Adressvergiftungsbetrug: So funktioniert er und wie man sich davor schützen kann
Stellen Sie sich vor, Sie senden Kryptowährung wie gewohnt. Sie öffnen Ihre Wallet, werfen einen Blick auf Ihre Transaktionshistorie, kopieren die Adresse, die Sie schon dutzende Male verwendet haben, fügen sie ein und klicken auf „Senden“. Die Überweisung wird innerhalb von Sekunden bestätigt. Das Problem: Das Geld ist gerade bei einem Fremden gelandet, der Rechenleistung investiert hat, um eine Adresse zu erstellen, die Ihrer zum Verwechseln ähnlich sieht. Die Blockchain hat genau das getan, was Sie ihr gesagt haben. Das ist, kurz gesagt, Adressvergiftung: keine gestohlenen Schlüssel, keine Schadsoftware, nur eine gefälschte Version Ihrer Person, die in Ihren eigenen Daten platziert wurde. Dieser Leitfaden erklärt, wie der Betrug funktioniert, welche drei Formen er annimmt, wie viel Geld die Betroffenen tatsächlich verlieren und welche Verhaltensweisen Sie beachten sollten, um Adressvergiftungsbetrug zu verhindern, bevor Sie Ihr Geld an den falschen Empfänger senden.
Was ist eigentlich Adressvergiftung?
Address Poisoning ist ein Phishing-Angriff, der auf Ihren Speicher und Ihre Bildschirmanzeige abzielt, nicht auf die zugrundeliegende Kryptografie. Ihre privaten Schlüssel bleiben unberührt. Nichts wird ausgelesen, entschlüsselt oder gehackt. Stattdessen nutzt diese Masche eine menschliche Angewohnheit aus: Eine Blockchain-Adresse ist eine lange, unleserliche Aneinanderreihung von Buchstaben und Zahlen (etwa 0x4a3f...c91d), und fast niemand liest sie komplett. Wir prüfen die ersten vier Zeichen, die letzten vier, zucken mit den Schultern und machen weiter.
Dieses Achselzucken ist die ganze Schwachstelle. Erzeugt man eine Adresse mit diesen sichtbaren Zeichen und gibt sie jemandem, der ihr bereits vertraut, besteht eine gute Chance, versehentlich bezahlt zu werden. Das Grausame daran ist, was danach kommt. On-Chain-Transfers sind endgültig, es gibt also keine Bank, die man kontaktieren könnte, und keine rückgängig zu machende Transaktion; sobald man die Transaktion bestätigt, gehört das Geld jemand anderem. Versicherungen und Rückbuchungen, die Sicherheitsnetze, die im traditionellen Finanzwesen üblich sind, existieren hier schlichtweg nicht. Adressvergiftung zerstört nicht die Blockchain. Sie lenkt die Aufmerksamkeit ab und lässt die Blockchain dann genau das tun, was man übersehen hat.
Wie Address Poisoning in der Kryptographie funktioniert
Obwohl das Ergebnis wie Magie wirkt, ist der Mechanismus banal. Ein erfolgreicher Adressvergiftungsangriff läuft in drei Schritten ab, die jeder, der die Abfolge studiert, nachvollziehen kann.
Schritt 1: Generieren einer ähnlichen Adresse
Zuerst wählt der Angreifer ein Ziel aus, üblicherweise eine Adresse, über die häufig Geld transferiert wird, und verwendet dann einen Generator für sogenannte Vanity-Adressen. Die Software durchsucht unzählige Schlüsselpaare, bis sie eines findet, dessen Adresse mit denselben Zeichen beginnt und endet wie eine Adresse, an die das Opfer regelmäßig Geld sendet. Das Abgleichen einiger weniger Zeichen ist kostengünstig, und genau das ist das Problem: Nachdem das Fusaka-Upgrade von Ethereum die Gebühren gesenkt hatte, ergab eine Analyse, dass Angreifer drei Millionen Dust-Transfers für insgesamt etwa 5.175 US-Dollar durchführten. Bei solchen Preisen läuft das Poisoning wie am Fließband, nicht wie ein kleiner Raubüberfall.
