Was ist ein Wallet-Drainer? Wie funktionieren Krypto-Drainer?
Sie müssen Ihre Seed-Phrase nicht preisgeben, um alles zu verlieren. Bei einem Wallet-Drainer verlieren Sie sie, indem Sie auf „Genehmigen“ klicken. Stellen Sie sich eine seriöse Website vor, die einen kostenlosen Airdrop anbietet. Sie verbinden Ihre Wallet, ein Signaturfeld erscheint, Sie tippen auf „Bestätigen“, weil das jede dApp verlangt, und Sekunden später sind Ihre Kryptowährungen und NFTs verschwunden. Kein Passwort wurde gestohlen. Kein Gerät wurde gehackt. Sie haben den Diebstahl selbst autorisiert, in der Regel mit einer Signatur, die keine Gebühren verursachte und völlig harmlos aussah. Das ist der ganze Trick, und er funktionierte gut genug, um allein im Jahr 2024 494 Millionen Dollar zu stehlen.
Dieser Leitfaden erklärt, was ein Wallet-Drainer ist, wann genau der Diebstahl stattfindet, wie die Kriminellen daraus eine kostenpflichtige Dienstleistung gemacht haben, wie viel sie erbeuten und welche zwei Gewohnheiten fast alle von ihnen stoppen.
Was ein Geldfresser ist und warum er funktioniert
Ein Wallet-Drainer ist keine Schadsoftware, die unbemerkt auf Ihrem Computer lauert. Es handelt sich um einen bösartigen Smart Contract oder ein Skript, eine der schädlichen dApps, die Web3 derzeit heimsuchen. Diese tarnen sich als harmlose Anwendung, verleiten Sie dazu, Zugriff zu gewähren, und stehlen dann im selben Moment Ihre Vermögenswerte. Wallet-Drainer sind fast ausschließlich im Bereich der dezentralen Finanzen (DeFi) aktiv – dort werden Geldtransaktionen per Signatur statt per Login abgewickelt, und Ihre Kryptowährung und andere Krypto-Assets sind genau das, worauf sie es abgesehen haben. Der Drainer errät niemals Ihren privaten Schlüssel und knackt niemals Verschlüsselungscodes. Er bringt Sie lediglich dazu, eine Transaktion oder eine Genehmigung zu unterzeichnen, die einem fremden Smart Contract Zugriff auf Ihre Gelder gewährt.
Sobald diese Berechtigung erteilt ist, läuft alles automatisch. Der Angreifer liest Ihre Wallet aus, um Ihre wertvollsten Token, NFTs und andere digitale Vermögenswerte zu finden, erstellt die Überweisung und verschiebt alles an eine vom Angreifer kontrollierte Adresse, oft innerhalb eines einzigen Blocks. Da die Anfrage als normale Web3-Aktion getarnt ist, bemerken die meisten Opfer den Vorfall erst, wenn die Wallet bereits leer ist. Die Gefahr besteht nicht in einem Virus, sondern in einer Berechtigung, die Sie erteilen, ohne sie zu lesen.
Wie ein Geldbeutelfresser Ihr Portemonnaie leert
Jeder Abfluss folgt demselben Muster: Anlocken, Signatur, Abschöpfen. Im mittleren Schritt geht das Geld verloren, und genau diesen Schritt beachtet fast niemand genauer.
Der Köder
Zuerst tappen Sie in die Falle. Betrüger verbreiten gefälschte Airdrops, NFT-Prägungen und Token-Ansprüche und drängen diese dann massiv auf. Sie kapern verifizierte Konten auf Plattformen wie X und posten Links von gestohlenen Social-Media-Konten. Sie versenden Nachrichten in Telegram und Discord und schalten gesponserte Suchanzeigen, damit die gefälschte Seite über der echten erscheint. Ihr Trick besteht immer aus Dringlichkeit, einer begrenzten Anzahl an Prägungen oder einem Anspruch, der bald abläuft. Denn Social Engineering funktioniert am besten, wenn man keine Zeit zum Nachdenken hat. Anders als beim klassischen Phishing, das nach Passwörtern oder Anmeldedaten sucht, benötigt ein Drainer Ihre Daten überhaupt nicht. Er muss Nutzer lediglich zu einer einzigen Handlung verleiten: die Verbindung ihrer Wallets mit der gefälschten Seite und die Bestätigung einer einzigen Anfrage. Genau diese niedrige Hürde ist der Grund, warum sich Drainer so schnell verbreiten und warum selbst vorsichtige Menschen in einem übereilten Moment darauf hereinfallen. Ein Klick genügt, und Sie landen auf einer Kopie, die einem vertrauenswürdigen Projekt täuschend ähnlich sieht und Sie auffordert, Ihre Wallet zu verbinden.
