Zurück zu den Nachrichten
WEB3-BEDROHUNG

Die Geschichte eines Krypto-Betrügers: Wie 1,93 Milliarden Dollar innerhalb von sechs Monaten verschwanden

Ein Drainer stiehlt nicht deine Seed-Phrase. Er stiehlt deine UnterschriftEin Klick – ein einziger Klick auf den falschen „Claim“, „Verify“ oder „Connect Wallet“ – und eine Kette vorgefertigter Smart Contracts leert Ihr Guthaben, noch bevor Sie den Finger vom Trackpad nehmen können.

12 Minuten Lesezeit· Aktualisiert Mai 2026· PhishDestroy Intelligence
Anatomy of a crypto wallet drainer — six-stage kill chain
1,93 Mrd. $
Verluste im ersten Halbjahr 2025
+540 % gegenüber 2023
284 Millionen Dollar
Ein Opfer, Januar 2026
Betrug mit Trezor-Seed-Phrasen
Dreihundertzwanzigtausend
Opfer im Jahr 2023
~900 täglich
5.000–10.000 Dollar
Einstiegskosten für DaaS
Komplettpaket

Was ein Abfluss eigentlich ist

A Krypto-Drainer ist ein speziell für Web3 entwickeltes Phishing-Tool. Es versucht nicht, Ihr Passwort auszuspähen oder einen privaten Schlüssel zu entlocken. Stattdessen bringt es Sie dazu, eine Transaktion unterzeichnen — in der Regel ein approve(), setApprovalForAll()oder eine Off-Chain-Lösung Permit Nachricht – die dem Angreifer die Erlaubnis erteilt, nach Belieben über Ihr Vermögen zu verfügen. Die Wallet bleibt „Ihre“. Das Guthaben jedoch nicht.

Das Modell ist brutal effizient, weil es rechtmäßig Blockchain-Grundelemente. Ihr privater Schlüssel wird niemals kompromittiert. Auf Ihrem Rechner befindet sich keine Malware. Es gibt nur eine einzige Signatur bei einer einzigen Transaktion, die On-Chain-Analysten sehen können und deren Wirkung von keiner Instanz rückgängig gemacht werden kann.

Laut Chainalysis… ein „Drainer“ ist „ein Phishing-Tool für das Web3-Ökosystem“, das sich als legitime dApp ausgibt. Group-IB, Check Point Researchund ScamSniffer haben Tausende von Kampagnen katalogisiert, die genau auf diesem Mechanismus basieren.

Die 6-stufige Kill Chain

Jeder Drainer-Angriff – Inferno, Pink, Angel, MS, CLINKSINK, Rugging und die Dutzenden namenlosen Abzweigungen – verläuft in denselben sechs Phasen. Die Kunst besteht darin, all diese Phasen in die wenigen Sekunden zwischen dem Verbindungsaufbau zum Wallet und der bestätigten Transaktion zu packen.

1KöderAirdrop / Anzeige / Direktnachricht2VerbindenGeldbörse eingehakt3ReconanalyzeWallet()4Zeichengenehmigen / zulassen5AblauftransferFrom()6WaschenDEX → Bridge → XMRSOCIAL ENGINEERINGTECHNISCHE UMSETZUNGEXFILTRATION

1. Köder

Gefälschte Airdrops, gesponserte Google/X-Anzeigen, gehackte verifizierte Konten (die Konten bei der SEC und bei Mandiant (beides wurden bereits als „Drainer-Megaphone“ genutzt), Discord-Verifizierungs-Bots, gefälschte NFT-Prägungen, „exklusive“ Beta-Einladungen und Betrugsmaschen rund um IP-Lizenzen. Ganz gleich, wie die Masche aussieht – das Ziel ist es, dich auf eine Domain zu locken, die der Angreifer kontrolliert.

