kit in einem Schritt eine „Claim"-Seite, einen Token-Vertrag und einen Drainer hochfahren kann.
- Address-Poisoning-Angriffe. Du sendest Krypto an eine bekannte Adresse und erhältst später eine winzige „Dust"-Transaktion von einer Adresse, die mit denselben Zeichen beginnt und endet. Der Angreifer hofft, dass du, wenn du die Adresse aus deinem Verlauf kopierst, um eine größere Zahlung zu senden, die vergiftete kopierst. Die Chain selbst ist nicht kompromittiert, deine eigene Transaktionshistorie wird zur Waffe.
- Bösartige Browser-Erweiterungen. Erweiterungen, die vorgeben, Wallet-Helfer, MEV-Schutz oder Preis-Tracker zu sein, können alles auf den von dir besuchten Seiten mitlesen. Wenn du eine Wallet verbindest, kann die Erweiterung Transaktionsdaten im Flug umschreiben und die Zieladresse oder den Vertrag austauschen, den du freigibst, bevor du signierst.
- Kompromittierte Discord-, Telegram- oder X-Konten. Echte Projekte werden gehackt. Wenn das offizielle Konto eines Projekts einen „Airdrop einlösen"-Link postet, klicken selbst vorsichtige Nutzer. Der Link ist echt, der Post ist echt, und die Seite ist fake.
- Suchmaschinenanzeigen. Angreifer kaufen Anzeigen für Suchanfragen wie „Uniswap login" oder „MetaMask support." Die Anzeige erscheint ganz oben bei Google, über dem echten Ergebnis. Der Link in der Anzeige führt auf eine nachgeahmte Domain.
Schritt 2: Die nachgeahmte Seite
Der Köder liefert dich auf einer Website ab, die visuell identisch mit einer echten ist. Die Domain ist der einzige Unterschied, und sie ist darauf ausgelegt, einen flüchtigen Blick zu täuschen. uniswаp.org verwendet ein kyrillisches „a". metamask-io.com fügt einen Bindestrich und ein Suffix hinzu. Die Seite fordert dich auf, eine Wallet zu verbinden, was sich normal anfühlt, weil jede seriöse dApp dasselbe tut.
In dieser Phase sind noch keine Gelder geflossen. Deine Wallet ist noch nicht kompromittiert. Der Angreifer hat dir lediglich eine falsche Tür vorgesetzt. Ob du hindurchgehst, hängt davon ab, was als Nächstes passiert.
Schritt 3: Die Signaturanfrage – dort lebt die Kill Chain
Dies ist der Moment, in dem alles entschieden wird. Eine Wallet mit einer Seite zu verbinden, bewegt keine Gelder. Was Gelder bewegt, ist das Signieren einer Transaktion oder einer Nachricht. Drainer sind darauf ausgelegt, diese Signatur routinemäßig aussehen zu lassen, damit der Nutzer ohne Nachdenken signiert.
Die häufigsten in 2024 und 2025 missbrauchten Signaturtypen sind:
- permit und permit2. Eine Off-Chain-Signatur, die es einem Vertrag erlaubt, einen bestimmten Token später aus deiner Wallet abzuziehen, ohne dass du eine weitere Transaktion signieren musst. Die Wallet-UI zeigt dies oft als „gasless approval" an und versteckt die technischen Details. Die Signatur ist unbegrenzt gültig und schwer zu widerrufen.
- setApprovalForAll auf ERC-721 oder ERC-1155. Dies gibt einem Vertrag die Erlaubnis, jedes NFT einer Sammlung aus deiner Wallet zu bewegen. Die Wallet-UI beschreibt dies in der Regel sachlich, aber die meisten Nutzer wissen nicht, was setApprovalForAll bedeutet, und Angreifer setzen genau darauf.
- increaseAllowance auf ERC-20-Token. Der klassische „Infinite Approval". Du signierst einmal, und ein bösartiger Vertrag kann diesen bestimmten Token jederzeit in der Zukunft aus deiner Wallet abziehen.
- eth_sign und personal_sign. Eine leere Signaturanfrage. Die Wallet zeigt eine für Menschen lesbare Warnung an, aber der Nutzer wird gebeten, einen Hash zu signieren. Die signierte Nachricht kann manchmal als Transaktion wieder eingespielt werden, abhängig von der Chain und der Wallet-Version.
Dies ist das Problem des „Sign-what-you-see" (oder „Sign-what-you-do-not-see"). Wallet-Oberflächen haben sich verbessert, können aber einen Smart-Contract-Aufruf immer noch nicht vollständig in einfaches Deutsch übersetzen. Eine Anfrage, die lautet „set approval for all tokens in collection X to address Y", ist technisch korrekt. Sie ist genau das, was ein Angreifer braucht. Die Gewohnheit, den Methodennamen, die Spender-Adresse und den aufgerufenen Vertrag zu lesen, ist die nützlichste einzelne Verteidigung, die ein Nutzer aufbauen kann.