Die Falle ist die Signatur
Das ist der entscheidende Punkt. Wenn Sie zustimmen, melden Sie sich nicht einfach nur an – Sie erteilen eine spezifische Berechtigung, und einige davon sind verheerend. Ein ERC-20 `approve()` kann ein unbegrenztes Kontingent vergeben, sodass ein Smart Contract diesen Token unbegrenzt ausgeben kann. `setApprovalForAll` gibt alle NFTs einer Sammlung auf einmal frei. Am gefährlichsten ist die Offline-Permit- oder Permit2-Signatur. Sie kostet kein Gas. Sie erscheint als einfache Nachricht, nicht als Transaktion. Und sie autorisiert trotzdem eine Überweisung. Genau in diese Falle tappen die meisten: Laut einer Analyse von SlowMist machten Permit-Signaturen im Jahr 2024 56,7 % aller Phishing-Genehmigungen aus, eben weil sie so harmlos aussehen. Angreifer nutzen auch die Upgrades aus und missbrauchen schwer erkennbare Funktionen wie `setOwner` und, direkt nach der Veröffentlichung von Ethereum Pectra, die brandneue EIP-7702-Delegation.
Der Abfluss
Sobald Sie unterschreiben, hat der Betrüger alles, was er braucht, und es gibt keine zweite Bestätigung, die Sie schützen könnte. Das Ziel ist simpel und brutal: Geld stehlen, bevor Sie reagieren können. Ihre Vermögenswerte sind bereits erfasst, daher wird die Überweisung sofort ausgelöst und Ihre Token verlassen das System in einem einzigen Block. Blockchain-Transaktionen sind endgültig. Keine Bank, die kontaktiert werden muss, keine Gebühr, die rückgängig gemacht werden kann. Bis der Airdrop „nicht geladen“ wird, ist die unautorisierte Überweisung bereits in der Blockchain abgewickelt.
| Was Sie unterschreiben sollen | Wie es für dich aussieht | Was es tatsächlich gewährt |
|---|---|---|
| ERC-20 `approve()` | Eine routinemäßige Token-Genehmigung | Unbegrenzte Verwendung dieses Tokens |
| `setApprovalForAll` | "Sammlung genehmigen" | Kontrolle über jedes darin enthaltene NFT |
| Genehmigung / Genehmigung2 | Eine gaslose Signaturnachricht | Übertragungsrechte ohne Spuren in der Blockchain bis zur Verwendung |
| `setOwner` / EIP-7702 | Eine ungewohnte Aufforderung | Inhaberschaft oder Delegation Ihres Kontos |
Drainer-as-a-Service (DaaS): Kriminalität mit einem Dashboard
Die Verbreitung von Drainern wuchs nicht, weil die Angreifer raffinierter wurden. Sie wuchs, weil jemand das Tool zu einem Produkt machte und damit den Diebstahl von Geldbörsen in organisierte Cyberkriminalität mit einer veröffentlichten Preisliste verwandelte.
Wie DaaS funktioniert
Beim „Drainer-as-a-Service“-Modell entwickelt und pflegt ein Anbieter das Wallet-Drainer-Kit und vermietet es an jeden, der Angriffe auf Kryptowährungs-Wallets durchführen möchte. Der Affiliate, oft ein unerfahrener Cyberkrimineller, übernimmt das Phishing. Das Kit kümmert sich um den Diebstahl. Die Beute wird geteilt, und diese Aufteilung entspricht nahezu exakt dem Vorgehen bei Ransomware-Angriffen: Die Entwickler behalten etwa 20 % des gestohlenen Geldes, die Affiliates die restlichen 80 %. Für diesen Anteil erhält der Käufer vorgefertigte Phishing-Seiten, ein Kontroll-Dashboard, Anonymisierungstools und – ja – echten Kundensupport. Selbst ein Teenager, der keine Zeile Code schreiben kann, kann so schon mittags eine professionelle Operation leiten.
