Preise werden geladen…
Zipp Zipp Werben
Registrieren Anmelden

Was ist ein Wallet Drainer? Approval Phishing erklärt

Wallet Drainer sind das dominante On-Chain-Diebstahls-Tool von 2024-2026 — bösartige Smart Contracts, die eine Wallet leeren, sobald du eine einzige harmlos aussehende Approval signierst. Hier ist, wie sie funktionieren, die millionenschweren Vorfälle und wie man einen stoppt, bevor du signierst.

security Zipp · 9 Minuten Lesezeit ·
Was ist ein Wallet Drainer? Approval Phishing erklärt

Warum das wichtig ist

Wenn du 2024-2026 von einer Wallet liest, die "mit einer einzigen Signatur" geleert wurde, ist der technische Mechanismus fast immer ein Wallet Drainer. Das Muster dominiert, weil es für Angreifer außergewöhnlich kosteneffizient ist: schreibe den Contract einmal, klebe ihn hinter ein Dutzend Phishing-Seiten und Anzeigen, warte. Drainer-as-a-Service-Kits — Pink Drainer, Inferno Drainer, Angel Drainer, Pussy Drainer, andere — liefern Contract und Infrastruktur an jeden mit einem Phishing-Kit, wobei der Kit-Betreiber 20-30% der gestohlenen Mittel nimmt. Chainalysis und SlowMist berichten konsistent, dass Drainer seit 2023 jedes Jahr für hunderte Millionen Dollar Retail-Verluste verantwortlich waren.

Die gute Nachricht: jeder Drainer-Angriff erfordert eine menschliche Aktion — eine Transaktion zu signieren, die der Nutzer eigentlich nicht machen wollte. Sobald du die Form dieser Signatur-Anfrage verstehst, kannst du sie ablehnen.

Wenn du häufige Krypto-Betrugsmaschen noch nicht gelesen hast, deckt diese Seite die breitere Scam-Landschaft ab; diese hier ist der technische Deep Dive zum aktivsten Einzel-Angriffsmuster.

Wie ein Wallet Drainer tatsächlich funktioniert

Die kanonische Angriffskette:

  1. Köder. Opfer besucht eine Phishing-Seite — Fake-NFT-Mint, Fake-Airdrop-Claim, Fake-DEX, Fake-"Migration"-Seite für ein echtes Protokoll, manchmal über eine Google-Anzeige oder einen gehackten verifizierten Twitter-Account.
  2. Wallet-Verbindung. Die Seite bittet den Nutzer, die Wallet zu verbinden. Reines Verbinden verliert keine Mittel; es teilt nur die Wallet-Adresse. Das ist die Social-Engineering-Rampe.
  3. Bösartige Signatur-Anfrage. Innerhalb von Sekunden löst die Seite ein Wallet-Popup aus. Das Popup fragt den Nutzer, eine von mehreren täuschenden Transaktionen zu signieren: unbegrenzte ERC-20-Approval, Permit/Permit2-Signatur, setApprovalForAll für NFTs oder einen direkten Transfer, als "Claim"-Aufruf getarnt.
  4. Drainer zieht Mittel. Einmal signiert, ruft der Drainer-Contract sofort das genehmigte transferFrom auf (oder führt das signierte Permit aus) und bewegt die Tokens der Wallet zum Angreifer. Bei unbegrenzten Approvals kann der Drainer wochenlang ruhen und drainen, wenn der Wallet-Bestand wächst.
  5. Mittel gewaschen. Innerhalb von Minuten werden gestohlene Mittel aufgeteilt, zu ETH geswapt, durch Tornado Cash oder einen ähnlichen Mixer geleitet, auf eine andere Chain gebrückt oder an eine zentralisierte Börse gesendet.

Die ganze Sequenz — von der Nutzer-Signatur bis zu Mitteln in der Wallet des Angreifers — dauert oft unter 30 Sekunden. Es gibt keinen "Rückgängig"-Button auf einer Blockchain.

Die spezifischen Signaturtypen, die Drainer ausnutzen

Unbegrenzte ERC-20-Approval

Die häufigste. Standard-DeFi-Protokolle fragen Token-Approvals an (z.B. Uniswap braucht Erlaubnis, deinen USDC auszugeben). Drainer fragen auch Approval an — aber für einen beliebigen Betrag (oft type(uint256).max — "unbegrenzt") und an den Drainer-Contract gewährt, nicht an eine bekannte DEX. Einmal gewährt, kann der Drainer transferFrom aufrufen und jeden Token dieses Typs in deiner Wallet bewegen. Der Nutzer sieht etwas wie "USDC für [Spender] genehmigen" und signiert — der Spender ist der Drainer.

