Viele Nutzer von Kryptowährungen haben nur sehr wenig Wissen, was die eigentliche Funktionsweise der Technologie angeht. Daher kann bereits eine simple Schadsoftware wie ein Wallet Drainer für hohe finanzielle Schäden sorgen. Kriminelle sind sich über diese Asymmetrie bewusst und versuchen in erster Linie unerfahrene Anleger in eine Falle zu locken. Die Praxis zeigt, dass zwar auch erfahrene Anwender betroffen sein können, aber das liegt meistens daran, dass sie die Best Practise im Umgang mit Wallets und digitalen Assets nicht beachten. Wenn diese Gruppe betroffen ist, dann handelt sie zumeist fahrlässig.
Table of contents
Unser Artikel richtet sich dementsprechend an Anfänger, Fortgeschrittene und Betroffene. Wir erklären, was ein Wallet Drainer ist, wie man sich davor schützen kann und was man unternehmen kann, wenn digitale Assets von einem Drainer gestohlen worden sind.
Was ist ein Wallet-Drainer?
Ein Wallet-Drainer ist eine Schadsoftware, die dazu dient, Kryptowährungen zu stehlen. Die Methode ist bereits seit mehreren Jahren durch Kriminelle im Einsatz und bei einschlägigen IT-Unternehmen bekannt, die beispielsweise Security Audits anbieten. Die Software dient in erster Linie dazu, die Wallet der betroffenen Person anzugreifen. Im Kern wird diese Software entwickelt, um Wallets schnell und automatisch zu leeren, indem entweder alle oder nur die wertvollsten Assets entnommen und in die Wallets der Angreifer transferiert werden.
Ein Beispiel für diese Art von Diebstahl ereignete sich am 17. Dezember 2022, als Betrüger 14 Bored Ape NFTs im Gesamtwert von über 1 Million US-Dollar stahlen. Die Täter erstellten eine gefälschte Webseite im Namen des Filmstudios Forte Pictures und kontaktierten einen bestimmten NFT-Sammler, indem sie vorgaben, einen Film über NFTs zu drehen. Als der Sammler einen vermeintlichen Vertrag unterschrieb, stellte sich heraus, dass alle seine NFTs für einen Spottpreis von 0,00000001 ETH an die Angreifer transferiert wurden.
Ein weiterer Vorfall ereignete sich, als es Hackern gelang den Discord-Kanal der Bored Apes zu übernehmen. Damit streuten sie glaubhaft die Information, dass es einen Airdrop für Inhaber der NFTs geben würde, und leiteten die Betroffenen auf eine fingierte Webseite um. Im Ergebnis konnten die Täter NFTs und Kryptowährungen im Wert von mehreren Millionen US-Dollar stehlen.
Die beiden Vorfälle unterstreichen, welche Bedeutung Wallet Drainer bei Betrugsdelikten haben. Sie sind für viele Kriminelle zu einem essenziellen Tool geworden.
Wie funktionieren Wallet-Drainer?
Moderne Wallet-Drainer arbeiten weitgehend automatisiert. Sie identifizieren den ungefähren Wert der Assets in einer Wallet und erstellen Transaktionen, um die wertvollsten davon effizient abzuziehen. Sie verschleiern die betrügerischen Transaktionen so weit, dass es schwierig wird, den genauen Ablauf nachzuvollziehen, nachdem die Transaktion autorisiert wurde. Dementsprechend brauchen Betroffene mitunter länger, um zu realisieren, dass sie bestohlen worden sind.
Angreifer erstellen, wie die angeführten Beispiele zeigen, häufig gefälschte Webseiten, die den Anschein erwecken, zu legitimen Kryptoprojekte zu gehören. Dazu nutzen sie ähnliche Domain-Namen, verschicken E-Mails oder kapern Social-Media-Konten von Prominenten und Unternehmen, um Besucher auf die fingierten Seiten zu locken. Konkrete Lockangebote sind zumeist Airdrops oder die vorgebliche Bezugsberechtigung von NFTs. Weil legitime Angebote dieser Art die gleiche Interaktion vom Nutzer verlangen, sind die Angebote nicht immer sofort verdächtig.
Aus technischer Sicht handelt es sich bei einem Wallet Drainer häufig um einen bösartigen Smart Contract, obwohl auch andere Formen bekannt sind. Dieser Smart Contract wird so programmiert, dass er automatisch Transaktionen ausführt, sobald bestimmte Bedingungen erfüllt sind. Diese Bedingungen sind oft so gestaltet, dass der Nutzer ohne sein Wissen die Berechtigung erteilt, sein Wallet zu leeren. Hier spielt das sogenannte Blind Signing eine große Rolle. Denn die Nutzer können zwar vor ihrer Zustimmung sehen, was der Wallet Drainer unternehmen will, aber die Information ist für Menschen nicht im Klartext lesbar. Daher gibt es in der Branche die Bestrebung das sogenannte Clear Signing zum Standard zu erheben, weil Laien damit leicht verständlich lesen können, in was sie einwilligen.