2. Verbinden

Du klickst auf „Wallet verbinden“. MetaMask, Rabby, WalletConnect, Phantom – alles in Ordnung, alles wie erwartet. Das Drainer-JavaScript hat nun Lesezugriff auf dein Wallet-Objekt über window.ethereum (oder etwas Gleichwertiges) und beginnt zu schießen eth_call Anfragen im Hintergrund.

3. Aufklärung

Der Drainer listet Ihre Bestände auf: native Guthaben, ERC-20-Token, NFT-Sammlungen und DeFi-Positionen über mehrere Blockchains hinweg. Er greift auf Preis-Orakel im Stil von CoinGecko zurück, um alle Werte in US-Dollar umzurechnen. Premium-Pakete wie Inferno-Drainer ihre Konfiguration speichern on-chain (BNB Chain), sodass sie aktualisiert werden kann, ohne dass die JS-Nutzlast neu bereitgestellt werden muss.

4. Unterschreiben

Die dApp fordert dich auf, „Eigentumsrechte zu bestätigen“, „den Airdrop zu beanspruchen“, „die Abholung zu genehmigen“ oder „zum Betreten zu unterschreiben“. Die Benutzeroberfläche der Wallet zeigt eine scheinbar harmlose Meldung an. In Wirklichkeit sind die Calldata jedoch sorgfältig ausgewählt, um den Schaden zu maximieren – siehe den nächsten Abschnitt.

5. Abgießen

Sobald Sie unterschrieben haben, ruft der Angreifer an transferFrom() aus einer separaten Wallet (operative Trennung – die „Adresse“, die die Genehmigung erhalten hat, ist niemals der „Empfänger“, der die Beute hält). Premium-Kits bündeln native ETH, ERC-20-Token, ERC-721/1155-NFTs und Permit2-Transfers in einem einzigen multicall. Netto-Verzögerung von der Unterzeichnung bis zur Überweisung: Sekunden.

6. Waschen

Die Gelder fließen über SushiSwap / Uniswap (seriöse DEXs werden von den meisten Sicherheitsprogrammen bewusst auf die Whitelist gesetzt), dann über Brücken zu anderen Blockchains, anschließend über Tornado-Cash-Forks und schließlich zu Monero. Die Der Vorfall bei Trezor im Wert von 284 Millionen Dollar war innerhalb weniger Stunden in XMR umgewandelt.

Dein Portemonnaie (vor der Unterzeichnung)

Ethereum2.4815
US-Dollar-Münze18,420.00
WBTC0.34
Blauäugiger Yeti #4291Einzigartig
stETH12.1

Angreifervertrag (nach einer Unterschrift)

Ethereum+2,4815
US-Dollar-Münze+18.420,00
WBTC+0,34
Blauäugiger Yeti #4291Ein NFT
stETH+12,1

Ein Exemplar, signiert Permit2 Eine einzige Nachricht reicht aus, um den gesamten Stapel zu autorisieren. Keine zweite Bestätigung. Keine Wiederherstellung.

Die vier tödlichen Sprengkörper

Jeder Drainer in der freien Wildbahn nutzt eine Kombination dieser vier Grundelemente. Jedes einzelne ist ein rechtmäßig ERC-Standard oder RPC-Methode. Es gibt keinen „Patch“ – nur das Bewusstsein dafür.

1. approve(spender, type(uint256).max) — Unbegrenzte Ausgaben für ERC-20

Der Klassiker. Du genehmigst einen Token-Vertrag über den höchstmöglichen Betrag (2^256 − 1) an eine Empfängeradresse, über die du keine Kontrolle hast. Der Empfänger – also der Angreifer – ruft dann transferFrom(you, attacker, balance) nach Belieben. Die Genehmigung bleibt auf Dauer bestehen, es sei denn, Sie widerrufen sie ausdrücklich über Revoke.cash oder direkt den Token-Vertrag.