Schritt 2: Manipulation Ihrer Transaktionshistorie
Als Nächstes platziert der Angreifer diese gefälschte Adresse in Ihren Aufzeichnungen, sodass sie wie eine bereits bekannte Transaktion aussieht. Er sendet Ihnen möglicherweise einen kleinen Betrag eines echten Tokens, löst eine Überweisung ohne Wert aus oder übermittelt Ihnen einen gefälschten Token. Unabhängig von der Vorgehensweise ist das Ziel dasselbe: Die gefälschte Adresse soll neben der echten Adresse in Ihrem Transaktionsverlauf erscheinen und dieselben Anfangs- und Endzeichen aufweisen.
Schritt 3: Die Kopier- und Einfügfalle
Dann warten sie. Wenn Sie das nächste Mal an Ihren üblichen Empfänger zahlen, kopieren Sie aus Bequemlichkeit die Adresse direkt aus Ihrem Transaktionsverlauf. Die sichtbaren Zeichen stimmen überein, nichts wirkt verdächtig, und Sie senden die Zahlung ab. Wenn Sie das unbewusst tun, senden Sie möglicherweise versehentlich Token an die täuschend ähnliche Adresse anstatt an die beabsichtigte. Die Blockchain führt die Überweisung korrekt aus, nur eben an den falschen Empfänger. Deshalb wird Address Poisoning auch als Copy-and-Paste-Falle bezeichnet und funktioniert bei vorsichtigen, erfahrenen Nutzern genauso gut wie bei Anfängern. Die Effektivität liegt im Timing: Der Poisoning-Eintrag wird oft innerhalb weniger Minuten nach einer echten Transaktion eingefügt, sodass die gefälschte Adresse genau dort erscheint, wo Sie die echte erwarten. Sie sind nicht so sehr unvorsichtig, sondern einfach effizient – und genau auf diese Effizienz spekuliert der Angreifer.
Die drei Arten der Adressvergiftung
Eine 2025 von der Carnegie Mellon University durchgeführte Studie unterteilte reale Angriffe in drei Kategorien. Sie unterscheiden sich darin, wie die gefälschte Adresse platziert wird, was wiederum Auswirkungen darauf hat, welchen Einträgen in Ihrem Browserverlauf Sie misstrauen sollten.
| Typ | Wie die gefälschte Adresse angebracht wird | Das verräterische |
|---|---|---|
| Winziger (Staub-)Transfer | Ein realer, aber winziger symbolischer Betrag wurde von der täuschend echt aussehenden Adresse gesendet. | Ein geringfügiger, unerwarteter Geldsegen |
| Nullwertübertragung | Eine Überweisung von „0“ Token, die dennoch als Überweisungsereignis in Ihrem Verlauf aufgezeichnet wird. | Zeigt Ihre eigene Adresse als Absender an, Wert 0 |
| Gefälschte Münze | Ein gefälschter Vertrag, der einen echten Token nachahmt (ein gefälschter USDT oder USDC) | Der Token-Name scheint korrekt zu sein, die Vertragsadresse jedoch nicht. |
Von den drei Varianten ist die Überweisung mit Nullwert diejenige, die die meisten Nutzer verwirrt, da sie scheinbar von der eigenen Adresse stammt. Dies ist möglich, weil manche Token-Verträge es jedem erlauben, ohne Zustimmung des Eigentümers ein „Transfer“-Ereignis für null Token auszulösen. Der Angreifer erstellt dann einen entsprechenden Eintrag, der in der Wallet korrekt angezeigt wird. Historisch gesehen verzeichnete die BNB Smart Chain aufgrund niedrigerer Gebühren deutlich mehr Angriffsversuche als Ethereum. Die Gebührensenkung durch Fusaka hat dies jedoch umgekehrt und den Großteil der Aktivitäten auf Ethereum verlagert.