In der Praxis enthalten die Smart Contracts von Wallet Drainern die Zustimmung, dem Smart Contract weitreichende Berechtigungen zu erteilen, wie etwa den Zugang zu allen Token im Wallet. Im Hintergrund nutzt der Smart Contract die Funktion „approve“ oder eine ähnliche Methode, um sich selbst die Erlaubnis zu geben, Gelder im Wallet zu verwalten und zu transferieren. Sobald der Nutzer diese Genehmigung erteilt hat, kann der Smart Contract jederzeit und ohne weitere Zustimmung des Nutzers auf die Vermögenswerte zugreifen und sie auf eine Adresse transferieren, die dem Angreifer gehört.
Ein kritisches Detail ist dabei die irreversible Natur dieser Genehmigungen. Einmal signiert, hat der Nutzer keine direkte Kontrolle mehr darüber, wie und wann der Smart Contract seine Gelder bewegt. Diese Angriffe sind besonders effektiv, weil sie sich der dezentralen Natur von Blockchain-Netzwerken bedienen – jede Transaktion, die einmal bestätigt wurde, kann nicht mehr rückgängig gemacht werden. Der Smart Contract agiert autonom und benötigt keinen weiteren Input des Angreifers, was es schwierig macht, den Angriff zu stoppen, sobald er begonnen hat. Was man effektiv unternehmen kann, behandeln wir in einem weiteren Abschnitt.
Zusätzlich verwenden Wallet Drainer häufig Verschleierungstechniken, um ihren Code harmlos wirken zu lassen. Dies macht es Analyse-Tools schwer, den bösartigen Charakter des Smart Contracts auf den ersten Blick zu erkennen. Dabei werden Variablen und Funktionsnamen absichtlich unleserlich gemacht oder der Code in komplexen Strukturen versteckt. So bleibt der wahre Zweck des Smart Contracts verborgen, bis es zu spät ist.
Wallet Drainer kosten Anleger ein Vermögen
Wallet-Drainer haben sich schnell unter Betrügern verbreitet. Im Jahr 2023 wurden über 320.000 Nutzer Opfer solcher Angriffe, was zu einem Gesamtschaden von knapp 300 Millionen US-Dollar führte. Die größten Einzeldiebstähle umfassten Beträge von mehr als 24 Millionen US-Dollar.
Selbst erfahrene Nutzer von Kryptowährungen fallen den Betrügern zum Opfer. Aus diesem Grund sollten auch fortgeschrittene Anleger wachsam sein, die den sicheren Umgang mit Blockchain-Technologie beherrschen. Allgemein hilft Wachsamkeit gegenüber unrealistischen oder unerwarteten Lockangeboten. Weil die Betrüger jedoch auch Social-Media-Konten hacken, um ihren Spam als offizielle Unternehmensbekanntgabe zu tarnen, sollte man bestimmte Regeln einhalten, um sich zu schützen. Denn es gibt Maßnahmen, die zuverlässig greifen, selbst wenn man getäuscht wurde.
So schützt man sich vor einem Wallet Drainer
Bewahren Sie den Großteil Ihrer Kryptowährungen in Cold Wallets auf und verwenden Sie Hot Wallets nur für die tägliche Verwaltung. Nutzen Sie mehrere Hot Wallets für unterschiedliche Zwecke. Eine für Web3-Aktivitäten und eine andere für die Interaktion mit Kryptobörsen sowie eine weitere für den Handel mit NFTs. Im Prinzip sind in diesem Schema alle Hot Wallets nur Zwischenstationen. Digitale Assets, die einen sehr hohen Wert haben oder langfristig gehalten werden sollen, werden an das Cold Wallet überwiesen. Im Wesentlichen geht es darum, dass das Cold Wallet nie verwendet wird, um mit Webseiten oder Apps zu interagieren. Einige Nutzer gehen sogar so weit und halten ihr Cold Wallet ständig offline.
Diese Vorgehensweise kann noch verschärft werden, indem man sogenannte Burner Wallets verwendet. Daher nutzt man sie nur einmalig für eine Interaktion, räumt sie danach leer und nutzt sie im Anschluss nie wieder. Stattdessen erstellt man sich immer wieder neue Wallets, um diese als Hot Wallets zu nutzen.
