ScamLens
Kritisch Durchschnittlicher Schaden: $20,000 Typische Dauer: 1-3 days

Token-Genehmigungsexploit: Wie Betrüger Web3-Wallets leeren

Ein Token-Genehmigungsexploit ist ein ausgefeilter Web3-Betrug, bei dem Angreifer Benutzer manipulieren, um eine Smart-Contract-Transaktion digital zu signieren, die unbegrenzte Berechtigung zum Transfer bestimmter Token aus ihrem Wallet gewährt. Im Gegensatz zum traditionellen Hacking erfordert dieser Angriff explizite Zustimmung des Benutzers – aber Opfer verstehen nicht, was sie genehmigen. Nach der Genehmigung führen Betrüger Drain-Transaktionen aus, die Token zu von Angreifern kontrollierten Adressen siphonieren, oft innerhalb von Stunden. Der Angriff ist immer häufiger geworden, da dezentralisierte Finanzen (DeFi) wachsen; das Blockchain-Analysebüro Chainalysis berichtete, dass genehmigungsbasierter Diebstahl zwischen 2022 und 2023 um 400% anstieg, wobei Opfer insgesamt über 280 Millionen Euro pro Jahr verloren. Der Mechanismus nutzt ein grundlegendes Web3-Designprinzip aus: Smart Contracts benötigen Genehmigungsberechtigungen, um mit Benutzer-Token zu interagieren. Betrüger nutzen dies, indem sie Genehmigungsanfragen als legitime Transaktionen tarnen (behaupten, NFT-Prägungen, Token-Swaps oder Governance-Abstimmungen zu sein), während sie tatsächlich unbegrenzte Transferrechte gewähren. Was dies besonders gefährlich macht, ist die Zeitverzögerung – Opfer bemerken möglicherweise erst Tage oder Wochen später, dass ihre Wallets kompromittiert wurden. Zu diesem Zeitpunkt sind die Token bereits zu Mixing-Services und Börsen übertragen worden, was eine Wiederherstellung praktisch unmöglich macht.

Häufige Methoden So erkennen Sie es So schützen Sie sich Reale Beispiele Häufig gestellte Fragen Wo melden

Häufige Methoden

  • Phishing mit täuschend echten dApp-Schnittstellen: Betrüger erstellen gefälschte dezentralisierte Anwendungen, die legitime Plattformen (OpenSea, Uniswap, Aave) nachahmen, leiten Benutzer aber zu bösartigen Smart Contracts weiter, die Token-Genehmigungen anfordern, anstatt die behauptete Funktion auszuführen.
  • Social Engineering über Discord/Telegram: Angreifer veröffentlichen gefälschte Links in Web3-Community-Servern und behaupten, es gebe exklusive NFT-Drops, Governance-Airdrops oder Yield-Farming-Gelegenheiten, die Wallet-Verbindung und Token-Genehmigung erfordern.
  • Kompromittierte Wallet-Browser-Erweiterungen: Bösartige Chrome- oder Firefox-Erweiterungen geben sich als MetaMask oder Wallet-Management-Tools aus und fügen gefälschte Genehmigungsanfragen in legitime dApp-Interaktionen ein, ohne dass der Benutzer es bemerkt.
  • Ausnutzung von Benutzerverwirrung über Genehmigungsmechaniken: Betrüger nutzen aus, dass die meisten Benutzer nicht verstehen, was der Unterschied zwischen Transaktionsgenehmigung (Signieren einer einzelnen Aktion) und Token-Genehmigung (Gewährung von unbegrenztem zukünftigen Zugriff) ist, und betten glaubwürdige technische Sprache in ihren Anfragen ein.
  • NFT-Seltenheits-Phishing-Kampagnen: Angreifer erstellen gefälschte NFT-Handelsplattformen oder Launchpads mit seltenen Sammlungen, erfordern, dass Benutzer Token genehmigen, um Anspruch zu erheben oder zu bieten, und leeren Wallets dann sofort nach Genehmigung.
  • Irreführende UI/UX-Manipulation: Betrügerische dApps zeigen vage Transaktionsbeschreibungen ('Swap bestätigen', 'Trading aktivieren'), während sie den tatsächlichen Genehmigungsbetrag verbergen und oft unbegrenzte Allowance (type(uint256).max) im Code setzen.