// Was du tatsächlich unterschrieben hast:genehmigen( 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, // Angriffe0xffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffmaximale vorzeichenlose 256-Bit-Ganzzahl ) // In der Wallet-Benutzeroberfläche wurde angezeigt: „Wallet-Besitz bestätigen“

2. setApprovalForAll(operator, true) — die gesamte NFT-Sammlung

Schlimmer als die ERC-20-Zulassung, denn es ist Alles oder nichts pro Sammlung. Eine einzige Signatur – und schon kann der Angreifer über alle NFTs in diesem Vertrag frei verfügen. Auf diese Weise verlor Seth Green im Jahr 2022 vier „Bored Ape“-NFTs, und so kam es, dass ein einzelnes Opfer im Dezember 2022 durch den gefälschten „Forte Pictures“-Lizenzbetrug 14 BAYCs verlor.

setApprovalForAll( 0x-Angriffe..., // „Operator“richtig// für die gesamte Sammlung genehmigt )

3. EIP-2612 / Off-Chain-Signaturen mit Permit2

Dies ist die 2024–2026: Die Waffe der Wahl. Anstelle einer On-Chain-Lösung approve() (was Gas kostet und sich deutlich in Ihrem Geldbeutel bemerkbar macht), sammelt der Angreifer eine Off-Chain-Signatur nach EIP-712 über eth_signTypedData_v4. Keine Transaktion. Keine Gasgebühren von Ihrer Seite. Nur ein Pop-up mit der Aufforderung „Diese Nachricht unterschreiben“. Die Benutzeroberfläche der Wallet für die Signatur von eingegebenen Daten ist bekanntermaßen schwer lesbar, und die von Uniswap Genehmigung 2 wandelt eine Unterschrift in Genehmigungen für mehrere Token gleichzeitig.

// Was MetaMask dir angezeigt hat:// „PermitSingle“// spender: 0x000000000022D473030F116dDEE9F6B43aC78BA3// ...sieht gut aus, das ist der echte Permit2-Vertrag...// Was tatsächlich genehmigt wurde: { „Details“: { „Token“: Zero-x-US-Dollar-Münze, „Betrag“: „1461501637330902918203684832716283019655932542975“, // max„Ablauf“: 281474976710655// Jahr ~10889 }, "spender": „0x-Angriffe...“, "sigDeadline": 9999999999 }

Das Die vollständige Fallstudie zu Permit2 von Blockaid für eine detaillierte Anleitung zum tatsächlichen Angriff, einschließlich des SushiSwap-Routing-Tricks, der den Abfluss von ETH in einem scheinbar normalen Swap verbirgt.

4. Social Engineering durch direkte Angabe der Seed-Phrase

Streng genommen kein „Drainer“ im engeren Sinne – aber die ertragreichste Variante im Jahr 2026. Die Januar 2026: Vorfall bei Trezor Es wurde keine Verschlüsselung umgangen. Ein „Support-Mitarbeiter“ rief das Opfer an, führte es durch einen gefälschten „Verifizierungsprozess“ und brachte es dazu, den Wiederherstellungs-Seed vorzulesen. Ergebnis: 1.459 BTC + 2,05 Mio. LTC = 284 Mio. $, 71 % aller Verluste durch Kryptodiebstahl in diesem Monat, die in Monero umgewandelt wurden, bevor die Medien davon berichteten.

Hardware-Wallets verhindern das Auslesen von Schlüsseln aus der Ferne. Sie hindern Sie jedoch nicht daran, Ihren Seed-Satz auf der Website eines Phishers einzugeben. Verwenden Sie eine BIP-39 passphrase.

Die „Drainer-as-a-Service“-Wirtschaft

Keiner der Akteure, die dir tatsächlich das Geld aus der Tasche ziehen, schreibt den Code. Sie mieten „Drainer-as-a-Service“ (DaaS) ist ein vollständig standardisierter B2B-Markt mit eigenem Branding, Preisstufen, Supportkanälen, Versionsveröffentlichungen und einem deutlichen Druck auf die Provisionen der Betreiber.

