Wallet-Drainer-Kits: Die Scam-Ökonomie hinter Airdrop-Betrügereien

Was Wallet-Drainer-Kits tatsächlich sind

Ein Wallet-Drainer-Kit bündelt drei Dinge: einen Smart Contract (oder ein Skript, das einen solchen aufruft), eine Phishing-Landingpage und ein Web-Dashboard. Der Contract ist so gebaut, dass er dem Angreifer, sobald das Opfer auf der Phishing-Seite eine Transaktion signiert, die Erlaubnis gibt, bestimmte Token und NFTs aus der Wallet des Opfers zu transferieren. Über das Dashboard sieht der "Affiliate" – also die Person, die den Betrug ausführt – in Echtzeit neue Opfer und kann zusehen, wie die Gewinne anwachsen.

Auf Ethereum und EVM-kompatiblen Chains besteht der häufigste Trick darin, das Opfer einen setApprovalForAll-Call auf einem bösartigen ERC-721- oder ERC-1155-Contract signieren zu lassen oder ein increaseAllowance für einen ERC-20 wie USDT oder USDC. Aus Sicht des Opfers klickt es auf "Airdrop beanspruchen", die Wallet öffnet sich, es signiert, was wie eine normale Genehmigung aussieht, und innerhalb weniger Sekunden sind die Vermögenswerte weg. Auf Solana ist das Äquivalent eine Transaktion, die Token-Transfer-Instructions in eine scheinbare Claim- oder Stake-Aktion bündelt.

Diese Kits sind keine maßgeschneiderte Malware. Es sind Produkte mit Preislisten, Support-Kanälen und sogar Customer-Success-Teams. Der Branchenbegriff lautet Drainer-as-a-Service (DaaS) – und genau das ist der strukturelle Grund, warum Phishing im großen Stil zur Routine statt zur Ausnahme geworden ist.

Warum das ein Markt ist, kein Hobby

Der Wandel vom Einzel-Hacker-Phishing zu einer Service-Ökonomie ist die mit Abstand wichtigste Tatsache über Wallet-Drainer. Inferno Drainer, das Ende 2023 Berichten zufolge seinen Betrieb einstellte, behauptete auf seiner mittlerweile archivierten Seite, Affiliates dabei geholfen zu haben, rund 80 Millionen Dollar an Vermögenswerten zu erbeuten, bevor es offline ging. Sicherheitsforscher von Wallet Guard und Scam Sniffer haben ähnliche Umsätze bei Pink Drainer, Angel Drainer, Monkey Drainer und einer wechselnden Riege von Nachfolgern verfolgt; die kumulierte Summe über diese Kits hinweg wird auf Hunderte Millionen Dollar geschätzt.

Die Ökonomie macht das Modell selbsttragend. Einen zuverlässigen Drainer zu bauen ist nicht trivial: Es erfordert Gas-Optimierung, Unterstützung für viele Token, Methoden zur Geldwäsche der Erlöse und ständige Updates, da Wallets und Block-Explorer Warnhinweise ergänzen. Die meisten einzelnen Scammer können oder wollen diese Arbeit nicht leisten, also mieten sie sie. Der Betreiber übernimmt die technische Seite, der Affiliate den Traffic, und die Aufteilung – in der Regel 20 % für den Betreiber und 80 % für den Affiliate, in manchen Kits 30/70 – sorgt für Anreize, weiter zu stehlen.

Diese Aufteilung ist auch der Grund, warum ein einzelnes Kit Hunderte von "Kunden" gleichzeitig bedienen kann. Die Grenzkosten für einen neuen Affiliate sind nahe null, daher vermarkten Betreiber aggressiv in privaten Telegram- und Discord-Kanälen, oft mit Testimonial-Screenshots vergangener Auszahlungen. Eine Abschaltung, selbst eine so medienwirksame wie die von Inferno, verteilt die Affiliates lediglich auf das nächste Kit; das Playbook und die meisten Landingpage-Templates bleiben dieselben.

Der typische Ablauf für Opfer, Schritt für Schritt

Fast jeder Drainer-Angriff folgt einer ähnlichen Abfolge, und diese Schritte zu erkennen, ist die beste Verteidigung. Die Kette beginnt meist außerhalb von Krypto: in einer Suchmaschine, einem sozialen Netzwerk oder einem Discord-Server.