So erkennen Sie es

  • Sie werden aufgefordert, einen bestimmten Token zu genehmigen, aber die dApp behauptet, einen nicht verwandten Service anzubieten (wie eine NFT-Prägung, die Genehmigung für einen Governance-Token anfordert, den Sie nicht besitzen).
  • Die Genehmigungsanfrage zeigt einen ungewöhnlich hohen oder 'unbegrenzten' Allowance-Betrag (angezeigt als sehr große Zahl oder MAX in den Transaktionsdetails).
  • Die Transaktions-URL oder dApp-Domain ist leicht falsch geschrieben im Vergleich zur legitimen Version (z. B. 'uniswapp.org' statt 'uniswap.org').
  • Sie sehen einen Transaktionsbestätigungsbildschirm, der nicht klar angibt, was Sie genehmigen, oder nicht der beabsichtigten Aktion entspricht.
  • Ihr Wallet-Saldo sinkt plötzlich für Token, die Sie nicht explizit übertragen haben – oft bemerkt beim Überprüfen des Wallet-Verlaufs und Sehen von Transaktionen, die Sie nicht eingeleitet haben.
  • Eine legitime dApp fordert Sie wiederholt auf, denselben Token erneut zu genehmigen, was normalerweise nur einmal notwendig ist, es sei denn, die Allowance wurde vollständig verbraucht.

So schützen Sie sich

  • Überprüfen Sie dApp-Domains immer, indem Sie sie direkt in Ihren Browser eingeben, statt auf Links in sozialen Medien, Discord oder E-Mails zu klicken – nutzen Sie ein Tool zur Blockchain-Domain-Verifizierung wie Revoke.cash, um URLs doppelt zu überprüfen.
  • Nutzen Sie einen Token-Genehmigungsüberwachungsservice wie Revoke.cash oder Etherscan's Approvals-Tab, um regelmäßig alle aktiven Token-Genehmigungen in Ihrem Wallet zu überprüfen und Berechtigungen für Services zu widerrufen, die Sie nicht mehr nutzen.
  • Genehmigen Sie nur den spezifischen Betrag, den Sie für eine einzelne Transaktion benötigen, statt unbegrenzter Allowance; die meisten legitimen dApps ermöglichen Benutzern, benutzerdefinierte Genehmigungsbeträge einzugeben.
  • Aktivieren Sie Transaction-Simulation-Tools wie Tenderly oder Etherscan's Simulation-Funktion, bevor Sie eine Transaktion signieren, um genau zu sehen, was passiert (welche Token sich bewegen und wohin).
  • Bewahren Sie Token, mit denen Sie nicht aktiv handeln, in separaten Cold-Storage-Wallets (Hardware-Wallets wie Ledger oder Trezor) auf, die sich nie mit dApps verbinden und Ihr Engagement für hochwertige Vermögenswerte isolieren.
  • Praktizieren Sie die 'Schichten-Wallet'-Strategie: Nutzen Sie ein Wallet mit kleinen Beträgen für dApp-Interaktion und Tests, und unterhalten Sie ein separates sicheres Wallet für langfristige Bestände, um den potenziellen Verlust aus einer kompromittierten Adresse zu reduzieren.

Reale Beispiele

Ein Benutzer sieht einen Twitter-Post, der einen exklusiven Ethereum-L2-Airdrop mit garantierten Belohnungen bewirbt. Er klickt auf den Link, verbindet sein MetaMask-Wallet und sieht einen Button mit der Bezeichnung 'Airdrop abholen'. Zuvor fordert die dApp die Berechtigung an, seine USDC-Token zu verschieben (notwendig für die Forderung, oder so meint der Benutzer). Der Benutzer genehmigt die unbegrenzte Allowance. Innerhalb von 6 Stunden werden seine gesamten 18.000 Euro USDC auf eine Angreifer-Adresse übertragen. Der Airdrop war gefälscht; die Genehmigungsanfrage war der eigentliche Angriff.