Inferno, Pink und die Drehtür
Die Schlagzeilen verdeutlichen das Ausmaß. Inferno Drainer war von Ende 2022 bis Ende 2023 aktiv und erbeutete rund 87 Millionen US-Dollar von über 137.000 Opfern. Die Opfer wurden über mehr als 16.000 Phishing-Domains betrogen, die mindestens 100 Kryptomarken imitierten. Pink Drainer erbeutete etwa 85 Millionen US-Dollar, bevor die Betreiber ihren Rückzug ankündigten. Das Muster ist erkennbar: Sobald ein Team aufgibt, wechseln die Cyberkriminellen zum nächsten Kit, und Inferno selbst kehrt in überarbeiteter Form zurück. Das Ausschalten eines Betreibers bedeutet nicht das Ende des Marktes – der Markt ist der Dienst, nicht der Betrüger.
Wie viel Gelddiebe stehlen
Die Summen sind enorm, schwanken stark und leicht falsch zu interpretieren. Eine einzelne Kampagne, die auf das Ausplündern von Krypto-Wallets abzielt, kann mit einer einzigen Transaktion mehr erbeuten als ein vollständiger Börsenhack, und die jährlichen Zahlen schwanken stark.
Die zuverlässigste Quelle, Scam Sniffer , erfasst die Verluste jährlich. Im Jahr 2023 beliefen sich die Verluste auf rund 295 Millionen US-Dollar bei 324.000 Opfern, stiegen 2024 um 67 % auf 494 Millionen US-Dollar und fielen dann 2025 rapide auf etwa 84 Millionen US-Dollar . Dieser Rückgang mag wie ein Erfolg erscheinen, ist es aber nicht. Er spiegelt hauptsächlich eine geringere Aktivität in der Blockchain und einen geringeren Kit-Umschlag wider, und bereits Anfang 2026 war ein starker monatlicher Anstieg zu verzeichnen. Der größte jemals verzeichnete Verlust belief sich 2024 auf 55,47 Millionen US-Dollar in DAI von einem einzigen Opfer. Unabhängig von den Gesamtsummen verschwindet das gestohlene Krypto auf dieselbe Weise: Es wird innerhalb von Minuten über Mixer und dezentrale Börsen gehandelt, weshalb fast nichts davon zurückkommt.
| Jahr | Von Abflussreinigern gestohlen | Opfer |
|---|---|---|
| 2023 | 295,5 Millionen US-Dollar | Mehr als 324.000 |
| 2024 | 494 Millionen US-Dollar | 332.000 |
| 2025 | 83,85 Millionen US-Dollar | 106.106 |
Und die Opfer sind nicht alle Anfänger. Mark Cuban verlor rund 900.000 US-Dollar an einen Betrüger. Selbst Ethereum-Mitbegründer Vitalik Buterin wurde Opfer eines Hackerangriffs, bei dem sein X-Konto für gefälschte Kryptowährungen missbraucht wurde und so etwa 700.000 US-Dollar von seinen Followern abgezogen wurden. Sollten sie betroffen sein, ist die Grenze zwischen „Ich würde nie darauf hereinfallen“ und „Ich würde nie darauf hereinfallen“ viel dünner, als man denkt.
Warnzeichen für einen Geldbeutel-Verlierer
Die Warnsignale eines Anbieters, der Ihnen das Geld aus der Tasche zieht, deuten fast alle auf eine Forderung hin: Unterschreiben Sie das jetzt sofort. Wenn Sie solche Anzeichen bemerken, seien Sie vorsichtig.
Vorsicht vor Aufforderungen, unbegrenzt Token zu erhalten, wenn Sie lediglich einen einzigen Kauf tätigen wollten. Seien Sie besonders misstrauisch gegenüber Signaturanfragen, die keine Gebühren erheben und eine unlesbare Nachricht anzeigen. Das ist ein typischer Fall von Datendiebstahl ohne Gebühren. Betrachten Sie Aufforderungen wie „Jetzt sichern“, „Nur begrenzte Stückzahl“ und Countdowns als Druckmittel, nicht als Glücksfall. Misstrauen Sie Links in Direktnachrichten oder Telegram-Gruppen. Greifen Sie niemals über gesponserte Suchanzeigen auf eine dezentrale Anwendung (dApp) zu, da Betrüger dort regelmäßig die echten Projekte überbieten, um die Spitzenposition zu ergattern. Überprüfen Sie immer die genaue Domain, denn eine Domain mit nur einem vertauschten Buchstaben ist der älteste Trick betrügerischer Webseiten – und immer noch wirksam.