• Köder über Suchanzeigen oder gekaperte Konten. Affiliates kaufen Google- oder Bing-Anzeigen für Begriffe wie „Uniswap-Airdrop einlösen" oder „LayerZero einlösen", wobei die Ziel-URL durch eine nachgebaute Domain ersetzt wird. Alternativ übernehmen sie verifizierte X/Twitter- oder Discord-Konten und posten gefälschte Claim-Links von Konten, denen ihre Ziele bereits vertrauen.
• Nachgebaute Landingpage. Die Seite ist eine pixelgenaue Kopie eines echten Protokolls, komplett mit gefälschten Follower-Zahlen, gefälschten Kommentaren und einem „Connect Wallet"-Button. Domains werden typischerweise innerhalb weniger Tage registriert und nutzen oft Privacy-Dienste oder kostenlose Registrar.
• Das Drain-Modal. Nach dem Verbinden fordert die Seite den Nutzer auf, etwas „einzulösen" oder zu „verifizieren", und öffnet ein Wallet-Popup. Auf Ethereum ist dieses Popup meist eine setApprovalForAll- oder eine Permit2-Signatur; auf Solana eine Transaktion, die der Nutzer schnell unterschreiben soll.
• Automatisches Ausräumen. Sobald die Signatur eingeht, sendet das Backend des Drainers ein Bündel von Transfer-Aufrufen. Hochwertige ERC-20s, natives ETH und wertvolle NFTs werden in einem einzigen Block bewegt. Innerhalb von Sekunden werden die Vermögenswerte über Mixer, Bridges oder frisch finanzierte Wallets weitergeleitet.
• Geldwäsche. Die Erträge werden typischerweise auf Chains mit schwächeren KYC-Vorgaben gebridged, gegen Stablecoins wie USDT oder USDC getauscht und über Peel Chains oder Dienste wie Nachfolger von Tornado Cash geschleust. Manche Affiliates lösen direkt über verschachtelte Börsen aus; andere nutzen OTC-Desks, die auf das „Reinigen" von Tokens spezialisiert sind.

Die gesamte Abfolge, vom Klick auf eine Suchanzeige bis zum Verlust des Wallet-Inhalts, kann unter fünf Minuten dauern – deshalb ist das Volumen hoch, selbst wenn die Conversion-Rate pro Opfer niedrig ist.

Die größten Kits und was sie über den Markt verraten

Inferno Drainer ist die Fallstudie, die das öffentliche Bewusstsein verankert hat. Vor seiner Abschaltung im November 2023 warb Inferno offen in Foren, nahm 20 % Provision und leistete sich einen eigenen Security-Slip, durch den das Operator-Dashboard öffentlich wurde und Forscher die Beute summieren konnten. Nachfolgende Untersuchungen verknüpften Inferno-Aktivitäten mit einem Kern-Set von Wallet-Clustern und mit Geldwäsche-Pfaden über bestimmte zentralisierte Dienste.

Pink Drainer tauchte fast unmittelbar nach Infernos Ausstieg auf und warb zeitweise mit einem 30/70-Split, wobei der höhere Operator-Anteil das Vertrauen in die Conversion-Rates signalisierte. Angel Drainer und Venom Drainer folgten ähnlichen Mustern und iterierten jeweils in puncto Umgehung: schnellere Domain-Rotation, neuartige Approval-Muster, um Wallet-Heuristiken zu umgehen, und Ziele über Ethereum Mainnet hinaus, darunter Arbitrum, Base und BNB Chain. Solana-fokussierte Kits, manchmal eher „Sweeper Bots" als Drainer genannt, nutzen ein verwandtes Modell bei SPL-Tokens und haben einzelne hohe Verluste verursacht.

Das Muster über diese Kits hinweg ist aufschlussreich. Operator iterieren bei drei Dingen: wie sie Opfer erreichen, wie die Signatur legitim wirkt, und wie sie die Erträge waschen. Wenn eine Technik nicht mehr funktioniert – etwa weil Tornado Cash 2022 sanktioniert wurde –, besteht die Aufgabe des Operators darin, die nächste zu finden. Das Produkt selbst, ein poliertes Phishing-Frontend und ein Drain-Backend, ist heute Standard.

