Leitfaden zu Krypto-Wallet-Adressen: So finden Sie Ihre Wallet-Adresse sicher
Eine Wallet-Adresse ist in der Kryptowelt so etwas wie eine Hausnummer. Sie teilt dem Netzwerk mit, wo Ihre Coins abgelegt werden sollen, und ist die einzige Information, die Sie jedes Mal angeben müssen, wenn Ihnen jemand Geld senden möchte. Das macht es in der Theorie einfach, in der Praxis aber gefährlich. Ein einziger Tippfehler, die falsche Zwischenablage oder die Adresse, die Schadsoftware in Ihren Puffer eingefügt hat – und das Geld ist weg. Kryptowährungstransaktionen sind unwiderruflich. Ihre Bank kann nicht anrufen und eine Rückerstattung verlangen. Eine falsche Wallet-Adresse ist in fast allen Fällen irreversibel. Deshalb sollte jeder neue Coin-Besitzer unbedingt einen Leitfaden zu Wallet-Adressen lesen.
Dieser Leitfaden richtet sich an alle, die Kryptowährungen senden und empfangen möchten, ohne durch vermeidbare Fehler ein Monatsgehalt zu verlieren. Er erklärt, wie eine Wallet-Adresse als eindeutiger Identifikator in der Blockchain funktioniert, welche Formate es gibt, wie man seine Wallet-Adresse in den gängigsten Wallet-Apps findet und welche Sicherheitsmaßnahmen die Sicherheit von Kryptowährungen im Jahr 2026 gewährleisten. Jede einzelne Regel basiert auf realen Fällen, in denen Nutzer durch deren Missachtung echtes Geld verloren haben. Chainalysis prognostiziert, dass der Anteil gestohlener Kryptowährungen, der auf die Kompromittierung einzelner Wallets zurückzuführen ist, im Jahr 2024 bei 44 % liegen wird – gegenüber nur 7,3 % im Jahr 2022. Angreifer zielen mittlerweile viel häufiger auf herkömmliche Wallets als auf Kryptobörsen ab, und Fehler bei der Wallet-Adresse sind das Einfallstor.
Was eine Wallet-Adresse ist und wie sie funktioniert
Vergessen Sie die Fachbegriffe. Eine Kryptowährungs-Wallet-Adresse ist eine einzigartige Zeichenfolge aus Buchstaben und Zahlen, die im Grunde bedeutet: Hierhin sollen meine Krypto-Assets gesendet werden. Eine lange Wallet-Historie bedeutet lediglich, dass Sie schon länger Zahlungen an diese Adresse erhalten. Jeder im Blockchain-Netzwerk kann Gelder an diese Adresse senden. Nur derjenige, der den privaten Schlüssel besitzt, kann die Coins wieder abheben und hat Zugriff auf Ihr privates Guthaben. Die Adresse selbst ist eine einzigartige Zeichenfolge, die sich von jeder jemals generierten Adresse unterscheidet. Diese Einzigartigkeit ermöglicht es dem Netzwerk, Zahlungen korrekt zuzuordnen.
Stellen Sie es sich wie ein Bankkonto vor. Ihre Kontonummer ist der öffentliche Teil, und eine Wallet-Adresse funktioniert in fast jeder Hinsicht wie eine Bankkontonummer. Sie geben sie bereitwillig an – auf Rechnungen, Schecks, bei jeder Zahlung. Völlig in Ordnung. Denken Sie nun an Ihre PIN. Die würden Sie niemals jemandem verraten. Das ist im Prinzip die Trennung von öffentlichem und privatem Schlüssel, nur mit etwas mehr Mathematik. Die öffentliche Adresse ist wie die Kontonummer. Der private Schlüssel ist wie die PIN. Geben Sie die erste weiter. Schützen Sie den zweiten, als wäre es Ihr gesamtes Erspartes, denn im Grunde ist es das. Teilen Sie Ihre Wallet-Adresse, wenn Ihnen jemand Geld überweisen muss; geben Sie Ihre privaten Schlüssel niemals an irgendjemanden weiter, aus keinem Grund, niemals.