Hölle
Äußerst ausgefeilt. On-Chain-Konfiguration (BNB), AES-verschlüsselter C2, Anti-Debugger, SushiSwap-Routing. CP-Analyse
15–20 % Rabatt
Angel (GhostSec)
Mehrkettig, produktisiert – versionierte Releases wie bei kommerzieller Software (v8.2, v8.3...).
20 % Kürzung
CLINKSINK
Auf JavaScript basierend, auf Solana ausgerichtet. Das Tool, das hinter dem Mandiant-X-Hack (900.000 Dollar) und dem Angriff auf die SEC steckt.
ca. 20 % Kürzung
Rosa
Mit Schwerpunkt auf NFTs. Rekord bei einem einzelnen Opfer: 320.000 $ in BAYC/MAYC/Otherdeed in einer einzigen Transaktion.
ca. 20 % Kürzung
MS Drainer
59 Millionen Dollar von 63.000 Opfern durch gesponserte Anzeigen auf X (Twitter), März–November 2023. ScamSniffer
war.
Rugging mit mehreren Blockketten
Preisführerstrategie: Unterbietet Angel/Inferno bei den Provisionen, um mehr Umsatz zu generieren.
5–10 % Rabatt

Teilnahmegebühr für einen Partner: a 5.000–10.000 $ Kaution, manchmal auch als schlüsselfertiges Paket dafür. Der Partner behält 75–95 % der erbeuteten Gelder und lagert alle technischen Belange – JS-Payload, Smart Contract, Hosting, Geldwäsche-Pipeline und sogar den 24/7-Telegram-Support – an den Betreiber aus. SentinelOne und die IMC 2025 – Wissenschaftliche Studie die Lieferkette detailliert nachverfolgen.

Deshalb reichen punktuelle Maßnahmen, bei denen man nur die Symptome bekämpft, nicht aus – und deshalb Registrare, die Missbrauch ignorieren sind der eigentliche Engpass. PhishDestroy hat dies dokumentiert und gemeldet Über 16.000 Domains mit Bezug zu „Inferno“ allein.

Warnsignale, bevor Sie unterschreiben

Der Signaturdialog ist die letzte Verteidigungslinie. Wenn einer dieser Punkte zutrifft, Abbrechen — es gibt keinen legitimen Ablauf, der dies erfordert:

  • Sie sind über ein gesponsertes Suchergebnis, eine Direktnachricht oder einen E-Mail-Link hierher gelangt. Bei allen großen Suchmaschinen sind die gesponserten Krypto-Ergebnisse manipuliert worden. Rufen Sie die Seiten immer über ein Lesezeichen auf.
  • Die Signatur ist „frei“ / „gasfrei“ / „off-chain“. Das ist eine Off-Chain-Signatur im Permit2-Stil. Lies die Felder mit den typisierten Daten. Wenn spender Wenn es dir unbekannt ist, lass es sein.
  • Der Betrag beträgt uint256.max, 0xfff…fffoder „unbegrenzt“. Kaum ein legitimer Arbeitsablauf erfordert eine uneingeschränkte Genehmigung.
  • Die Funktion lautet setApprovalForAll auf eine Sammlung, die du nicht kennst. Oder für einen „Anbieter“, der nicht OpenSea / Blur / LooksRare ist.
  • Die Website fordert dich auf, direkt nach dem Verbinden die Kette zu wechseln. Derzeit läuft eine Multi-Chain-Extraktionsschleife.
  • Der Zielvertrag wurde vor weniger als 7 Tagen bereitgestellt. Drainer der Inferno-Klasse wechseln alle 24 Stunden ihre Zwischenverträge.
  • Du fühlst dich unter Zeitdruck. Countdown-Timer, „Angebot endet in 4:32“, „nur noch 12 Plätze frei“ – diese Elemente sind in jeder Drainer-Vorlage enthalten.
  • Der „Kundensupport“ hat sich zuerst bei Ihnen gemeldet. Trezor, Ledger, MetaMask, Coinbase, Binance – keiner von ihnen schreibt dir eine Direktnachricht. Niemals.

