Direkt zum Hauptinhalt

Address Poisoning: Der lautlose Betrug, der Millionen durch einfaches Kopieren und Einfügen stiehlt

· 9 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Ein einziger Copy-Paste-Fehler kostete einen Krypto-Trader im Dezember 2025 50 Millionen Dollar. Kein Smart Contract wurde ausgenutzt. Kein privater Schlüssel wurde kompromittiert. Das Opfer kopierte lediglich eine Wallet-Adresse aus seinem Transaktionsverlauf — eine, die fast identisch mit der echten aussah, aber einem Angreifer gehörte. Willkommen beim Address Poisoning, dem heimtückischsten und am meisten unterschätzten Angriffsvektor im DeFi-Bereich.

Was ist Address Poisoning?

Address Poisoning ist ein Social-Engineering-Angriff, der die Art und Weise ausnutzt, wie Menschen mit Blockchain-Adressen interagieren. Im Gegensatz zu traditionellen Hacks, die Code-Schwachstellen ausnutzen, nutzt dieser Betrug eine weitaus grundlegendere Schwäche: das menschliche Verhalten.

So funktioniert es in der Praxis:

  1. Überwachung: Ein Angreifer überwacht die Blockchain nach High-Value-Wallets, die regelmäßige Überweisungen tätigen.
  2. Erstellung von Lookalikes: Mithilfe von GPU-beschleunigten Vanity-Address-Tools wie Profanity2 oder Vanity-ETH generiert der Angreifer eine Wallet-Adresse, bei der die ersten 4–6 und die letzten 4–6 Zeichen mit der häufig verwendeten Empfängeradresse des Opfers übereinstimmen.
  3. Verlauf vergiften: Der Angreifer sendet eine winzige Transaktion — oft im Wert von Null oder nur Bruchteilen eines Cents — von der Lookalike-Adresse an die Wallet des Opfers. Dies „besät“ den Transaktionsverlauf des Opfers mit der gefälschten Adresse.
  4. Die Falle schnappt zu: Wenn das Opfer später Geld senden muss, öffnet es seinen Transaktionsverlauf, entdeckt eine Adresse, die wie die übliche Empfängeradresse aussieht, kopiert sie und sendet den Betrag. Das Geld geht direkt an den Angreifer.

Der gesamte Angriff kostet den Gegner nur wenige Cent an Gas-Gebühren. Die Auszahlung kann in die Millionen gehen.

Das Ausmaß ist erschütternd

Akademische Forschungen, die auf der USENIX Security 2025 vorgestellt wurden, enthüllten das wahre Ausmaß dieser Bedrohung. Über einen Messzeitraum von zwei Jahren identifizierten Forscher 270 Millionen Poisoning-Versuche auf Ethereum und der Binance Smart Chain, die auf über 17 Millionen einzigartige Opfer-Adressen abzielten und dabei etwa 50 Millionen Lookalike-Adressen verwendeten.

Bestätigte Verluste übersteigen allein auf Ethereum 83,8 Millionen Dollar. Und das sind nur die dokumentierten Fälle — die tatsächliche Zahl ist mit Sicherheit höher, da viele Opfer den Vorfall nie melden oder gar nicht merken, was passiert ist.

Der Fusaka-Effekt

Ethereums Fusaka-Upgrade am 3. Dezember 2025 hat das Address Poisoning unbeabsichtigt massiv verstärkt. Durch die Reduzierung der Transaktionsgebühren um das etwa Sechsfache machte das Upgrade groß angelegte Poisoning-Kampagnen dramatisch günstiger in der Durchführung. Die Ergebnisse waren unmittelbar:

  • Die täglichen Dust-Transaktionen stiegen auf 167.000 an und erreichten im Januar 2026 einen Spitzenwert von 510.000 an einem einzigen Tag.
  • Die Poisoning-Versuche schnellten von 628.000 im November 2025 auf Millionen im Januar 2026 hoch — ein Anstieg um das Fünffache in nur zwei Monaten.
  • 67 % der neu aktiven Ethereum-Adressen erhielten weniger als 1 $ in ihrer ersten Transaktion, ein klares Anzeichen für systematische Dusting-Kampagnen.

Während die täglichen Transaktionen auf Ethereum nach Fusaka um ca. 50 % stiegen und die aktiven Adressen um ca. 60 % zunahmen, war ein erheblicher Teil dieses „Wachstums“ künstlich — getrieben durch Poisoning-Bots statt durch organische Akzeptanz.

Anatomie eines 50-Millionen-Dollar-Fehlers

Der bisher verheerendste Address-Poisoning-Angriff ereignete sich am 20. Dezember 2025. Ein Krypto-Trader sendete zunächst eine kleine Testtransaktion an die richtige Adresse — ein Standard-Best-Practice. Doch ein Angreifer beobachtete ihn.

Innerhalb weniger Minuten generierte der Angreifer eine Lookalike-Adresse, die dem Ziel des Opfers entsprach, sendete eine Dust-Transaktion, um den Verlauf zu vergiften, und wartete. Nur 26 Minuten später kopierte das Opfer die vergiftete Adresse aus seinem Transaktionsprotokoll und sendete 49.999.950 USDT direkt an den Angreifer.