Wie viel Geld durch Adressvergiftung gestohlen wird
Address Poisoning klingt nach einem unbedeutenden Rundungsfehler, bis man die Zahlen genauer betrachtet. Die folgenden Zahlen sind absichtlich datiert, denn in diesem Bereich der Kryptowelt ändern sich die Zahlen rasant, und die Gesamtzahlen des letzten Jahres unterschätzen das Problem erheblich.
| Fall oder Maß | Menge | Wann | Ergebnis |
|---|---|---|---|
| Carnegie Mellon / USENIX Studium (ETH + BSC) | 270 Millionen Versuche, 83,8 Millionen Dollar Verlust, 17 Millionen Opfer | Juli 2022 bis Juni 2024 | Größte Studie bis dato |
| Eingewickelter Bitcoin-Wal | Rund 68 Millionen Dollar an Doppelgänger überwiesen | Mai 2024 | Gelder zurückerstattet; Angreifer erbeutete ca. 1,49 Mio. US-Dollar. |
| Einzelnes USDT-Opfer | 49,9 Mio. US-Dollar | Dezember 2025 | Durch Tornado Cash gewaschen |
| Ethereum-Verluste (ScamSniffer) | 62 Millionen US-Dollar | Dezember 2025 bis Januar 2026 | Gesamtsumme der beiden Monate |
Einige dieser Fälle verdienen besondere Beachtung. Das Opfer des Angriffs auf Wrapped Bitcoin, das im Mai 2024 beinahe 68 Millionen US-Dollar verloren hätte, erhielt sein Geld tatsächlich zurück, da der Angreifer (nach Geldwäsche und Verhandlungen) den Großteil zurückgab und mit etwa 1,49 Millionen US-Dollar verschwand. Die Ermittler brachten diese einzelne Kampagne später mit 82.031 gefälschten Adressen in Verbindung. So viel Glück hat fast niemand. Das Opfer des Angriffs auf USDT im Dezember 2025 musste mit ansehen, wie das Geld spurlos in Tornado Cash verschwand – ohne Rückgaberecht und ohne Möglichkeit, es zurückzuerhalten.
Der Trend ist das wirklich Besorgniserregende. Nachdem das Fusaka-Upgrade die Ethereum-Gebühren senkte, schnellten die monatlichen Manipulationsversuche im Netzwerk um mehr als das Fünffache in die Höhe. Im Januar 2026 wies Citi darauf hin , dass der Rekord von 2,8 Millionen Transaktionen pro Tag bei Ethereum größtenteils auf Spam-Angriffe und nicht auf tatsächliche wirtschaftliche Nutzung zurückzuführen war. Anfang des Jahres 2020 schätzte die Branche die kumulierten Verluste auf rund eine halbe Milliarde Dollar. Was mich beunruhigt, ist nicht die Raffinesse des Betrugs, sondern der Preis dafür: Ein paar Tausend Dollar an Gebühren ermöglichen Millionen von Angriffsversuchen, und dem Angreifer reicht ein einziger erfolgreicher Versuch.
Vergiftung vs. Spoofing vs. IP-Vergiftung
Der Begriff „Vergiftung“ wird für sehr unterschiedliche Angriffe verwendet, daher ist es hilfreich, sie zu unterscheiden. Adressvergiftung, um die es hier geht, ist der Kryptobetrug, bei dem eine gefälschte Adresse in Ihrem Verlauf platziert wird. Adress-Spoofing ist ein umfassenderer Begriff und bedeutet in der Regel, den scheinbaren Absender einer Nachricht oder Transaktion zu fälschen, um sich als jemand anderes auszugeben. Und „IP-Vergiftung“, nach der manchmal irrtümlich gesucht wird, bezieht sich auf Netzwerkangriffe wie ARP- oder DNS-Cache-Vergiftung, die nichts mit Krypto-Wallets zu tun haben. Dasselbe Verb, drei völlig unterschiedliche Bereiche.
Wie man sich vor Adressvergiftung schützt
Fast alle Schutzmaßnahmen gegen Adressvergiftung lassen sich auf eine Regel reduzieren: Vertrauen Sie niemals Ihrer eigenen Transaktionshistorie und kopieren Sie niemals Adressen direkt daraus. Die gefälschte Adresse befindet sich genau dort, weil Sie dort suchen. Verinnerlichen Sie diese Regel, und der Angriff ist größtenteils wirkungslos.
Überprüfen Sie die vollständige Adresse, niemals nur Vor- und Nachnamen.
Überprüfen Sie die gesamte Zeichenkette oder zumindest einen großzügigen Abschnitt aus der Mitte und den Enden. Angreifer können die ersten und letzten Zeichen leicht abgleichen, aber einen längeren Abschnitt in der Mitte zu finden, ist deutlich schwieriger. Die meisten modernen Wallets verwenden den EIP-55-Prüfsummenstandard, und neuere Darstellungskonventionen heben mehr von der Adresse hervor, sodass Abweichungen leichter erkennbar sind.