Kurzer Exkurs in die Mathematik, da sie das Verständnis des Folgenden erleichtert. Ihr privater Schlüssel ist eine riesige Zufallszahl von 256 Bit Länge. Würden Sie diese jemals abtippen, säßen Sie den ganzen Nachmittag damit. Multiplizieren Sie sie mit einer elliptischen Kurve (secp256k1 für Bitcoin, Ed25519 für Solana – Details sind hier nicht relevant), und Sie erhalten einen öffentlichen Schlüssel. Hashen Sie diesen öffentlichen Schlüssel, kürzen Sie ihn, fügen Sie eine Prüfsumme und ein Präfix hinzu, und Sie erhalten Ihre Wallet-Adresse. Die gesamte Kette verläuft nur in eine Richtung. Sie können den privaten Schlüssel niemals aus der Adresse wiederherstellen. Das ist alles.
Und die Blockchain? Ihr ist es ehrlich gesagt völlig egal, wer Sie sind. Keine Namensfelder. Keine E-Mail-Adresse. Keine Passnummer. Jede Transaktion wird in der Blockchain als einfache Bewegung zwischen zwei Adressen mit Betrag und Zeitstempel erfasst. Ihre Adresse ist pseudonym, nicht anonym, denn jede Bewegung ist permanent und öffentlich, aber nicht mit Ihrem echten Namen verknüpft. Woher kommt normalerweise die Verbindung zwischen dieser „0x-Zeichenkette“ und Ihnen? Aus zwei Gründen: Aus dem KYC-Formular, das Sie bei Coinbase oder Binance ausgefüllt haben. Oder weil Sie Ihre Adresse einmal an einen Follower getwittert und es dann vergessen haben. Die Blockchain selbst hat es niemandem erzählt. Der sichere Umgang mit einer Blockchain-Adresse beginnt mit dem Verständnis, dass Wallet-Adressen so funktionieren: von Natur aus öffentlich, nur privat, wenn Sie vorsichtig sind.
Wallet-Adressen in verschiedenen Blockchains verstehen
Jede Blockchain hat ihre eigene Adressstruktur. Die verschiedenen Wallet-Adressformate sind nicht kompatibel. Nicht einmal annähernd. Eine Ethereum-Wallet-Adresse lehnt Bitcoin ab. Eine Solana-Adresse ignoriert USDT, das über Tron gesendet wurde. Sendet man an eine andere Wallet auf der falschen Blockchain, sind die Gelder in der Regel verloren. Es gibt keine Möglichkeit, dies rückgängig zu machen. Der beste Helfer in diesem ganzen Durcheinander ist das Präfix. Ein Blick auf die ersten Zeichen verrät, zu welcher Blockchain die Adresse gehört: `bc1`, `0x`, `T`, `r`, `L`. Lernt man diese fünf, lassen sich die meisten Fehler mit der falschen Blockchain vermeiden. Bitcoin-Adressen decken die 1/3/bc1-Familie ab. ETH deckt alle EVM-Blockchains ab. Die übrigen Blockchains haben jeweils ihre eigene Kategorie.
Warum also dieses Chaos? Ganz einfach: Niemand hat sich abgestimmt. Jede Blockchain hat ihre eigenen Kodierungsregeln nach Belieben festgelegt. Bitcoin begann mit Base58Check, fügte dann Bech32 hinzu und schließlich Bech32m für Taproot. Ethereum entschied sich für einfaches Hexadezimalkodieren mit einer nachträglich angehängten Prüfsumme in Groß- und Kleinschreibung. Solana nutzte Base58, verzichtete aber auf das Prüfsummenbyte, das Bitcoin am Ende hinzufügt. Im Grunde genommen ähnelt die Kryptografie überall sehr. Elliptische Kurven, Hashfunktionen – immer dieselben wenigen, eher langweiligen Bausteine. Doch die Art und Weise, wie diese Bausteine verpackt werden, ist der Punkt, an dem jede Chain ihren eigenen Weg geht. Wallet-Software versucht, all das vor den Nutzern zu verbergen. Meistens funktioniert das. Bis es eben nicht mehr funktioniert.