In der Gesamtbetrachtung sind diese beiden Methoden der beste Schutz, weil man nur einen Bruchteil seines Vermögens riskiert, wenn man mit Web3-Applikationen, DeFi oder NFTs interagiert. Fällt man also auf einen Betrug rein, dann bleiben die Vermögenswerte auf dem Cold Wallet stets unangetastet.
Zusätzlich dazu empfiehlt es sich beim Surfen im Netz einige Regeln einzuhalten. Vermeiden Sie unbedingt gesponserte Links in Suchergebnissen und überprüfen Sie stets die Adressen von Webseiten, die Sie besuchen. Betrüger wissen, dass potenzielle Opfer nach bestimmten Begriffen suchen und schalten auf Suchmaschinen gezielt Werbung. Die Suchmaschinenanbieter löschen diese Werbung zwar schnell, aber die Betrüger können immer wieder neue Konten eröffnen, weshalb es ein Kampf gegen Windmühlen ist. Es ist immer möglich, dass man über werbliche Beiträge auf Phishing hineinfällt, weshalb man immer Vorsicht walten lassen sollte. Das gilt im Übrigen nicht nur für Google und Co., sondern auch für X, Facebook und selbst die Werbebanner auf renommierten Onlinepublikationen.
Überprüfen Sie alle Transaktionsdetails sorgfältig und verwenden Sie zusätzliche Browser-Erweiterungen, um betrügerische Transaktionen zu identifizieren. Welche Tools man verwenden kann, haben wir für Sie in diesem Artikel zusammengefasst.
Erste Hilfe für Betroffene
Betroffene stehen im ersten Moment unter Schock, wenn sie feststellen müssen, dass sie erhebliche Geldwerte verloren haben. Hier gilt es Ruhe zu bewahren und keine unüberlegten Handlungen zu unternehmen. Zunächst gilt es festzustellen, welche Wallet kompromitiert wurde und auf welchem Weg dies geschehen ist. Daher sollten bis zur Abklärung folgende Dinge vermieden werden:
- Keine weiteren Transaktionen vornehmen. Sofern in der Not auf das falsche Wallet digitale Assets eingezahlt werden, besteht das Risiko, dass diese auch abgezogen werden können.
- Die Sicherheitslücke sicher identifizieren. Es gibt auch andere Angriffe, bei denen kein Wallet Drainer zum Einsatz kommt. Dennoch kann man den Betroffenen der Eindruck entstehen, dass es sich um einen Drainer handeln könnte.
- Bis zur Klärung andere Geräte verwenden. Es kann nicht nur sein, dass das Wallet kompromittiert wurde, sondern vielleicht sogar der eigene PC oder das Smartphone. Ist die Schadsoftware etwa auf dem Gerät installiert, ohne, dass man es merkt, dann können die Betrüger noch mehr Schaden anrichten.
Während man gegenüber den genutzten Geräten seine Skepsis bis zur Klärung bewahren sollte, sind Accounts auf Börsen jedoch in aller Regel nicht betroffen. Wer sicher gehen will, kann bei seiner Börse um Kontensperrung bitten. Allerdings kann man dann nicht mehr auf seine Assets zugreifen, was mit einem erheblichen Mehraufwand verbunden sein kann. Es ist also Abwägungssache, ob man den Schritt gehen will. Sofortiger Handlungsbedarf besteht in der Regel nur, wenn Kriminelle versuchen Zugriff auf Konten zu erlangen.
Sofern Sie Hilfe bei der Identifizierung des Angriffs benötigen, kann Ihnen CryptoTracing dabei behilflich sein. Im folgenden Abschnitt finden Sie unser Kontaktformular, wo Sie uns den Fall schildern können.
Wie bekommt man von einem Wallet Drainer sein Geld zurück?
Ein Wallet Drainer lässt leider keine Umkehr der Transaktionen zu. Daher besteht keine Möglichkeit direkt an die Kryptowährungen zu gelangen. Dennoch bestehen gute Aussichten für Betroffene, wenn sie sich frühzeitig wehren. Denn die Kriminalstatistik hat in der Vergangenheit eine Sache immer wieder bestätigt. Je früher die Polizei eingeschaltet wird, desto eher gelingt den Beamten ein Ermittlungserfolg. Für Betroffene ist es jedoch schwierig ihren Fall stichhaltig zu schildern. Denn die Strafverfolgungsbehörden wollen den Tathergang möglichst genau geschildert bekommen. Für viele Betroffene ist aber gar nicht klar, wie die Täter überhaupt vorgegangen sind und am Ende fehlen der Polizei wichtige Details.