Schritt 4: Der Drain
Sobald die bösartige Signatur steht, ruft der Angreifer die freigegebene Funktion auf. In einem einzigen Block wandert der Inhalt der Wallet an die Adresse des Angreifers. Das Opfer sieht die ausgehende Transaktion möglicherweise nicht einmal, bevor sie bestätigt wird. Auf Chains wie Solana, wo Transaktionen viele Aktionen bündeln können, kann der Drain eine Wallet mit einer Signatur leerräumen, die wie ein einfaches „Claim" aussieht.
Nach dem Drain schleust der Angreifer die Gelder typischerweise durch einen Mixer oder eine Cross-Chain-Bridge, dann durch eine No-KYC-Börse, und die Spur wird kalt. Einige Gelder werden eingefroren, wenn sie eine regulierte Börse berühren, aber die meisten nicht. Deshalb ist Prävention das ganze Spiel.
Warum Phishing so gut funktioniert, selbst bei erfahrenen Nutzern
Der Grund, warum Phishing in Krypto immer wieder erfolgreich ist, ist nicht, dass Nutzer unvorsichtig sind. Sondern dass die Abwehr wirklich schwer ist.
Visuelle Täuschung ist einfach. Ein perfekter Klon einer echten Seite kostet einen Betrüger ein paar hundert Dollar. Die Asymmetrie ist brutal: Ein Nutzer muss 100 % der Zeit wachsam sein, ein Angreifer muss nur einmal gewinnen.
Wallet-UI ist kein Kontoauszug. Wenn du eine Transaktion signierst, siehst du in der Regel einen Methodennamen, eine Gas-Schätzung und ein Hex-Datenfeld. Die Hex-Daten sind der Teil, der tatsächlich beschreibt, was du autorisierst, und die liest fast niemand. Die Wallet zeigt dir genug zum Signieren, aber nicht genug zum Verstehen.
Adressen sind nicht menschenlesbar. Eine Ethereum- oder Solana-Adresse ist ein langer String aus Hex-Zeichen oder Base58-Rauschen. Address-Poisoning-Angriffe funktionieren genau deshalb, weil niemand zwei Adressen visuell unterscheiden kann, die sich um ein Zeichen in der Mitte unterscheiden.
Sozialer Kontext wird ausgenutzt. Phishing erreicht dich oft innerhalb einer echten Konversation, in einem echten Discord, vom kompromittierten Konto eines echten Freundes. Das Vertrauen ist geborgt.
FOMO und Zeitdruck. „In den nächsten 2 Stunden einlösen, sonst ist dein Anteil weg" ist ein klassisches Druckmittel. Es funktioniert bei Krypto-Nutzern, weil Airdrop-Fristen real sind und das Muskelgedächtnis lautet: schnell handeln.
Die Lösung ist nicht, schlauer als der Betrüger zu sein. Die Lösung ist, Gewohnheiten zu entwickeln, die nicht davon abhängen, dass du einen guten Tag hast.
Wie du dich Gewohnheit für Gewohnheit schützen kannst
Im Folgenden findest du eine Reihe von Gewohnheiten, die zusammen die Kill Chain an mehreren Stellen unterbrechen. Keine davon erfordert besondere Werkzeuge oder Fachkenntnisse.
Überprüfe die URL, bevor du klickst, und noch einmal, bevor du signierst
Gib die URL des Projekts selbst ein oder rufe sie über ein Lesezeichen auf. Vertraue niemals einem Link in einer DM, einer Anzeige oder einem Suchergebnis, selbst wenn die Seite identisch aussieht. Betrachte die Domain in der Adressleiste deines Browsers, nicht den Text des Links. Wenn du Zweifel hast, navigiere weg und gib die URL erneut frisch ein.
Lies die Signatur, nicht nur die Wallet-Aufforderung
Die meisten modernen Wallets zeigen dir die Vertragsadresse, die aufgerufene Funktion und manchmal eine decodierte Version an. Behandle es wie das Lesen eines Vertrags, bevor du signierst. Wenn die Funktion setApprovalForAll, permit oder increaseAllowance auf einem Vertrag lautet, den du nicht erkennst, signiere nicht. Wenn die Wallet ein generisches „Sign In With Ethereum" oder einen leeren Hash anzeigt, mach langsam.
Du kannst die Vertragsadresse auch in einen Block-Explorer wie Etherscan oder Solscan einfügen, bevor du signierst. Wenn der Vertrag nicht verifiziert ist, keinen Namen hat oder erst in den letzten Tagen deployt wurde, ist das ein starkes Signal, dich zurückzuziehen.