Hier ist etwas, das viele überrascht: Eine einzige Seed-Phrase kann Dutzende Wallets über Dutzende Blockchains gleichzeitig verwalten. Moderne Krypto-Wallets generieren für jede Kryptowährung, die Sie halten, eine neue, eindeutige Wallet-Adresse. Diese lassen sich alle auf dieselben 12 oder 24 Wörter zurückführen, die Sie bei der Einrichtung angegeben haben. Öffnen Sie eine Multi-Chain-Wallet, die BTC, ETH und SOL unterstützt, und Sie sehen drei völlig unterschiedliche Zeichenketten. Jede befindet sich in ihrem eigenen Ledger. Das Verschieben von Coins in einer Blockchain hat keinerlei Auswirkungen auf die anderen. Wie ist das möglich? Ein paar Standards machen es möglich: BIP32, BIP39 und BIP44. BIP44 definiert den Ableitungspfad, sodass eine einzige Phrase eindeutig einer Bitcoin-Wallet-Adresse, einer Ethereum-Wallet-Adresse oder einer Solana-Adresse zugeordnet werden kann. Sehr praktisch. Gleichzeitig aber auch ein schwerwiegender Single Point of Failure. Geht die Phrase verloren, sind alle nachfolgenden Wallet-Adressen mit ihr verschwunden.
Arten von Krypto-Wallet-Adressformaten im Jahr 2026
Hier sind die gängigsten Wallet-Adressformate, die Ihnen im Alltag begegnen werden. Lernen Sie, das Präfix auf einen Blick zu erkennen, und Sie werden erstaunlich viele Fehler im Vorfeld vermeiden.
| Kette | Format | Präfix | Länge | Anmerkungen |
|---|---|---|---|---|
| Bitcoin | Legacy P2PKH | `1` | 26–34 | Ältestes Format, immer noch gültig |
| Bitcoin | P2SH | `3` | 34 | Skript-Hash, oft Multisignatur |
| Bitcoin | SegWit Bech32 | `bc1q` | 42 | Niedrigere Gebühren, nur Kleinbuchstaben |
| Bitcoin | Taproot | `bc1p` | 62 | Neuestes Format, verbesserter Datenschutz |
| Ethereum | EVM hex | `0x` | 42 | Gleiches Format für Polygon, Arbitrum, Base |
| Solana | Base58 | `(kein Präfix)` | 32–44 | Groß-/Kleinschreibung beachten |
| Tron | Base58Check | `T` | 34 | Wird für TRC20 USDT verwendet |
| Litecoin | Legacy / Bech32 | `L`, `M`, `ltc1` | 26–62 | Ähnlich wie Bitcoin |
| XRP (Ripple) | Base58 | `r` | 25–35 | Erfordert Ziel-Tag bei Austauschvorgängen |
| Dogecoin | Vermächtnis | `D` | 34 | Bitcoin-Fork-Vererbung |
Bitcoin ist kompliziert. Es gibt vier verschiedene Arten von Bitcoin-Wallet-Adressen, da das Netzwerk ständig neue Formate hinzufügte, ohne die alten zu beeinträchtigen. Legacy-Adressen, die mit 1 beginnen, sind das ursprüngliche Pay-to-Public-Key-Hash-Format von 2009. Sie sind weiterhin gültig und funktionieren. Allerdings sind sie nach wie vor die langsamsten und teuersten Adressen für Transaktionen. Adressen, die mit 3 beginnen, sind Pay-to-Script-Hash-Adressen, die 2012 eingeführt wurden, um Multisig und andere komplexe Skript-basierte Funktionen zu unterstützen. SegWit-Bech32-Adressen, die mit bc1q beginnen, wurden 2017 mit BIP 173 eingeführt. Taproot-Bech32m-Adressen, die mit bc1p beginnen, folgten 2021 mit BIP 350. Warum gab es BIP 350 überhaupt? Weil Bech32 eine Schwachstelle hatte: Anhängende „p“-Zeichen ermöglichten es Angreifern, unbemerkt „q“-Zeichen einzuschleusen oder zu entfernen. Ein Fehler, den man im Adressformat einer Kryptowährung nicht haben möchte. Alle vier Arten sind heute noch gültig, erheben aber unterschiedliche Gebühren, und einige ältere Dienste können immer noch nicht an die neueren übertragen werden. Das birgt ein gewisses Risiko.