Permit-/Permit2-Signaturen

EIP-2612 "Permit" lässt einen Nutzer eine Token-Approval ohne Gas-Bezahlung erteilen — nur eine Off-Chain-Signatur, die jemand anderes (der Spender) später On-Chain einreichen kann. Uniswaps Permit2 generalisierte das auf mehrere Tokens und Multi-Protokoll-Nutzung. Drainer lieben Permit-Signaturen, weil sie in vielen Wallets wie harmlose "Sign-in"-Anfragen aussehen und viele Nutzer nicht erkennen, dass ein signiertes Permit Wochen später ausgeführt werden kann.

setApprovalForAll für NFTs

ERC-721- und ERC-1155-NFT-Kollektionen haben eine Funktion setApprovalForAll, die Erlaubnis erteilt, jedes NFT in einer Kollektion zu bewegen. Drainer, die wertvolle NFT-Wallets ins Visier nehmen, fragen diese Signatur als "Claim"-, "Verify"- oder "Reveal"-Aktion getarnt an. Einmal signiert, kann jedes NFT in der Zielkollektion transferiert werden.

Direkter Transfer als Claim getarnt

Weniger subtil, aber immer noch effektiv: ein Fake-"Claim"- oder "Migrate"-Button ruft eine Funktion auf, deren Name harmlos ist, deren Payload aber tatsächlich ein Transfer des gesamten ETH der Wallet (oder eines bestimmten Tokens) an den Drainer ist. Das Wallet-Popup zeigt die Transaktion, die Tokens sendet; Nutzer, die ohne Lesen signieren, übersehen das.

Signierte Nachrichten und EIP-712-Signaturen

Einige Drainer nutzen Signaturen strukturierter Daten (EIP-712), die wie Login- oder Off-Chain-Vereinbarungs-Nachrichten aussehen. Die signierte Nachricht ist tatsächlich eine Meta-Transaktion, die der Drainer On-Chain weiterleitet, um Mittel zu extrahieren. Schwerer zu erkennen, weil Wallets die Signatur oft als menschenlesbares Objekt zeigen statt als klare "Mittel senden"-Warnung.

Bemerkenswerte Drainer-Vorfälle 2024-2026

Allein Inferno Drainer wurde gemeldet, über 80 Millionen Dollar von Zehntausenden Opfern gestohlen zu haben, bevor er Ende 2023 seinen Rückzug verkündete — ein Service, der fast sofort durch Klone ersetzt wurde. Pink Drainer setzte 2024 fort und stahl gemeldete Beträge im Bereich 70M$+ aus vielen Vorfällen, darunter eine hochrangige Kompromittierung bekannter Krypto-Twitter-Accounts, die bösartige Links verbreiteten. Angel Drainer wurde 2024-2025 mit mehreren Wallets-as-a-Service-Kampagnen verbunden, einschließlich bot-vermittelter DM-Angriffe auf Discord-Server.

Einzelvorfälle umfassten millionenschwere Diebstähle aus Einzel-Wallets, die eine Approval signierten — ein bemerkenswerter Fall 2024 sah 69 Millionen Dollar in WBTC mit einem einzelnen Adress-Spoofing-Angriff bewegt, der einen Drainer mit einer Adress-Vergiftungs-Trick kombinierte. Die Kategorie ist groß genug, dass On-Chain-Analytics-Firmen aggregierte Drainer-Wallet-Bewegungen als Frühindikator dafür verfolgen, welche Seiten und Twitter-Accounts derzeit bösartig sind.

Rote Flaggen / Checkliste vor dem Signieren

Jeder Drainer-Treffer hängt letztlich davon ab, dass ein Nutzer eine spezifische Transaktion signiert. Eine dieser als Standard-Rote-Flagge zu behandeln, vermeidet die große Mehrheit der Vorfälle:

  • Die Seite ist eine, die du über Suche, Anzeige, DM oder gepinnten Tweet erreicht hast — kein Bookmark. Drainer leben in gesponserten Anzeigen und "verifizierten" gehackten Accounts. Gebookmarkte URLs drainen fast nie.
  • Die Signatur ist für eine unbekannte Spender-Adresse. Approvals an bekannte Protokolle (Uniswap, Aave, Curve) sind normal. Approvals an Adressen ohne Contract-Verifikation, ohne Etherscan-Label, ohne Track Record sind es nicht.
  • Die Signatur ist für einen unbegrenzten (uint256.max) Betrag. Moderne Wallets (MetaMask, Phantom, Rabby) flaggen das. Begrenze Approvals auf den spezifischen Betrag, den du brauchst, nicht den Default "unbegrenzt".
  • Das Popup ist eine "Signatur" statt einer Transaktion. Permit- und EIP-712-Signaturen kosten kein Gas und fühlen sich wie ein Klick-Through-Login an — aber es sind gaslose Autorisierungen, die on-chain weitergeleitet werden können, um Mittel zu bewegen. Viele Wallets zeigen jetzt explizite Warnungen für bekannte bösartige Permit-Muster; lies sie.
  • Die Seite drängt auf einen "Claim"- oder "Verify"- oder "Migration"-Button. Echte Claims kommen meist von der offiziellen URL des Projekts, im Voraus gebookmarkt. Neue Seiten mit Claim-Buttons sind 95% der Drainer-Oberfläche.
  • Dringliches Timing. "Nur 24 Stunden", "begrenzte Plätze", "Notfall-Migration vor Deprecation" — Drainer laufen auf Dringlichkeit.
  • Die Wallet-Popup-Transaktionsdetails sehen falsch aus. Wenn da steht "sende 1,4 ETH", wenn du erwartet hast, ein kostenloses NFT zu erhalten, lehne ab. Moderne Wallets und Tools wie Wallet Guard, Pocket Universe und Blockaid annotieren Transaktionen mit Risikohinweisen — achte darauf.

Was tun, wenn du signiert hast

Hast du eine Drainer-Transaktion signiert, zählt jede Sekunde. Standard-Drehbuch:

  1. Bewege jeden anderen Token sofort. Hast du noch NFTs oder andere Assets in der Wallet, sende sie sofort an eine frische Wallet. Der Drainer ist meist gescriptet, zuerst die wertvollsten Tokens zu nehmen, dann Staub zu wischen.
  2. Widerrufe alle Approvals auf der kompromittierten Wallet. Nutze revoke.cash oder den eingebauten Approval-Manager deiner Wallet, um jede aktive Token-Approval (und NFT-setApprovalForAll) zu widerrufen. Das ist die einzige Möglichkeit, einen schlafenden Drainer zu stoppen, der unbegrenzt genehmigt hat und auf neue Einzahlungen wartet.
  3. Verbrenne die Wallet für jede sinnvolle zukünftige Nutzung. Hast du eine unbegrenzte Approval signiert und widerrufst nur einige, kann der Drainer trotzdem neu ankommende Tokens drainen. Der sichere Zug ist, die Wallet für die betroffenen Token-Klassen komplett aufzugeben — idealerweise für alles.
  4. Dokumentiere. Screenshote die Seite, das Wallet-Popup, den Transaktions-Hash. Du brauchst das für jeden Bericht.
  5. Melde die Drainer-Adresse Chain-Analytics. Chainalysis, TRM Labs, SlowMist und Etherscan akzeptieren Meldungen. Die Adresse wird für zentralisierte Börsen geflaggt — gelegentlich werden Drainer-Wallets beim Cashout eingefroren und geben einen kleinen Bruchteil zurück.
  6. Akzeptiere keine "Recovery"-Angebote. Innerhalb von Stunden nach einem Drainer-Treffer bekommst du DMs, die anbieten, deine Mittel gegen Gebühr zurückzubekommen. Das sind selbst Scams. Kein legitimer bezahlter Service kann einen Blockchain-Transfer rückgängig machen.

Wie du geschützt bleibst

  • Nutze eine Hardware-Wallet für nennenswerte Bestände. Hardware-Wallets zwingen dich, die tatsächliche Transaktion (oder Signatur) auf einem kleinen Bildschirm zu lesen, den der Angreifer nicht erreichen kann. Die Spender-Adresse und den Betrag auf dem Gerät zu lesen, ist die einzelne effektivste Drainer-Abwehr.
  • Operiere mit heiß/kalt-Aufteilung. Halte eine separate kleine Interaktions-Wallet für neue Seiten und DeFi-Exploration. Halte Hauptbestände in einer Hardware-Wallet, die nur Transaktionen bekannter Protokolle signiert.
  • Bookmarke offizielle URLs und nutze sie. Erreiche niemals eine Wallet, Börse, Mint- oder Claim-Seite über Suche, Anzeige, DM oder Social Link. Drainer ranken über echten Domains in Google-Anzeigen und in kompromittierten "verifizierten" Twitter-Posts.
  • Auditiere und widerrufe Approvals alle paar Monate. Nutze revoke.cash für EVM-Chains, ähnliche Tools für Solana. Eine alte Approval an eine längst vergessene dApp ist eine Hintertür, die existiert, bis du sie schließt. Mach das zur Gewohnheit.
  • Setze begrenzte Approvals, nicht unbegrenzte. MetaMask, Phantom und Rabby lassen dich einen benutzerdefinierten Approval-Betrag wählen. Wähle "den Betrag, den ich jetzt brauche", nicht "unbegrenzt" — auch bei legitimen Protokollen.
  • Installiere Transaktions-Analyse-Erweiterungen. Wallet Guard, Pocket Universe, Blockaid, Fire — diese inspizieren Transaktionen client-seitig und warnen vor bekannten Drainer-Mustern, bevor du signierst. Sie sind nicht perfekt, fangen aber die große Mehrheit konservierter Angriffe.
  • Behandle jede Signatur-Anfrage so, als koste sie deinen ganzen Bestand. Die meisten tun das nicht, aber die wenigen, die es tun, verhalten sich wie der Rest, bis du genau hinsiehst. Default-Deny und lies erneut, bis etwas genau das sagt, was du erwartest.