Verwenden Sie ein Adressbuch, kopieren Sie niemals aus dem Verlauf.
Speichern Sie die Adresse jedes Empfängers nur einmal, nachdem Sie sie von einer vertrauenswürdigen Quelle verifiziert haben. Senden Sie Zahlungen fortan von diesem gespeicherten Kontakt, anstatt Adressen aus den letzten Transaktionen zu kopieren. Wallets wie MetaMask nennen dies „Kontakte“; das Prinzip ist überall dasselbe. Der gespeicherte Eintrag kann durch eingehende Überweisungen nicht verfälscht werden – und genau darum geht es.
Testtransaktionen, Hardware-Bildschirme und Auszahlungsberechtigungslisten
Bei größeren Beträgen sollten Sie zunächst einen kleinen Testbetrag senden und die Empfängeradresse überprüfen, bevor Sie den Rest überweisen. Die wenigen Cent Gebühren sind eine günstige Versicherung gegen einen Fehler im siebenstelligen Bereich. Hardware-Wallets sind hier ebenfalls hilfreich, da sie das tatsächliche Ziel auf einem separaten Bildschirm anzeigen, den Schadsoftware auf Ihrem Computer nicht unbemerkt überschreiben kann. Unternehmen mit häufigen Krypto-Auszahlungen sind besonders gefährdet, da sie den ganzen Tag Adressen kopieren und einfügen und diese Aufgabe oft an Mitarbeiter delegieren, die möglicherweise noch nie etwas von Adressvergiftung gehört haben. Die Sperrung von Auszahlungen auf eine vorab genehmigte Liste (eine feste Liste geprüfter Ziele, von der das System nicht abweicht) schließt menschliche Fehler vollständig aus. Wenn Sie Krypto-Zahlungen über ein Zahlungsgateway akzeptieren, prüfen Sie, ob dieses Auszahlungsadressen aus genau diesem Grund bereits sperrt.
Was Wallets und Börsen tun
Die Tools werden immer besser, ersetzen aber nicht die oben genannten Gewohnheiten. Block-Explorer wie Etherscan blenden nun Überweisungen mit Nullwert aus oder kennzeichnen sie, damit diese nicht unnötig Ihren Verlauf belasten. Ledger Live und Trezor Suite filtern verdächtige Einträge, und Trust Wallet hat im März 2026 einen automatischen Schutz vor Adressvergiftung für 32 Blockchains eingeführt . Zentralisierte Börsen bergen ein eigenes Risiko, da Nutzer dieselbe Einzahlungsadresse wiederholt verwenden. Ein manipulierter Eintrag kann dort genauso teuer werden. Auch diese Maßnahmen bieten keine absolute Sicherheit – ein entschlossener Angreifer kann immer noch eine neue, täuschend ähnliche Adresse an einem Filter vorbeischmuggeln, der sie noch nicht erkannt hat. Die Tools bieten Ihnen also eher zusätzliche Sicherheit als absolute Immunität. Betrachten Sie all diese Funktionen als Sicherheitsnetz, das durch Ihre eigene Vorsicht ergänzt wird, niemals als Ersatz dafür.
Wer wird ins Visier genommen, und was ist die Quintessenz?
Man könnte meinen, nur unvorsichtige Neulinge fallen darauf herein, doch die Daten belegen das Gegenteil. Die größten Verluste erleiden aktive, erfahrene Absender und Unternehmen – also genau diejenigen, die regelmäßig Geld überweisen und sich angewöhnt haben, Adressen schnell und ohne zweimal hinzusehen einzufügen. Adressmanipulation ist kostengünstig, wenn sie gelingt, endgültig und basiert vollständig auf einer Gewohnheit, die fast jeder von uns teilt. Genau das macht sie zu einer so hartnäckigen Betrugsmasche. Aufklärung ist hier der Schlüssel zum Erfolg, denn sobald man die Falle kennt, genügt die einfache Überprüfung einer vollständigen Adresse, um sie zu entschärfen. Die eigentliche Frage ist nicht, ob man den Betrug versteht. Sondern ob man ihn mitten in der Nacht auf dem Handy bemerken würde, wenn man jemandem Geld überweist, dem man schon hundertmal Geld gegeben hat.