Ethereum wählte einen einfacheren Weg. Nur ein Format: 0x gefolgt von 40 Hexadezimalzeichen. Das ist alles. Dieselbe 0x-Zeichenkette funktioniert auf Ethereum, Polygon, Arbitrum, Base, Optimism – auf allen Systemen, die die EVM unterstützen. Zusätzlich verwendet Ethereum eine in EIP-55 definierte Prüfsumme mit gemischter Groß- und Kleinschreibung, die bestimmte Buchstaben basierend auf dem Keccak-256-Hash der kleingeschriebenen Adresse großschreibt. Ein einzelner Tippfehler? Die Prüfsumme erkennt ihn in der Regel. Laut Spezifikation liegt die Trefferquote bei etwa 99,9753 % zufälliger Tippfehler mit nur einem Zeichen – eine beachtliche Zahl, die ich allerdings nachschlagen musste. Doch hier liegt der Haken: Da dieselbe 0x-Adresse auf jeder EVM-Chain gültig ist, ist es gefährlich einfach, USDC im Ethereum-Mainnet an diese 0x-Adresse zu senden und zu erwarten, dass sie auf Polygon ankommt. Das wird nicht passieren. Jede Chain hat ihr eigenes Ledger. Jede hat ihre eigene Kopie des USDC-Smart-Contracts. Sie kommunizieren nicht miteinander. Dieser Fehler bei der Verwechslung von BEP20 und ERC20 ist einer der häufigsten Gründe für Verluste bei Supportanfragen an Börsen. Punkt.
So finden Sie Ihre Wallet-Adresse in jeder Wallet-App
Es fühlt sich komplizierter an, als es ist. Ehrlich. Die Schaltfläche ist in jeder App anders beschriftet, aber der Prozess zum Erhalten einer Krypto-Wallet-Adresse besteht im Jahr 2026 überall aus denselben vier Schritten.
1. Öffne deine Wallet. Wähle die Kryptowährung aus, egal in welcher Form du die Kryptowährung empfangen möchtest – BTC, ETH, SOL, das spielt keine Rolle.
2. Suchen Sie die Schaltfläche „Empfangen“. Manche Apps nennen sie „Anfordern“, andere „Einzahlen“. Es ist dasselbe.
3. Es erscheint ein Bildschirm, auf dem Ihre Adresse als Buchstaben- und Zahlenfolge ausgeschrieben ist, darunter befindet sich ein QR-Code.
4. Kopieren Sie die Zeichenkette oder zeigen Sie dem Zahler einfach den QR-Code. Fertig. So finden Sie Ihre Wallet-Adresse und empfangen Geld in jeder modernen Wallet.
Die meisten Wallet-Anwendungen im Jahr 2026 folgen denselben vier Schritten, egal ob Sie ein Smartphone, einen Desktop-Computer oder eine Browsererweiterung verwenden.
Hardware-Wallets funktionieren etwas anders, und genau hier liegt die wahre Sicherheit der Selbstverwahrung. Nutzen Sie einen Ledger oder Trezor? Der Ablauf ist in Ledger Live oder Trezor Suite auf Ihrem Computer identisch, aber das Gerät selbst zeigt die Empfangsadresse zusätzlich auf einem kleinen Display an. Achten Sie immer auf dieses Display. Immer. Vergleichen Sie es mit der Anzeige auf Ihrem Computer. Weicht auch nur ein einziges Zeichen ab, brechen Sie sofort ab. Ihr Computer ist mit Schadsoftware infiziert. Das ist keine Übertreibung: Genau diese Abweichung erzeugt ein Clipboard-Hijacker, und Sie haben es nur bemerkt, weil die Anzeige der Hardware-Wallet auf einem separaten Chip gespeichert ist, auf den Ihr infizierter Browser keinen Zugriff hat.
Software-Wallets wie MetaMask, Trust Wallet oder Phantom? Die Adresse befindet sich direkt oben auf dem Hauptbildschirm oder ist unter „Empfangen“ nur einen Fingertipp entfernt. Einfach kopieren und einfügen – fertig. Bei Krypto-Börsen wie Coinbase, Binance oder Kraken finden Sie die Adresse im Einzahlungsmenü. Ein praktisches Feature der meisten Börsen: Sie erhalten bei jeder Anfrage eine neue, eindeutige Adresse. Lassen Sie diese Funktion aktiviert. Das erhöht Ihre Privatsphäre ganz ohne Aufwand und schützt Ihre digitalen Vermögenswerte, indem es die Analyse der Blockchain erschwert.