Für die breitere Scam-Taxonomie und operative Gewohnheiten siehe häufige Krypto-Betrugsmaschen; für die Speicher-Architektur, die Mittel schützt, selbst wenn eine Hot Wallet geleert wird, siehe wie man Krypto sicher aufbewahrt und beste Krypto-Wallets 2026.

Beobachte die Drainer-Kampagnen, beobachte die Nachrichten

Drainer-Kits rotieren wöchentlich durch Kampagnen — eine neue bösartige URL geht auf einem gehackten Twitter-Account live, die offizielle Seite einer NFT-Kollektion wird kompromittiert, eine Google-Anzeige pusht einen Fake-Phantom-Installer. Diese treffen typischerweise die Sicherheits-Presse Stunden, bevor sie deine Timeline treffen. Zippfeed verfolgt Sicherheits- und Major-Token-Schlagzeilen mit Sentiment- und Wichtigkeitsbewertung, sodass du aktive Drainer-Kampagnen und kompromittierte Infrastruktur früh siehst — nützlich, ob du eine Hot Wallet für DeFi betreibst, einen neuen Mint bewertest oder einfach wissen willst, welche Bedrohungen der Woche extra Vorsicht verdienen.

Häufig gestellte Fragen

Was ist ein Wallet Drainer?
Ein Wallet Drainer ist ein bösartiger Smart Contract — meist gepaart mit einer Phishing-Seite — der eine Wallet leert, sobald ein Nutzer eine einzige täuschende Transaktion signiert. Die Transaktion ist typischerweise eine Token-Approval, eine Permit-Signatur oder ein NFT-setApprovalForAll, das dem Drainer Erlaubnis gibt, Mittel zu bewegen. Sie waren das dominante On-Chain-Diebstahls-Muster 2024-2026 und stahlen jedes Jahr hunderte Millionen.
Wie funktioniert Approval Phishing?
Ein Nutzer besucht eine Phishing-Seite, die ihn bittet, seine Wallet zu verbinden und dann eine Transaktion oder Signatur zu signieren. Die Transaktion sieht aus wie ein Klick-Through, ist aber tatsächlich eine unbegrenzte ERC-20-Approval, ein Permit oder ein setApprovalForAll. Einmal signiert, nutzt der Drainer-Contract diese Erlaubnis, um Tokens aus der Wallet zu transferieren — manchmal sofort, manchmal Wochen später, wenn der Wallet-Bestand wächst.
Wie erkenne ich, ob eine Transaktion ein Wallet-Drainer-Versuch ist?
Rote Flaggen: die Spender-Adresse ist unbekannt oder unverifiziert, der Approval-Betrag ist "unbegrenzt" (uint256.max), das Popup ist eine gaslose Permit-Signatur statt einer normalen Transaktion, die Seite nutzt Dringlichkeitssprache ("claime vor morgen"), oder du hast die Seite über Anzeige / DM / gepinnten Tweet statt eines bekannten Bookmarks erreicht. Browser-Erweiterungen wie Wallet Guard, Pocket Universe und Blockaid annotieren bekannte Drainer-Muster.
Was tue ich, nachdem ich eine Wallet-Drainer-Transaktion signiert habe?
Bewege verbleibende Tokens oder NFTs sofort in eine neue Wallet, dann nutze revoke.cash (oder den Approval-Manager deiner Wallet), um jede aktive Approval und setApprovalForAll auf der kompromittierten Wallet zu widerrufen. Wurde ein Permit signiert, kann es nicht immer widerrufen werden, also ist der sicherere Zug, die Wallet komplett für die betroffenen Token-Klassen aufzugeben. Dokumentiere und melde die Drainer-Adresse, aber zahle nicht für irgendeinen "Recovery-Service" — die sind selbst Scams.

Verwandte Leitfäden