Hier kommt CryptoTracing ins Spiel, denn wir nehmen bei Bedarf die Beweissicherung vor und dokumentieren die bekannten Fakten für die Polizei. Durch die Zusammenarbeit mit dem Rechtsanwalt Dr. Maisch können wir Ihnen zudem einen visierten Juristen an die Seite stellen, der über eine umfassende Expertise mit Cybercrime-Fällen verfügt.
Nur wenn Sie sich wehren, können Sie das Geld zurückbekommen. Denn wenn der Polizei ein Ermittlungserfolg gelingt, dann können Sie einen Schadensersatz vom Täter verlangen. Zögern Sie also nicht und treten Sie jetzt mit uns in Kontakt. Über unser Formular können Sie uns den Fall schildern und erhalten von uns zeitnah eine kostenlose Ersteinschätzung, in der wir ihnen die möglichen Optionen für das weitere Vorgehen erläutern.
FAQ zum Thema Wallet Drainer
Können Wallet Drainer auch ohne Interaktion des Nutzers aktiv werden?
In der Regel benötigen Wallet Drainer eine gewisse Interaktion des Nutzers, um aktiv zu werden. Meistens passiert dies, wenn der Nutzer eine Transaktion signiert oder eine Genehmigung erteilt, ohne sich der vollen Konsequenzen bewusst zu sein. Diese Interaktion ist oft unauffällig und kann als scheinbar harmlose Transaktion erscheinen. Allerdings gibt es Szenarien, in denen ein Wallet Drainer automatisch aktiviert wird, wenn ein Nutzer eine bösartige dApp besucht oder eine betrügerische Datei öffnet, die eine Malware enthält. Diese Malware könnte dann nach gespeicherten privaten Schlüsseln oder Seed-Phrasen suchen und sie an den Angreifer übermitteln. Dennoch ist die Wahrscheinlichkeit hoch, dass der Nutzer mindestens einmal auf irgendeine Weise agiert haben muss, um den Angriff zu ermöglichen.
Wie kann ich den Zugriff auf mein Wallet widerrufen, wenn ich einem Drainer genehmigt habe?
Um den Zugriff auf Ihr Wallet zu widerrufen, wenn Sie einem Wallet Drainer unbewusst Berechtigungen erteilt haben, können Sie Blockchain-Tools wie z. B. Etherscan Token Approvals oder ähnliche Dienste nutzen. Diese Tools ermöglichen es Ihnen, eine Liste der aktiven Berechtigungen für Ihr Wallet einzusehen und Genehmigungen für Smart Contracts manuell zu widerrufen. Sie müssen sich dazu bei dem entsprechenden Tool mit Ihrer Wallet-Adresse anmelden und dann explizit die Genehmigungen entziehen, die Sie nicht mehr zulassen möchten. Es ist ratsam, regelmäßig zu überprüfen, welche dApps oder Smart Contracts Berechtigungen haben, und ungenutzte oder verdächtige sofort zu deaktivieren.
Wie finde ich heraus, ob eine dApp sicher ist und keinen Wallet Drainer enthält?
Um herauszufinden, ob eine dApp sicher ist und keinen Wallet Drainer enthält, sollten Sie zunächst sicherstellen, dass die dApp aus einer vertrauenswürdigen Quelle stammt und bereits gut etabliert ist. Sie können den Quellcode der dApp überprüfen, sofern er öffentlich zugänglich ist, oder Expertenmeinungen und Sicherheitsaudits konsultieren. Viele seriöse dApps lassen ihren Code durch unabhängige Sicherheitsunternehmen auditieren, und diese Berichte sind oft einsehbar. Eine weitere Möglichkeit besteht darin, Blockchain-Analysetools zu verwenden, um die Interaktionen der dApp mit anderen Wallets zu überprüfen. Wenn es Berichte über verdächtige Transaktionen oder Genehmigungen gibt, sollten Sie vorsichtig sein.
Wie gelangen Wallet Drainer auf mein Gerät oder in mein Wallet?
Wallet Drainer können auf verschiedene Weise auf Ihr Gerät oder in Ihr Wallet gelangen. Häufig passiert dies durch Social Engineering, etwa über Phishing-Websites oder betrügerische dApps, die den Nutzer dazu bringen, sensible Informationen wie private Schlüssel oder Seed-Phrasen preiszugeben. Sie können auch durch Malware verbreitet werden, die unbemerkt auf Ihrem Gerät installiert wird, etwa über infizierte Downloads, Anhänge in E-Mails oder betrügerische Anwendungen. Einmal installiert, kann diese Malware gezielt nach gespeicherten Anmeldedaten oder Wallet-Informationen suchen. Auch über bösartige Smart Contracts, die Nutzer zur Signatur von Transaktionen verleiten, können Wallet Drainer aktiviert werden, indem sie automatisch Berechtigungen für Token-Transfers erhalten.