So verwenden Sie Krypto-Wallets und senden eine Transaktion
Der Ablauf beim Senden von Kryptowährungen mit Krypto-Wallets ist nahezu identisch. Man tippt auf „Senden“, fügt die Wallet-Adresse des Empfängers ein oder scannt sie, wählt den Betrag, prüft die Gebühr und bestätigt. Die Blockchain veröffentlicht die Transaktion, Miner oder Validatoren fügen sie einem Block hinzu, und innerhalb weniger Minuten oder Stunden erhält der Empfänger das Geld. Das Senden und Empfangen von Kryptowährungen ist mechanisch einfach. Das Risiko liegt ausschließlich in den Zwischenschritten, und jeder Verlust durch das Senden von Kryptowährungen an die falsche Adresse entsteht dadurch, dass einer dieser Schritte überhastet ausgeführt wurde.
Bevor Sie die Transaktion bestätigen, sind drei Dinge wichtig. Erstens: Stellen Sie sicher, dass die Wallet-Adresse exakt mit der des Empfängers übereinstimmt. Zweitens: Vergewissern Sie sich, dass die Blockchain übereinstimmt. USDT von Ethereum an eine Tron-USDT-Adresse zu senden, ist ein klassischer Fall von Geldverlust durch eine einfache Diskrepanz. Börsen verwenden oft unterschiedliche Adressformate für denselben Token in verschiedenen Netzwerken. Drittens: Überprüfen Sie die Gebühr. Zu viel zu bezahlen ist Verschwendung; zu wenig kann dazu führen, dass eine Krypto-Transaktion tagelang festhängt.
Bei größeren Überweisungen empfiehlt sich eine Testüberweisung. Senden Sie zunächst einen sehr kleinen Betrag, warten Sie, bis dieser eingegangen ist, und überweisen Sie erst dann den vollen Betrag. Die wenigen Cent Netzwerkgebühren sind eine günstige Versicherung und der beste Schutz vor Tippfehlern, Fehlern beim Kopieren und Einfügen sowie den später in diesem Leitfaden beschriebenen Adressvergiftungsangriffen.
Sicheres Teilen Ihrer Wallet-Adresse ohne Risiko
Die Adresse ist öffentlich. Vollständig und unmissverständlich öffentlich. Sie können sie bedenkenlos mit jedem teilen, der Ihnen etwas bezahlen muss, sie bedenkenlos auf Ihrer Website veröffentlichen und sie bedenkenlos auf Ihre Rechnung drucken. Eine Wallet-Adresse kann nicht zum Diebstahl Ihrer Gelder verwendet werden; das kann nur der private Schlüssel. Und genau das ist der Sinn asymmetrischer Kryptografie: Die eine Seite des Schlüsselpaares soll öffentlich bekannt gemacht werden, während die andere für immer geheim gehalten wird.
Wo liegt also der Haken? Der Haken ist der Verlust von Guthaben und die Gefährdung der Privatsphäre durch Phishing. Veröffentlichen Sie Ihre ETH-Adresse öffentlich, und jeder mit einem Block-Explorer kann Ihr Guthaben, Ihre gesamte Transaktionshistorie, jedes jemals genutzte NFT und jedes dubiose DeFi-Protokoll, das Sie einmal ausprobiert und bereut haben, einsehen. Teilen Sie diese Informationen in einer Telegram-Gruppe, und jeder Teilnehmer kann sie sehen. On-Chain-Analysen sind im Jahr 2026 eine ausgereifte Branche mit guten Tools und kompetenten Experten. Für eine Wallet mit langer Historie kommt die Wiederverwendung von Adressen der Veröffentlichung eines Finanztagebuchs mit Ihrem Namen auf dem Cover gleich.
Und dann gibt es da noch die goldene Regel, die durch Wiederholung nicht an Bedeutung verliert: Geben Sie niemals Ihre privaten Schlüssel, Ihre Seed-Phrase oder Ihre Wiederherstellungswörter weiter. Nicht an einen Supportmitarbeiter. Nicht an einen Airdrop-Bot. Nicht an einen angeblichen Ledger-Mitarbeiter, der Ihnen eine E-Mail zu einem Firmware-Update geschickt hat. Nicht einmal an Ihren besten Freund. Niemand, der es ernst meint, braucht diese Daten. Ich habe schon erlebt, wie Leute fünfstellige Beträge verloren haben, weil eine Direktnachricht vom angeblichen Kundenservice hilfreich und offiziell wirkte. Das war sie nicht. Das ist sie nie. Geben Sie Ihre privaten Schlüssel niemals an irgendjemanden weiter, aus keinem Grund.
