Seed-Flooding: Warum PhishDestroy offen vorgeht
„Angriffe“ auf Phishing-Seiten
Wir machen keinen Hehl daraus. Wenn PhishDestroy eine aktive Phishing-Seite entdeckt, die Seed-Phrasen für Krypto-Wallets sammelt, überschütten wir sie mit Seed-Phrasen im gültigen Format. Hier erfahren Sie genau, was wir tun, warum wir es tun und warum wir uns dafür nicht schämen.

Das Problem: Eine Phishing-Seite ist gerade online
Stellen Sie sich vor, Sie entdecken eine Phishing-Seite für Krypto-Wallets, die über bezahlte Google-Anzeigen geschaltet wird. Sie sieht seriös aus. Sie verzeichnet Besucherzahlen. Alle paar Minuten landen echte Nutzer auf dieser Seite, geben ihre Seed-Phrasen ein und verlieren alles.
Sie melden den Vorfall bei Google. Sie melden den Vorfall bei der Registrierungsstelle. Sie reichen beim Hosting-Anbieter eine Missbrauchsmeldung ein. Und dann wartet man.
In der Zwischenzeit macht der Betrüger sein 47. Opfer. Dann das 48. Und dann das 49.
Der Standardprozess zur Meldung von Missbrauch dauert 5 bis 10 Werktage. Aktive Phishing-Seiten verursachen jedoch innerhalb weniger Stunden irreversiblen finanziellen Schaden. Diese Lücke ist kein Fehler im System – es handelt sich um eine strukturelle Schwachstelle, die Betrüger gezielt ausnutzen.

Was ist „Seed Flooding“?
„Seed Flooding“ ist eine Technik zur Abwehr von Phishing-Angriffen, bei der gültiges Format, aber leer/wertlos Die Seed-Phrasen von Kryptowährungs-Wallets werden mit einer kontrollierten Rate automatisch in ein Phishing-Formular eingegeben.

Warum das funktioniert: Die Funktionsweise eines billigen Phishing-Kits
Bei der überwiegenden Mehrheit der aktiven Krypto-Phishing-Websites handelt es sich um Copy-Paste-Kits, die auf Drittanbieter-Dienste mit kostenloser Nutzungsstufe. Das ist ihre größte Schwachstelle. Eine ausführlichere Analyse finden Sie unter unsere umfassende Untersuchung.

| Modul | Limit des kostenlosen Kontos | Auswirkungen von Überschwemmungen |
|---|---|---|
| EmailJS | ~200 Einsendungen pro Monat | Ist nach einigen Stunden erschöpft, stoppt den E-Mail-Versand |
| Formspree | 50 Einreichungen pro Monat | Wurde fast sofort deaktiviert |
| Web3Forms | 250 Einreichungen pro Monat | Schnell neutralisiert |
| Telegram-Bot-API | Ratenbegrenzt pro Sekunde | In Timeout-Schleifen überflutet |
| Firebase-Free-Tier | Lese-/Schreibkontingente | Datenbankkosten steigen sprunghaft an oder es kommt zu einem Ausschluss |
Wir haben direkt beobachtet, wie Phishing-Infrastrukturen inaktiv wurden, nachdem die „Seed Flooding“-Attacke ihre Benachrichtigungs-Pipeline überlastet hatte. Der Betrüger weiß nicht, warum das System nicht mehr funktioniert. Er erhält einfach keine Daten mehr.
Unser technischer Ansatz: Cloudflare Workers statt Botnets