Wie Sie Ihr Portemonnaie vor Betrügern schützen
Sie müssen nicht jeden neuen Exploit verfolgen. Zwei langweilige Gewohnheiten verhindern von selbst fast jeden Datenverlust.
Verwenden Sie eine Hardware-Wallet und ein Wegwerfhandy.
Bewahren Sie den Großteil Ihrer Kryptowährungen auf einer Hardware-Wallet auf. Der Schlüssel bleibt offline, und jede Transaktion erfordert eine physische Berührung des Geräts. So kann eine betrügerische Website ohne die Hardware in Ihrer Hand keine Transaktionen durchführen. Erstellen Sie zusätzlich eine zweite, nahezu leere „Wegwerf-Wallet“ für Minting, Airdrops und unbekannte dApps. Sollte diese Wegwerf-Wallet leer sein, verlieren Sie lediglich Ihr Taschengeld, nicht Ihre Ersparnisse. Die Angewohnheit, Ihre Haupt-Wallet an eine beliebige Web3-Website anzuschließen, ist der entscheidende Faktor, der diese Betrugsmasche profitabel macht.
Lesen Sie jede Unterschrift und widerrufen Sie alte.
Die zweite Gewohnheit ist, einfach zu lesen, was Sie unterschreiben. Moderne Wallets und Simulationstools erklären Ihnen genau, was eine Signatur berechtigt, bevor Sie sie bestätigen. Nutzen Sie diese Tools und unterschreiben Sie niemals blind eine Nachricht, deren Inhalt Sie nicht nachvollziehen können. Räumen Sie anschließend auf und widerrufen Sie nicht mehr benötigte Genehmigungen. Ein Widerrufstool zeigt Ihnen alle Verträge an, die Ihre Token noch ausgeben können, und ermöglicht es Ihnen, die vergessenen zu stornieren. So schließen Sie potenzielle Sicherheitslücken, die ein Angreifer Monate später noch nutzen könnte. Wenn Ihnen eine Website unbekannt vorkommt, prüfen Sie zunächst deren Vertrag in einem Block-Explorer. Ein brandneuer Vertrag ohne Historie ist ein typisches Beispiel für eine Betrugsmasche. Die unbegrenzte Genehmigung, die Sie 2021 erteilt haben? Sie ist immer noch aktiv, bis Sie sie widerrufen.
Was tun, wenn Sie von einem Geldfresser getroffen werden?
Wenn es passiert, zählt jede Sekunde. Gehen Sie systematisch vor. Übertragen Sie alle noch nicht vom Angreifer erfassten Gelder sofort in eine neue, sichere Wallet, da Angreifer oft später versuchen, den Rest zu stehlen. Entziehen Sie anschließend alle Berechtigungen für die kompromittierte Adresse, damit keine verbleibenden Berechtigungen wiederverwendet werden können. Behandeln Sie diese Wallet als unbrauchbar und verwenden Sie sie nicht mehr. Dokumentieren Sie die Transaktions-Hashes und melden Sie die Adressen an einen Dienst wie Chainabuse oder Scam Sniffer, die diese Infrastruktur abbilden. Seien Sie sich selbst gegenüber hinsichtlich der Wiederherstellung realistisch. On-Chain-Transfers sind endgültig und gestohlene Gelder kommen selten zurück. Daher ist es entscheidend, den Schaden schnellstmöglich zu stoppen.
Ein Geldbeutelfresser braucht Ihre Unterschrift, nicht Ihre Schlüssel.
Entfernt man die Dashboards und die Namen der Krypto-Apps, hat ein Betrüger nur eine einzige Waffe: Ihre Unterschrift. Er kann weder Ihren privaten Schlüssel stehlen noch die Blockchain unterbrechen, noch einen Cent bewegen, bevor Sie auf „Bestätigen“ klicken. Und das ist die gute Nachricht: Die Gegenmaßnahme ist genauso einfach. Bewahren Sie Ihre Kryptowährungen in einem Offline-Speicher auf, behandeln Sie jede Aufforderung zum Verbinden Ihrer Wallet so, als ob ein Fremder nach Ihren Schlüsseln fragt, und lesen Sie die Berechtigung sorgfältig durch, bevor Sie unterschreiben. Tun Sie das, und eine Milliardenindustrie stößt direkt vor Ihren Augen an eine Mauer. Wenn Sie also das nächste Mal von einer kostenlosen Krypto-App um eine Unterschrift gebeten werden, stellen Sie sich die einzige entscheidende Frage: Was genau autorisiere ich da eigentlich?