Ein Discord-Moderator in einer beliebten NFT-Community teilt einen Link zu einem 'verifizierten' NFT-Marktplatz, der frühen Zugriff auf eine hochwertige Sammlung bietet. Benutzer, die ihre Wallets verbinden, werden aufgefordert, ihre ETH zum Handeln zu genehmigen. Die Benutzeroberfläche zeigt eine einzelne Transaktion, aber versteckt im Contract-Code ist eine unbegrenzte Genehmigung für einen anderen Token (oft ein wertvoller Governance-Token, den Mitglieder halten). Zwei Tage später stellen Opfer fest, dass ihre Uniswap-Governance-Token geleert wurden, insgesamt 25.000 Euro in der betroffenen Gruppe.

Ein Investor erhält eine Phishing-E-Mail, die behauptet, seine Aave-Kreditposition erfordere sofortige Maßnahmen aufgrund von 'Liquiditätsanpassungen'. Der E-Mail-Link führt zu einer scheinbar echten Aave-Schnittstelle (kleine Domänen-Rechtschreibfehler). Die Anmeldung und 'Bestätigung' der Anpassung löst eine Token-Genehmigungsanfrage aus, die Benutzer für Routine-Wartung halten. Der Angreifer leert dann stillschweigend genehmigte Token über die folgende Woche, wobei das Opfer zu diesem Zeitpunkt nicht mehr das Wallet überwacht hat und den 34.000-Euro-Verlust erst bei einer vierteljährlichen Portfolio-Überprüfung entdeckt.

Häufig gestellte Fragen

Was ist der Unterschied zwischen Transaktionsgenehmigung und Token-Genehmigung?
Eine Transaktionsgenehmigung signiert eine einzelne, spezifische Aktion (wie den Swap von 10 USDC gegen ETH). Eine Token-Genehmigung gewährt einem Smart Contract die Berechtigung, JEDEN Betrag dieses Tokens aus Ihrem Wallet zu verschieben – mehrfach – bis Sie ihn widerrufen. Betrüger nutzen diese Verwirrung aus, indem sie Benutzer glauben machen, eine einmalige Transaktion zu signieren, während sie tatsächlich unbegrenzten Zugriff erteilen.
Kann ich Token nach dem Leeren wiederherstellen?
Die Wiederherstellung ist extrem schwierig, sobald Token übertragen wurden. Blockchain-Transaktionen sind nicht umkehrbar, und Angreifer transferieren Token schnell über Mixer (Tornado Cash) oder zu dezentralisierten Börsen. Ihre einzige Option ist, die empfangende Börse zu kontaktieren, wenn Sie identifizieren, wo Token verkauft wurden, aber dies führt selten zu Wiederherstellung. Prävention durch Genehmigungsverwaltung ist weitaus effektiver als Wiederherstellungsversuche.

Wo melden — Deutschland

Offizielle Stellen in Ihrer Region zum Melden dieses Betrugs.

BSI Bürger-CERT

Cyberkriminalität

Bundesamt für Sicherheit in der Informationstechnik – Warnungen und Beratung für Bürger.

Besuchen →

Polizei Online-Wache

Meldung

Online-Anzeige von Betrug bei der Polizei Ihres Bundeslandes.

Besuchen →

Verbraucherzentrale

Verbraucherschutz

Beratung für Verbraucher bei Online-Betrug und Phishing.

Besuchen →

BaFin Verbraucherschutz

Finanzaufsicht

Bundesanstalt für Finanzdienstleistungsaufsicht – Anlagebetrug und Banken-Beschwerden.

Besuchen →

Glauben Sie, auf diesen Betrug gestoßen zu sein?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), token-genehmigungsexploit: wie betrüger web3-wallets leeren is described at https://scamlens.org/de/encyclopedia/token-approval-exploit.
https://scamlens.org/de/encyclopedia/token-approval-exploit