Wir verwenden Cloudflare Workers. Die Anfragen stammen aus dem eigenen Edge-Netzwerk von Cloudflare. Es werden keine privaten IP-Adressen missbraucht. Es gibt keine Botnetze. Es werden keine Server von Drittanbietern belastet. Betroffen ist lediglich das Datenerfassungssystem des Betrügers.
Der Hochwasserstrom
Ratenbegrenzung: Eine strenge 2 submissions per 10 seconds. Kein DDoS. Eine langsame, gezielte und planmäßige Kontamination in einem Ausmaß, bei dem selbst bescheidene Raten pro Website bei Dutzenden gleichzeitiger Ziele eine nennenswerte Wirkung entfalten.
Wir versuchen nicht, Server lahmzulegen. Wir machen den Betrügern den Arbeitstag zur Hölle und ihre Datenbank wertlos – ohne jegliche Kollateralschäden für legitime Infrastruktur.
Praxisbeispiele: Kontrollierte Kontamination in der Praxis
Die folgenden Vorgänge sind wörtlich aus unseren Produktionsprotokollen entnommen. Domains und Anbieter-Kennungen wurden nur dort unkenntlich gemacht, wo eine Veröffentlichung der Umgehung Vorschub leisten würde; die HTTP-Protokollaufzeichnungen sind unverändert. Beide Ziele waren zum Zeitpunkt des Eingriffs aktiv, wiesen bestätigten eingehenden Datenverkehr aus bezahlter Werbung auf und waren unabhängig voneinander als Phishing von ≥ 2 externe Anbieter auf VirusTotal bevor wir irgendwelche Maßnahmen ergreifen.
Einsatzdoktrin
Jeder „Seed-Flooding“-Einsatz erfolgt im Rahmen derselben fünf Grundsätze. Es gibt keine Ausnahmen; ein Einsatz, der nicht alle fünf Grundsätze erfüllt, wird nicht durchgeführt.
Fall 1 – Formspark Exfil Endpoint, monatliches Kontingent ausgeschöpft
checkblochn.pages.dev NeutralisiertBedrohungsmuster: Wallet-Recovery-Köder („Dapp Node Sync“), der 12-Wort-BIP-39-Seed-Phrasen an einen vom Angreifer kontrollierten Formspark-Endpunkt im kostenlosen Tarif weiterleitet. Zu Beginn der Interaktion wurde bezahlter Anzeigen-Traffic von zwei Werbeplattformen bestätigt.
messageOperativer Zeitplan (UTC, anonymisiert bis zum Einsatzzeitpunkt T-0)
submit-form.com/32BrdUqfX Aus Seite JS extrahiert; Form der Nutzlast rekonstruiert. Analyse2 req / 10 s, einzelner Cloudflare Worker, identifizierte UA-Zeichenkette, signierter Ursprung.200 OK mit formspark-quota: 64. Ausgangswert erfasst.formspark-quota überschreitet den Wert Null → Der Endpunkt stellt die Weiterleitung stillschweigend ein. Ablassgitterformspark-quota: −18. Mitarbeiter im Hochwassereinsatz entlassen.Einreichung über die Leitung (der Seed ist ein aussagekräftiger Köder – 12 zufällige BIP-39-Wörter, die in keinem Zusammenhang mit einer echten Wallet stehen)
Antwort – T+01:02 (Basiswert, verbleibende Quote)
Antwort — T+06:12 (Kontingent ausgeschöpft, Endpunkt sendet weiterhin 200, leitet jedoch nicht weiter)
Spürbare Auswirkungen. Von T+06:08 bis zur endgültigen Abschaltung um T+19:30 — a Zeitfenster von 13 Stunden und 22 Minuten — jedes echte Opfer, das checkblochn.pages.dev und den Wiederherstellungsvorgang abgeschlossen hatten, übermittelten sie ihre Seed-Phrase an einen Endpunkt, der 200 OK leitete die Nutzdaten jedoch nicht mehr an den Posteingang des Betreibers weiter. Die Phishing-Seite erschien im Browser des Opfers erfolgreich zu sein (kein Fehler, kein Warnsignal), was wünschenswert ist: Eine reflexartige Reaktion wie „Es hat nicht funktioniert“ führt oft dazu, dass Nutzer dieselben Anmeldedaten auf der nächsten gefälschten Website, die sie finden, erneut eingeben. Hier ist die Interaktion mit dem Blindanschluss beendet.
Ein 13-stündiges Schutzfenster für jeden nachfolgenden Besucher einer Website, für die weiterhin aktiv bezahlte Werbung geschaltet wurde. Das Fenster schloss sich, als Cloudflare Pages auf unseren parallel eingereichten Missbrauchsbericht reagierte – genau wie vorgesehen. Die Flutwelle ersetzte nicht die rechtmäßige Sperrung; sie überbrückte lediglich die Zeitspanne bis Der rechtmäßige Takedown kam an.
Fall 2 – EmailJS Relay, vom Betreiber veröffentlichte Identifikatoren
allsyncapp.pages.dev Aktiver BetriebBedrohungsmuster: Eine „Sync“-Falle für Wallet-Apps, die den vom Opfer eingegebenen Seed-Code per E-Mail an die Mailbox des Betreibers weiterleitet über EmailJS — ein seriöser SaaS-Anbieter für Transaktions-E-Mails. Die Phishing-Seite enthält die service_id, template_id und user_id in clientseitigem JavaScript, da der Browser des Opfers ohne diese Kennungen den POST-Aufruf, der die E-Mail auslöst, nicht abschließen kann. Diese Identifikatoren sind daher Teil der öffentlichen Angriffsfläche, die der Betreiber freiwillig offengelegt hat.
Erfasste Übermittlung – Nachempfundene Form der Nutzlast aus dem POST-Request der Phishing-Seite selbst