Das Problem der falschen Wallet-Adresse: So vermeiden Sie Geldverluste
Sendet man Kryptowährung an die falsche Wallet-Adresse, ist das Geld fast immer weg. Für eine Blockchain gibt es keinen Kundenservice. Keine Rückbuchungen, keinen Betrugsschutz, keinen freundlichen Mitarbeiter, der die Transaktion rückgängig machen kann. Das Ledger macht genau das, was man ihm sagt, selbst wenn die Eingabe ein Tippfehler war.
Die Wege, auf denen Menschen tatsächlich Geld verlieren, sind erstaunlich langweilig. Früher war das manuelle Eintippen von Adressen der Hauptgrund, aber heutzutage tippt niemand mehr 42 Hexadezimalzeichen ein, daher kommt das im Jahr 2026 kaum noch vor. Das Kapern der Zwischenablage hingegen ist weit verbreitet. Eine ganze Familie von Windows-Trojanern, sogenannte „Clipper“ – der bekannteste ist Laplas Clipper, der als Malware-as-a-Service für etwa 549 US-Dollar pro Jahr angeboten wird –, überwacht unbemerkt Ihre Zwischenablage und tauscht jede kopierte Kryptoadresse gegen eine täuschend echt aussehende Adresse eines Angreifers aus. Sie fügen ein, klicken auf „Senden“, und alles sieht völlig normal aus. Microsoft prägte den Begriff „Cryware“ für diese gesamte Kategorie und verzeichnet jährlich Hunderttausende von Infektionen.
Dann gibt es noch Address Poisoning, eine neuere und besonders perfide Methode. Der Angreifer generiert eine gefälschte Adresse, die den ersten und letzten vier Zeichen einer Adresse entspricht, mit der Sie häufig Transaktionen durchführen. Er sendet Ihnen eine sogenannte Dust-Transaktion (eine Transaktion mit dem Wert Null), damit seine gefälschte Adresse in Ihrem Transaktionsverlauf erscheint. Wenn Sie diese Adresse das nächste Mal benötigen, kopieren Sie sie aus Bequemlichkeit aus dem Verlauf und verwenden stattdessen die Version des Angreifers. Eine Anfang 2025 veröffentlichte Studie des Carnegie Mellon CyLab dokumentierte rund 270 Millionen On-Chain-Poisoning-Versuche, die zwischen Juli 2022 und Juni 2024 17 Millionen Opfer betrafen und zu bestätigten Verlusten von mindestens 83,8 Millionen US-Dollar führten. Das ist keine Randerscheinung mehr. Das ist Phishing im industriellen Maßstab.
Der berüchtigtste Einzelfall ereignete sich am 3. Mai 2024. Ein Großinvestor verlor 1.155 WBTC, damals umgerechnet etwa 68 Millionen US-Dollar, an eine manipulierte Blockchain, deren Zieladressen mit seinen üblichen übereinstimmten. Der Angreifer erstattete den Großteil des Geldes eine Woche später zurück – die Gründe dafür werden in der Community noch immer diskutiert. Doch selbst erfahrene Nutzer, die es eigentlich besser hätten wissen müssen, fielen auf den Trick mit den kopierten Transaktionshistorien herein. Im Dezember 2024 wurde ein anderer Händler auf dieselbe Weise erwischt und verlor fast 50 Millionen US-Dollar in USDT. Andere Personen, andere Blockchains, aber dieselbe trügerische Angewohnheit: der Transaktionshistorie als Adressquelle zu vertrauen.
| Fehler | Wie es geschieht | Wie man es verhindern kann |
|---|---|---|
| Tippfehler | eine lange Adresse von Hand eintippen | QR-Code immer kopieren und einfügen oder scannen. |
| Malware in der Zwischenablage | Schadsoftware ersetzt die kopierte Adresse | Auf dem Bildschirm der Hardware-Wallet überprüfen |
| Vergiftung an der Adresse | Ähnliche Adressen in der Geschichte | Aus Kontakten oder einer neuen Quelle kopieren |
| Falsche Kette | USDT wurde auf ERC20 vs. TRC20 gesendet | Die Kette muss exakt übereinstimmen, bevor sie gesendet wird. |
| QR-Code-Spoof | Gefälschter QR-Code in der Öffentlichkeit | Überprüfen Sie die ersten und letzten 6 Zeichen |
Jeder dieser Fehler lässt sich durch dieselbe grundlegende Gewohnheit vermeiden: Überprüfen Sie die Adresse vor dem Senden immer doppelt und verifizieren Sie sie auf einem Gerät, auf das Schadsoftware keinen Zugriff hat. Kopieren Sie die Adresse, fügen Sie sie ein und vergleichen Sie sie dann Zeichen für Zeichen – zumindest die ersten und letzten sechs – mit der Originaladresse. Eine falsche Adresse, an die die korrekte Wallet-App gesendet hätte, lässt sich nach der Veröffentlichung der Signatur nicht mehr wiederherstellen. Für Transaktionen mit hohem Wert ist eine Hardware-Wallet die richtige Wahl, da ihr Bildschirm vom Computer isoliert ist und nicht durch Software manipuliert werden kann.