Wie man sich tatsächlich verteidigt

  • Trennung der Wallets. Cold Wallet (Hardware, Großteil des Vermögens) → operative Hot Wallet (1–2 Wochen Aktivität) → Burner Wallet (alles Neue, Saldo nahe Null). Verbinde die Cold Wallet niemals mit einer neuen dApp.
  • Hardware wallet + BIP-39 passphrase. Die Passphrase macht den Unterschied zwischen einem „284-Millionen-Dollar-Trezor-Vorfall“ und der Situation, in der „der Angreifer zwar Ihren Seed hat, aber nichts findet“. Merken Sie sie sich. Speichern Sie sie nicht digital.
  • Transaktionssimulatoren.Blockaid, Geldbörsen-Schutz, Pocket Universe, Fire – installiere eine davon. Sie zeigen dir die tatsächliche Differenz im Kontostand an, bevor du unterschreibst.
  • Alle dApps als Lesezeichen speichern. Gib niemals „Uniswap“ bei Google ein. Klicke niemals auf Krypto-Links in sozialen Medien. Die gesponserten Ergebnisse sind viel häufiger falsch, als du denkst.
  • Überprüfen Sie Ihre Genehmigungen wöchentlich.Revoke.cash zeigt alle aktiven Berechtigungen in allen Blockchains an. Widerrufe alles, was du nicht aktiv nutzt.
  • Lass jede unbekannte Website zuerst durch einen Proxy laufen. Leere Brieftasche, schau, was sie verlangt, und entscheide dann, ob sie eine echte Brieftasche überhaupt wert ist.
  • Deaktivieren Sie die Browser-Erweiterungen im Wallet-Profil. Ein separates Browserprofil (oder Brave-Tor-Fenster) ausschließlich für Web3. Erweiterungen sind ein bekannter Schwachpunkt – siehe Die Analyse der npm-Lieferkette von Mend.io.
  • Überprüfen Sie die Reputation der Domain. Füge die URL in PhishDestroy-Domainberichte, urlscan oder unser Telegram-Bot. Wenn wir es bereits gesehen haben, ist es markiert.

Falls Sie bereits unterschrieben haben: Tun Sie dies in den nächsten 60 Sekunden

  1. Stopp. Unterschreiben Sie nichts weiter, auch keine Aufforderungen zur „Behebung“ oder „Wiederherstellung“ – das sind Betrugsmaschen der zweiten Stufe, die Ihre Panik ausnutzen.
  2. Räum alles weg, was noch nicht abfließen kann. Erstellen Sie eine brandneue Wallet (vorzugsweise eine Hardware-Wallet) und übertragen Sie die verbleibenden Vermögenswerte dorthin. Beginnen Sie mit den wertvollsten. Behandeln Sie jeder Die aus dem kompromittierten Schlüssel abgeleitete Adresse gilt als dauerhaft gelöscht.
  3. Genehmigungen widerrufen auf die kompromittierte Wallet über Revoke.cash — für jede Blockchain, nicht nur für Ethereum. Es ist ein Wettlauf gegen die Automatisierung des Angreifers.
  4. Dokumentieren Sie alles. Tx-Hashes, Adressen der Angreifer, Zeitstempel, die genaue URL der Phishing-Seite. Screenshot vor dem Schließen des Tabs.
  5. Bericht. Einreichen bei FBI-Meldestelle für Internetkriminalität, Ihre örtliche Abteilung für Cyberkriminalität, die betroffenen Protokolle (Uniswap, OpenSea usw. – diese sperren manchmal Derivate) und reichen Sie die Phishing-URL ein an @PhishDestroy_bot Also legen wir die Infrastruktur für das nächste Opfer lahm.
  6. Falls eine Seed-Phrase offengelegt wurde: Die Brieftasche ist weg. Hör auf, sie „sichern“ zu wollen. Schau nach vorne, fang neu an, lerne daraus.