Extraktion von Identifikatoren (einzeiliger regulärer Ausdruck im Quellcode der Phishing-Seite)
Zentraler Lehrpunkt. Dieser Fall ist gerade deshalb aufschlussreich, weil Wir haben keinen Endpunkt entdeckt.. Der Betreiber veröffentlicht die drei Kennungen, die erforderlich sind, damit EmailJS den Seed an das Postfach des Opfers sendet. Jeder Browser, der die Phishing-Seite anzeigt, verfügt über diese Kennungen. Unser Worker macht genau das, was der Browser des Opfers tut – er sendet ein Formular mit genau dem Aufbau und den Kennungen ab, die die Seite selbst vorschreibt. Der Unterschied liegt in der Nutzlast: zufällige BIP-39-Wörter anstelle der tatsächlichen Wallet-Zugangsdaten.
Verlaufsmuster. Sobald das monatliche Limit erreicht ist, gibt EmailJS Folgendes zurück: 402 Payment Required oder 429 Too Many Requests und die Vorlage wird nicht versendet. Die Mailbox des Betrügers bleibt still. Parallel dazu geht bei EmailJS Trust & Safety eine formelle Beschwerde ein, die die Kennungen des Dienstes, der Vorlage und des Nutzers sowie einen Link zu unserem veröffentlichten Beweismaterial enthält – was nach bisherigen Erfahrungen dazu führt, dass das EmailJS-Konto des Betreibers beendet, ohne Ratenbegrenzung. Der Betreiber muss ein neues EmailJS-Konto einrichten, die Identifikatoren neu generieren, die bereitgestellte Phishing-Seite bearbeiten und jeden bestehenden Verbreitungslink ungültig machen – ein mehrstündiger Arbeitsablauf bei jeder Rotation.
Vergleich von Angriffsprofilen: Was „Seed Flooding“ nicht ist
Immer wieder wird uns vorgeworfen, wir würden „Angriffe“ auf Phishing-Seiten durchführen. Diese Darstellung bricht jedoch in sich zusammen, sobald man das tatsächliche Verkehrsprofil dem Profil der Aktivitäten gegenüberstellt, mit denen es verwechselt wird.
| Dimension | Saatgutflutung (unsere Methode) | DDoS / L7-Flood | Missbrauch durch Spam-Einreichungen | LE-Verdeckungsaktion |
|---|---|---|---|---|
| Zweck | Opferschutz – die „Exfil“-Quote des Betrügers vor dem nächsten Opfer erfüllen | Denial-of-Service-Angriff auf die Infrastruktur | Wirtschaftlicher Gewinn / Verbreitung von Botschaften | Beweissicherung, kontrollierte Täuschung |
| Durchsatz | 0,1 – 0,3 Anfragen/Sek. — unten Nutzungsbedingungen des Anbieters | 103 – 108 Anfragen pro Sekunde — auf Auslastung ausgerichtet | Burst / automatisierte Großmengenverarbeitung | Eine einzelne Interaktion in der Regel |
| Ziel | Ein Angreifer, der Daten von einem einzelnen Endpunkt abgezogen hat, hat Folgendes veröffentlicht: | Webserver-/Netzwerkebene einer betroffenen Organisation | Kontaktformulare seriöser Websites | Verdächtige Infrastruktur oder Person |
| Auswirkungen auf die Infrastruktur | Keine – Die Zähler des Anbieters verhalten sich im Rahmen des in den Nutzungsbedingungen festgelegten Rahmens | Dienstunterbrechung, Überlastung auf der Upstream-Seite | Überfüllter Posteingang, CAPTCHA-Drift, Moderationsaufwand | Hängt vom Betriebsmodus ab |
| Betroffene rechtmäßige Nutzer | Null – Phishing-Formulare haben keine legitimen Nutzer | Alle | Mitarbeiter/Moderatoren, die für das Formular verantwortlich sind | Integrierte Vermeidung |
| Ursprüngliche Identität | „PhishDestroy Cloudflare Workers“ – überprüfbar | Botnetze, gefälschte Absender, Reflexion | Einmal-Proxys | Verschlusssache „Infrastruktur“ |
| Autorisierungsmodell | Endpunkt ist eingeladen: Das Formular fordert diese Eingabe ausdrücklich an; die Bezeichner werden auf der Seite öffentlich angezeigt | Keine – das Anfragevolumen selbst stellt den Schaden dar | Umgeht den vorgesehenen Verwendungszweck, ignoriert Signale zur Missbrauchsverhinderung | Gesetzliche Befugnis |
| Parallele rechtliche Schritte | Meldungen über Missbrauch eingegangen vorher Flood-Start mit Fall-IDs | k. A. | k. A. | In den Betriebsablauf eingebunden |
Eine „Seed-Flood“-Anfrage ist ein einzelner HTTPS-POST-Request von etwa 140 Byte, der von einem Cloudflare-Worker stammt, der unseren signierten Ursprung trägt, und dessen Rate nur einen Bruchteil dessen beträgt, was der Anbieter selbst als akzeptabel angibt. Der Request zielt auf einen Endpunkt ab, dessen Identifikatoren der Betreiber bewusst in eine öffentliche Webseite eingebettet hat. Das ist die das gesamte beobachtbare Artefakt. Jedes strukturelle Element, das eine Anfrage zu einem „Angriff“ macht – unbefugter Zugriff, die Absicht, Ressourcen zu erschöpfen, volumetrische Überlastung, betroffene Dritte, verschleierte Herkunft –, fehlt. Die folgende rechtliche Analyse ist keine kreative Argumentation; sie ist die natürlich Auslegung des Gesetzes, sobald der Sachverhalt klar dargelegt ist.
Rechtliche Analyse – Ist es rechtmäßig? Ist es ethisch vertretbar?