Bitcoin und Ethereum schützen sich beide mit integrierten Prüfsummen vor einfachen Tippfehlern. Bitcoin verwendet Base58Check, sodass ein einzelnes falsches Zeichen in einer älteren Adresse in der Regel die Prüfsumme nicht erfüllt und die Übertragung verweigert wird. Ethereum verwendet zusätzlich EIP-55-Prüfsummen für Groß- und Kleinschreibung, um denselben Fehler in 0x-Adressen zu erkennen. Diese Prüfsummen schützen jedoch nicht vor böswilligen Swaps, da die Adresse des Angreifers ebenfalls gültig und korrekt ist. Sie helfen lediglich gegen versehentliche Tippfehler.
Verwaltung von Wallet-Adressen und Datenschutz in der Blockchain
Die Verwaltung von Wallet-Adressen ist technisch einfach, privat jedoch kompliziert. Bei einer Blockchain wie Bitcoin empfiehlt es sich, für jede eingehende Zahlung eine neue Adresse zu generieren. Dadurch wird die Verbindung zwischen Zahlungen unterbrochen und es wird Außenstehenden erschwert, Ihre Kryptowährungsbestände nachzuverfolgen. Die wiederholte Verwendung derselben Adresse verknüpft jede Zahlung mit derselben Blockchain-Identität und ermöglicht es jedem mit einem Block-Explorer, Ihre Aktivitäten vollständig einzusehen.
Ethereum ist anders. Da jede Ethereum-Adresse gleichzeitig ein Konto mit Nonce und Guthaben ist, verwenden die meisten Nutzer und Apps eine einzige Adresse für alles. Das ist zwar praktisch, aber auch der Grund, warum die Blockchain-Analyse auf Ethereum so effektiv ist. Wer Wert auf Privatsphäre legt, benötigt mindestens eine neue Adresse pro Projekt. Mixer und Datenschutztools bieten zwar zusätzlichen Schutz, können aber bei vielen Börsen zu Compliance-Problemen führen.
Whitelisting ist der zweite wichtige Hebel. Die meisten Börsen und viele Hardware-Wallet-Anbieter ermöglichen es, vertrauenswürdige Adressen auf eine Whitelist zu setzen, sodass Gelder nur an vorab genehmigte Empfänger gesendet werden können. In Kombination mit einer Wartezeit für neue Einträge ist Whitelisting eine der effektivsten Methoden, um sowohl Clipboard-Malware als auch Kontoübernahmen zu verhindern, da Angreifer nicht einfach eine neue Adresse eingeben können.
Adressbücher, Kontakte und Wallet-Namensdienste wie ENS erleichtern den Alltag, indem sie eine 42-stellige Hexadezimalzeichenkette durch eine einprägsame Bezeichnung wie „alice.eth“ ersetzen. Diese Bezeichnungen sind zwar praktisch, aber anfällig für Phishing. Unicode-Homografenangriffe registrieren eine Domain, deren Glyphen einem vertrauenswürdigen Namen zum Verwechseln ähnlich sehen, aber kyrillische oder griechisch anmutende Zeichen verwenden. Das Opfer kopiert dann unbemerkt eine Adresse, die von dem gefälschten Namen abgeleitet wurde. Diese Angriffsart ist seit zwei Jahrzehnten im Internet dokumentiert, und Krypto-Wallets, die ENS-, SNS- oder Unstoppable-Domains automatisch auflösen, bergen dasselbe Risiko. Lösen Sie einen ENS-Namen daher immer beim ersten Mal über eine vertrauenswürdige Schnittstelle auf, vergewissern Sie sich, dass die zugrunde liegende Adresse mit der erwarteten Person übereinstimmt, und speichern Sie sie nach der Überprüfung in Ihrem eigenen Adressbuch.