Was für Opfer tatsächlich schiefläuft

Das Risikoprofil eines Drainer-Angriffs ist ungewöhnlich gravierend. Anders als bei einem Exchange-Hack, bei dem ein Custodian Verluste decken kann oder Gelder zentral eingefroren werden können, ist Drainer-Diebstahl selbstverwahrung und praktisch irreversibel. Sobald ein setApprovalForAll signiert wurde, kann der Angreifer diese Approval jederzeit aufrufen – selbst Vermögenswerte, die zum Zeitpunkt der Signatur nicht im Wallet waren, können später gedraint werden.

Mehrere spezifische Fehlermodi verdienen Aufmerksamkeit:

• Versteckte Approvals bleiben bestehen. Ein Opfer, dessen ETH und ERC-20s gedraint wurden, glaubt möglicherweise, „alles verloren" zu haben, und zieht weiter – doch eine aktive NFT-Approval kann es dem Angreifer ermöglichen, das Wallet Wochen später erneut aufzusuchen und neu erworbene Items mitzunehmen.
• Permit2 und Off-Chain-Signaturen. Moderne Drainer missbrauchen Permit2, einen von Uniswap verfassten Standard für Token-Allowances, indem sie Nutzer eine Off-Chain-Nachricht signieren lassen, die Ausgaberechte gewährt. Diese Signaturen zeigen in Wallets nicht immer klare Warnungen, und für ihre Erteilung muss kein ETH für Gas gehalten werden – das senkt die Angriffskosten.
• Wiederholte Angriffe. Sobald ein Wallet on-chain als Drainer-Opfer markiert ist, erhält es häufig Follow-up-Airdrop-artige Tokens und NFTs, die den Besitzer zurück auf eine bösartige Seite locken sollen. Dasselbe Wallet kann in verschiedenen Kampagnen mehrfach getroffen werden.
• Stablecoin-Geschwindigkeit. USDT und USDC sind bevorzugte Ziele, weil sie liquide, fungibel und leicht zu waschen sind. Ein Wallet mit 50.000 $ in Stablecoins, das die falsche Approval signiert, wird meist innerhalb desselben Blocks vollständig geleert.
• Reputations- und Steuerfolgen. Opfer sind nicht nur finanziell exponiert; die öffentliche Natur von On-Chain-Diebstahl kann weitere Social-Engineering-Versuche nach sich ziehen, darunter gefälschte „Recovery Services", die eine Wiederbeschaffung der Gelder gegen Vorkasse versprechen.

Für Leser, die ihre Exposition einschätzen, lautet die ehrliche Zusammenfassung: Eine einzige Signatur, an einem einzigen Tag, kann ein Wallet leeren, das über Jahre aufgebaut wurde – und der Rechtsweg ist in den meisten Jurisdiktionen begrenzt.

Wie Strafverfolgung und Forscher die Drainer-Ökonomie verfolgen

Die Gewinne von Drainern zu verfolgen, gehört zu den klareren Erfolgsgeschichten der On-Chain-Ermittlung. Da jeder Diebstahl eine öffentliche Ledger-Spur hinterlässt, können Firmen wie Chainalysis, TRM Labs und Elliptic sowie unabhängige Forscher Drainer-Adressen clustern, Gelder über Bridges hinweg verfolgen und manchmal Cash-out-Punkte bei zentralisierten Börsen identifizieren, die tatsächlich KYC durchführen.

Der Fall Inferno ist erneut illustrativ. Forscher führten Einzahlungsadressen zusammen, identifizierten die 20-%-Operator-Skim und verfolgten die eigenen Treasury-Wallets des Operators. Mehrere offizielle Maßnahmen gegen Phishing-Infrastruktur 2023 und 2024, darunter Domain-Beschlagnahmungen und die Zerschlagung großer Phishing-as-a-Service-Plattformen, wurden genau durch solche Clusterings informiert. Wallet Guard und Scam Sniffer, die beiden meistzitierten Community-Dashboards, haben Echtzeit-Totals zu Drainer-Diebstahl veröffentlicht und betreiben Opfer-Benachrichtigungsdienste, die Approvals direkt in Wallets kennzeichnen.