Das Übermitteln von Daten an ein öffentlich zugängliches Webformular – selbst wenn es sich um gefälschte Daten handelt – ist in den meisten Fällen an sich nicht illegal. Wir greifen weder auf private Systeme zu, noch nutzen wir unbefugt Sicherheitslücken aus, noch fangen wir Kommunikation ab. Der Betrüger hat eine Falle gestellt. Wir füllen sie mit Steinen.
PhishDestroy bietet keine Rechtsberatung an. Dies ist eine echte Grauzone, die je nach Rechtsordnung unterschiedlich gehandhabt wird. Wir sind uns dieser Komplexität voll und ganz bewusst.
Was passiert mit der Datenbank des Betrügers?
Es wird unbrauchbar — Tausende von Einträgen müssen manuell überprüft werden, das Signal-Rausch-Verhältnis bricht ein. Oder es geht kaputt — Firebase Spark und gemeinsam genutzte MongoDB-Instanzen unterliegen festen Obergrenzen. Das Erreichen dieser Obergrenzen hat Konsequenzen.
Beide Ergebnisse sind gut
Ob die Datenbank zu einer nutzlos oder bricht völlig zusammen — Die Seed-Phrasen echter Opfer gelangen niemals in einer verwertbaren Form in die Hände des Angreifers. Jede unverarbeitete Seed-Phrase entspricht einer Wallet, die nicht leergeräumt werden kann.
Wann aktivieren wir die Saatgutflutung?
| Kriterium | Überprüfen | Warum das wichtig ist |
|---|---|---|
| Aktiver Datenverkehr bestätigt | Erforderlich | Werbeplattformen oder Traffic-Tools bestätigen, dass echte Nutzer auf die Website gelangen |
| Analyse der Phishing-Struktur | Erforderlich | Exfil-Module der kostenlosen Stufe, die vor dem Flood identifiziert wurden |
| Meldungen über Missbrauch eingegangen | Erforderlich | Wir verfolgen stets gleichzeitig den rechtmäßigen Weg |
| Keine Abschaltung im Rahmen der SLA | Typischer Auslöser | Keine Antwort vom Registrar/Hosting-Anbieter innerhalb einer angemessenen Frist |
| Website mit hohem Anzeigenvolumen / bezahlten Anzeigen | Sofortiger Auslöser | Bezahlte Werbung bedeutet, dass wir handeln, ohne auf bürokratische Abläufe zu warten |
Das große Ganze
Das Krypto-Ökosystem verliert Milliarden Dollar pro Jahr gegen Phishing. Die Abwehrmaßnahmen waren bisher eher reaktiv. PhishDestroy wurde ins Leben gerufen, um proaktive Einmischung in diesen Kreislauf.
Wir arbeiten nicht im Verborgenen. Wir veröffentlichen unsere Methodik. Wir erläutern unsere Techniken. Wir dokumentieren die von uns analysierten Phishing-Kits. Die Sicherheits-Community verdient es, Methoden zur Phishing-Bekämpfung selbst zu bewerten, anstatt nur einen Black-Box-Dienst in Anspruch zu nehmen.

Was Sie tun können
- Bericht an Google Safe Browsing, PhishTank, sowie der Domain-Registrar
- Reichen Sie es bei uns ein — Wir konzentrieren uns vorrangig auf aktive Bedrohungen mit hohem Aufkommen
- Überprüfen unsere Anatomiedatenbank um zu verstehen, was man da sieht
- Bewusstsein schaffen — Die meisten Opfer wissen erst, wie eine Phishing-Seite für Seed-Phrasen aussieht, wenn es bereits zu spät ist
Wenn Sie der Meinung sind, dass es unethisch ist, Kriminellen leere Geldbörsen zuzuspielen – das ist Ihre Haltung, und Sie dürfen sie gerne vertreten. Wir haben unseren Standpunkt klar gemacht.