Dust-Angriffe sind eine verwandte Taktik, die oft vor dem eigentlichen Angriff (Poisoning) eingesetzt wird. Ein Angreifer sendet winzige Transaktionen an Tausende von Adressen. Wenn das Opfer später seine nicht ausgegebenen Beträge zusammenführt, werden die Dust-Transaktionen mitversendet und enthüllen die Gruppe von Adressen, die demselben Besitzer gehören. Das WBTC-Opfer vom Mai 2024 wurde wochenlang über Dust-Transaktionen überwacht, bevor der eigentliche Angriff erfolgte. Wallets wie Wasabi, Samourai und Sparrow ermöglichen es nun, Dust-Transaktionen als „nicht ausgeben“ zu markieren, um diese Verbindung zu unterbrechen.
Umgang mit Wallet-Adressen: Sicherheitsregeln für 2026
Der Schutz vor den drei größten Bedrohungen – Malware, die die Zwischenablage manipuliert, Adressvergiftung und Falschkettenüberweisungen – hängt von einigen wenigen Gewohnheiten ab, die man entweder pflegt oder nicht. Hier sind sie, bewusst kurz gefasst.
Verwenden Sie eine Hardware-Wallet für alles, was Sie nicht verlieren dürfen. Das ist keine Option, kein Luxus und keine Paranoia. Ein Ledger oder Trezor bietet Ihnen einen kleinen physischen Bildschirm, den Schadsoftware auf Ihrem Computer nicht erreichen kann. Die Überprüfung der Empfängeradresse auf diesem Bildschirm vor der Signatur blockiert die überwiegende Mehrheit der Zwischenablageangriffe. Kaufen Sie im offiziellen Shop, nicht bei eBay. Im November 2024 veröffentlichte Ledger Donjon eine Sicherheitslücke im Trezor Safe 3-Mikrocontroller, die Spannungsschwankungen aufwies. Dies ist nur relevant, wenn jemand physischen Zugriff auf Ihr Gerät hat – genau diesen Zugriff ermöglicht aber ein manipuliertes Gebrauchtgerät.
Aktivieren Sie die Adress-Whitelist, wo immer Ihre Börse dies unterstützt. Legen Sie die vertrauenswürdigen Ziele einmalig fest, lassen Sie die Wartezeit hoch und nehmen Sie die damit verbundenen Hürden in Kauf. Bei den meisten Kontoübernahmen und Abflüssen tauscht der Angreifer die Auszahlungsadresse aus, und eine Whitelist blockiert diesen Angriffsweg zuverlässig. Geringer Aufwand, maximaler Nutzen.
Führen Sie vor jeder neuen Überweisung eine Testtransaktion durch. Ein paar Cent Gebühren sind weniger wert als der Verlust der gesamten Zahlung aufgrund eines BEP20/ERC20-Fehlers – rechnen Sie selbst nach. Senden Sie einen kleinen Betrag, warten Sie die Bestätigung ab, prüfen Sie den Eingang und senden Sie dann die eigentliche Überweisung. So erkennen Sie Tippfehler, Clipper-Malware, falsche Netzwerkauswahl und gelegentliche Fehler an der Börse auf einmal.
Halten Sie Ihre Wallet-Apps und Browsererweiterungen auf dem neuesten Stand. Veraltete Versionen sind die häufigste Angriffsfläche für Sicherheitslücken, und ein gefälschtes MetaMask-Update ist eine der klassischen Methoden, eine legitime Wallet durch eine manipulierte Kopie zu ersetzen. Installieren Sie die Updates, sobald Sie dazu aufgefordert werden. Es ist zwar mühsam, verhindert aber dennoch einen Großteil realer Verluste.
Und noch einmal, denn nur Wiederholung hilft: Geben Sie Ihre öffentliche Wallet-Adresse bedenkenlos weiter, aber niemals Ihre privaten Schlüssel, Ihre Seed-Phrase oder Ihre Wiederherstellungswörter. Ausnahmslos. Sobald Sie jemand nach Ihrer Seed-Phrase fragt, werden Sie Opfer eines Betrugs – selbst wenn die Person höflich fragt.