Es gibt echte Grenzen für diese Arbeit. Mixer, Cross-Chain-Bridges, Peel Chains und nicht-custodiale Dienste wie dezentrale Börsen schwächen die Rückverfolgbarkeit. Operator waschen zudem über verschachtelte Dienste, Konten bei Offshore-Börsen, die mit gestohlenen oder synthetischen Identitäten eröffnet wurden, und informelle OTC-Broker. Wird ein Operator tatsächlich identifiziert, ist die Strafverfolgung schwieriger als die Identifikation: Viele Drainer-Operatoren sitzen vermutlich in Jurisdiktionen mit begrenzter Kooperation bei Krypto-Kriminalität, und die Affiliates können überall sein. Selbst die Schlagzeilen-Abschaltungen – Infernos freiwilliger Ausstieg, die Störung mehrerer Kits durch Sicherheitsforscher 2024 – sind nur vorübergehend: Die Operator migrieren, die Affiliates verteilen sich neu, und typischerweise übernimmt innerhalb weniger Wochen ein neues Kit die dominante Position.

Was das praktisch für dich bedeutet

Die ehrliche, werbungsfreie Erkenntnis ist, dass Drainer-Kits das Bedrohungsmodell für jeden Nutzer mit Selbstverwahrung verändern. Drei Gewohnheiten reduzieren die Gefährdung deutlich, und keine davon erfordert einen neuen Kauf.

Behandle zunächst jede Signatur als unumkehrbar. Die meisten Wallets, einschließlich beliebter Ethereum-Wallets, simulieren inzwischen Transaktionen und zeigen an, was übertragen wird. Lies diese Simulationen. Wenn ein „Claim" dich auffordert, eine Genehmigung zu signieren, zeigt die Simulation oft den zugrundeliegenden Drain-Vertrag – und genau in diesem Moment solltest du den Tab schließen. Auf Solana lohnt es sich, die Instruktionsliste der Transaktion zu prüfen, statt einfach durchzuklicken.

Trenne zweitens deine Wallets. Eine Hot Wallet, die für Airdrops, Mints und DeFi genutzt wird, sollte nicht den Großteil deiner langfristigen Bestände halten. Verschiebe wertvolle Vermögenswerte – insbesondere größere USDT- und USDC-Bestände sowie hochwertige NFTs – in eine Cold- oder Hardware-Wallet, die du nur verbindest, wenn du tatsächlich signieren willst. Wird eine Hot Wallet geleert, bleibt der Schaden begrenzt.

Nutze drittens Allowlist- und Revocation-Tools. Revoke.cx und ähnliche Dienste ermöglichen es dir, bestehende ERC-20- und NFT-Genehmigungen einzusehen und zu widerrufen – ein sinnvoller Aufräumschritt nach jeder Interaktion mit einer unbekannten Seite. Einige Wallets unterstützen zudem Ausgabenlimits und pro dApp festgelegte Genehmigungsobergrenzen, die einschränken, was eine bösartige Genehmigung anrichten kann, selbst wenn du sie einmal signierst.

Keine dieser Gewohnheiten ist eine Garantie, und niemand sollte sie als solche behandeln. Drainer-Betreiber passen sich an, und immer neue Genehmigungsmuster tauchen auf. Doch der Unterschied zwischen einem aufmerksamen und einem unaufmerksamen Nutzer ist beim erwarteten Verlust groß genug, um den Aufwand zu rechtfertigen.

Wie du die Drainer-Ökonomie kritisch verfolgst

Die Drainer-Ökonomie bewegt sich schnell, und die Nachrichten darüber ebenso. Schlagzeilen vermischen „Krypto-Kriminalität" oft zu einer einzigen Zahl, obwohl der Großteil der jüngsten Verluste auf Phishing zurückgeht und nicht auf Börsen-Hacks; diese Zahl mit Kontext zu lesen, ist entscheidend. Zippfeed stellt sicherheitsmarkierte Schlagzeilen mit Sentiment-Bewertung (bullish, neutral oder bearish) und einer Wichtigkeitsstufe bereit, damit du echte Protokollrisiken von marketinggetriebener Panik unterscheiden und auf die Geschichten reagieren kannst, die tatsächlich Auswirkungen auf deine Wallet haben.