Verwende eine separate „Hot"-Wallet und ein „Cold"-Vault
Bewahre den Großteil deiner ETH, SOL oder BTC in einer Wallet auf, die sich niemals mit dApps verbindet. Verwende eine zweite Wallet mit kleinerem Guthaben für Trading, Airdrops und DeFi. Wenn die Hot-Wallet leergesaugt wird, ist der Verlust begrenzt. Dies ist die wirksamste strukturelle Verteidigung gegen Phishing.
Widerrufe alte Approvals regelmäßig
Approvals laufen standardmäßig nicht ab. Tools wie revoke.cash und der Approval-Inspector von Etherscan ermöglichen es dir, alte Token- und NFT-Freigaben einzusehen und zu widerrufen. Das Widerrufen kostet wenig Gas und ist eine einmalige Aufräumarbeit. Eine vierteljährliche Überprüfung ist ein vernünftiger Rhythmus.
Achte auf Address Poisoning
Kopiere niemals eine Empfängeradresse aus deinem Transaktionsverlauf. Kopiere sie immer aus der Quelle, idealerweise durch Scannen eines QR-Codes oder mithilfe einer Wallet-Funktion, die bekannte Kontakte labelt. Wenn dir ein Fremder eine winzige Menge ETH oder SOL grundlos schickt, ignoriere es. Interagiere nicht mit der Adresse. Es ist mit Sicherheit ein Poison.
Überprüfe deine Browser-Erweiterungen
Entferne jede Erweiterung, die du nicht aktiv nutzt. Browser-Erweiterungen haben vollen Zugriff auf die von dir besuchten Seiten, und bösartige können die Daten umschreiben, die deine Wallet gleich signieren will. Wenn du eine Wallet brauchst, verwende die offizielle Erweiterung von der Website der Wallet selbst, nicht einen „Helper" von Drittanbietern.
Gib deine Seed Phrase niemals irgendwo ein
Keine seriöse Wallet, dApp oder Support-Mitarbeiter wird jemals nach deiner Seed Phrase fragen. Wer auch immer fragt, greift dich an, ohne Wenn und Aber. Dies ist die eine Regel ohne Ausnahmen.
Was tun, wenn du bereits etwas Verdächtiges signiert hast
Wenn du ein permit, approval oder setApprovalForAll auf einem Vertrag signiert hast, dem du nicht vertraust, ist der Schaden noch nicht zwangsläufig eingetreten. Der Vertrag des Angreifers muss aufgerufen werden, um tatsächlich Gelder zu bewegen, und es gibt oft ein Zeitfenster, bevor dies geschieht.
Der erste Schritt ist, die Freigabe sofort zu widerrufen, mit revoke.cash oder einem ähnlichen Tool. Der zweite Schritt ist, alle wertvollen Vermögenswerte aus der kompromittierten Wallet in eine frische Wallet zu transferieren, die die bösartige Seite nie berührt hat. Geschwindigkeit ist wichtig, denn automatisierte Drainer laufen in der Regel auf Bots, die neue Approvals überwachen.
Wenn du bereits leergesaugt wurdest, sind die Gelder on chain so gut wie sicher nicht wiederherstellbar. Was du tun kannst, ist, den Vorfall den Strafverfolgungsbehörden zu melden, die Angreiferadresse mit Tagging-Diensten für Block-Explorer zu teilen und alle zentralisierten Börsen zu benachrichtigen, die nachgelagert sein könnten. Das ist ein kleiner Trost, aber der einzige ehrliche.
Schäm dich nicht. Drainer-Kits werden von professionellen kriminellen Teams entwickelt und sie fangen auch erfahrene Nutzer. Die richtige Reaktion ist, die oben genannten Gewohnheiten zu lernen und dein Setup so zu gestalten, dass der nächste Fehler ein kleiner ist.
So verfolgen Sie Phishing-Bedrohungen auf smarte Art
Phishing-Taktiken ändern sich jedes Quartal. Neue Drainer-Kits tauchen auf, neue Köder-Formate gehen viral und alte Tricks tauchen mit neuem Anstrich wieder auf. Zu verfolgen, welche Betrügereien aktiv sind und welche Verträge als bösartig gemeldet werden, ist eine echte Aufgabe, wenn man es manuell versucht. Zippfeed liefert Schlagzeilen zu Krypto-Phishing-Angriffen, Sicherheitswarnungen und Community-Hinweise mit einer Stimmungsbewertung – bullish, neutral oder bearish – sowie einer Wichtigkeitsstufe, damit Sie neue Bedrohungen erkennen, bevor sie Ihr Wallet erreichen. Kombinieren Sie diesen Feed mit den oben genannten Gewohnheiten, und Sie haben eine Verteidigung, die deutlich schwerer zu überraschen ist.