„Drainer knacken keine Kryptografie. Sie widerlegen die Annahme, dass Menschen Calldata mit der Geschwindigkeit lesen können, die Wallets von ihnen verlangen. Verlangsamt man den Vorgang um eine Signatur, bricht die gesamte Diebstahlindustrie zusammen.“

Quellen & weiterführende Literatur

  1. Chainalysis — Krypto-Abzocker: Eine Bedrohung für Web3
  2. Group-IB — Untersuchung zum „Inferno Drainer“
  3. Check Point Research — Inferno Drainer Reloaded
  4. ScamSniffer — Pink Drainer 2024 – Vorfälle
  5. Blockaid — Schritt-für-Schritt-Anleitung eines Krypto-Raubüberfalls
  6. BleepingComputer — Mandiant X-Hijack über CLINKSINK
  7. Cyber Daily — Mandiant-Hack = 900.000-Dollar-Kampagne
  8. SentinelOne — Der Aufstieg von „Drainer-as-a-Service“
  9. Der Guru — Missbrauch von Wallet-Genehmigungen → Malware-gestützte Web3-Angriffe
  10. Mend.io — npm-Supply-Chain-Angriff auf Web3-Pakete
  11. AInvest — Januar 2026: Analyse zu Trezor im Wert von 284 Mio. $
  12. IMC 2025 – Wissenschaftlich — Studie zur Messung der DaaS-Wirtschaft
  13. PhishDestroy — Registrare, die weltweite Betrugsmaschen ermöglichen
  14. PhishDestroy — Wie eine Phishing-Aktion zerschlagen wird
  15. PhishDestroy — Echtzeit-Blockierliste (über 130.000 aktive Bedrohungen)

Was PhishDestroy gegen Drainer unternimmt

Wir sind ein gemeinnütziges Freiwilligenkollektiv. Wir spüren rund um die Uhr über SEO, bezahlte Anzeigen, Discord, X, Telegram und Honeypots von Domain-Registraren nach Drainer-Infrastrukturen auf und schalten sie dann ab.

  • 785.000+ Seit 2019 erfasste Phishing- und Betrugsdomains.
  • 89.000+ Meldungen über Missbrauch, die bei Registrierstellen und Hosting-Anbietern eingegangen sind.
  • 50+ Antiviren-Anbieter und Plattformen für Bedrohungsinformationen nutzen unseren Feed.
  • <0,5 % Falsch-positiv-Rate bei über 100.000 validierten Berichten.
  • Kostenlos, öffentlich, unveränderlich Beweisarchiv zu GitHub + HuggingFace.

Hast du einen Drainer entdeckt? Schick die URL an @PhishDestroy_bot. Wir werden die Missbrauchsanzeige einreichen, noch bevor dein Kaffee kalt wird.

#CryptoDrainer#Web3Security#WalletDrainer#Permit2#DaaS#Inferno

Diesen Artikel teilen

Verwandte Untersuchungen

FALLSTUDIE
BuyTRX Drainer: Untersuchung auf Panel-Ebene
Anatomy of a Takedown
METHODIK
Wie eine Phishing-Aktion zerschlagen wird
Registrars Enabling Scams
UNTERSUCHUNG
NameSilo, Webnic, NiceNic: Registrare, die Betrug ermöglichen
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, von Freiwilligen getragenes Projekt. Unsere Untersuchungen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Die Quellenangaben verweisen, soweit möglich, auf Primärquellen – bitte prüfen Sie diese selbstständig. Die hier enthaltenen Informationen stellen keine finanzielle oder rechtliche Beratung dar. Lesen Sie unsere vollständige Transparenzerklärung →