Der Angreifer ging mit chirurgischer Präzision vor:

  • Innerhalb von 30 Minuten tauschte er die gesamten 50 Mio. $ USDT via MetaMask Swap in DAI um — eine strategische Wahl, da Tether USDT in markierten Wallets einfrieren kann, das dezentrale DAI jedoch keine solchen zentralisierten Kontrollen besitzt.
  • Konvertierte das DAI in etwa 16.690 ETH.
  • Zahlte die ETH bei Tornado Cash ein, um die Spur zu verwischen.

Das Opfer veröffentlichte eine On-Chain-Nachricht, in der es die Rückgabe von 98 % der Gelder forderte und ein White-Hat-Kopfgeld von 1 Million Dollar anbot. Die Gelder wurden nie zurückgegeben.

Der Sillytuna-Fall: Wenn digitale Angriffe physisch werden

Am 5. März 2026 verlor der Krypto-Influencer „Sillytuna“ 24 Millionen Dollar in aEthUSDC durch einen Address-Poisoning-Angriff auf Aave. Der Angreifer tauschte die Token schnell in ETH um, konvertierte sie in etwa 20 Millionen Dollar DAI und begann, Teile davon auf Arbitrum zu brücken, um die Rückverfolgung zu erschweren.

Doch dieser Fall ging über digitalen Diebstahl hinaus. Sillytuna berichtete von physischen Drohungen, einschließlich Waffen- und Entführungsdrohungen, die auf den Angriff folgten. Das Opfer kündigte an, den Krypto-Bereich vollständig zu verlassen. Der Vorfall illustrierte eine erschreckende Eskalation: Address Poisoning als Einstiegspunkt für kombinierte digital-physische Angriffe auf bekannte Krypto-Besitzer.

Weitere bemerkenswerte Vorfälle im Jahr 2026 sind:

  • 4.556 ETH (12,4 Mio. $) gestohlen am 30. Januar 2026 von einem Opfer, das eine scheinbar routinemäßige OTC-Einzahlung vornahm.
  • Zwei Opfer verloren zusammen 62 Millionen Dollar durch Address Poisoning zwischen Dezember 2025 und Januar 2026, so Scam Sniffer.

Drei Angriffsvarianten

Forscher haben drei Hauptstrategien für Poisoning identifiziert, die jeweils unterschiedliche technische Mechanismen ausnutzen:

1. Tiny-Transfer-Angriffe

Der Angreifer sendet einen kleinen Betrag (in der Regel unter 10 $) von einer ähnlich aussehenden Adresse. Dies erstellt einen legitime erscheinenden Eintrag im Transaktionsverlauf des Opfers. Es kostet den Angreifer echte Token, erzeugt aber überzeugende Verlaufseinträge.

2. Zero-Value-Transfer-Angriffe

Durch das Ausnutzen der ERC-20 transferFrom-Funktion können Angreifer Token-Transfer-Events erstellen, die in den Transaktionsprotokollen erscheinen, ohne Token auszugeben. Der ERC-20-Standard erlaubt transferFrom-Aufrufe mit Nullbeträgen, welche von Block-Explorern und Wallets als normale Transaktionen angezeigt werden. Dies ist die günstigste und am weitesten verbreitete Variante.

3. Angriffe mit gefälschten Token

Angreifer stellen gefälschte Token-Contracts bereit, die legitime Token imitieren (wie gefälschtes USDT oder USDC). Sie senden wertlose, gefälschte Token von ähnlich aussehenden Adressen und erstellen so Transaktionsverlaufseinträge, die in vielen Wallet-Interfaces identisch mit echten Überweisungen aussehen.

Warum traditionelle Abwehrmechanismen scheitern

Address Poisoning hält sich hartnäckig, da es auf die Lücke zwischen Blockchain-Sicherheit und menschlicher Benutzerfreundlichkeit abzielt:

  • Keine Malware erforderlich: Im Gegensatz zu Phishing oder Keyloggern erfordert Address Poisoning keinen Zugriff auf das Gerät des Opfers.
  • Kein Smart-Contract-Exploit: Die Blockchain selbst funktioniert genau wie vorgesehen – das Opfer autorisiert die Überweisung tatsächlich.
  • Abhängigkeit von Abkürzungen: Die meisten Wallets zeigen Adressen als 0xAbCd...EfGh an und blenden nur die ersten und letzten Zeichen ein. Angreifer passen ihre Adressen gezielt an diese angezeigten Teile an.
  • Transaktionsverlauf als vertrauenswürdige Quelle: Benutzer behandeln ihren eigenen Transaktionsverlauf als zuverlässiges Adressbuch, ohne zu wissen, dass dieser von jedem auf einer öffentlichen Blockchain manipuliert werden kann.
  • Unumkehrbarkeit: Einmal bestätigt, können Blockchain-Transaktionen nicht rückgängig gemacht werden. Es gibt keinen Kundendienst, den man anrufen kann, und keine Rückbuchung.

Das Verteidigungs-Playbook

Schutz erfordert sowohl individuelle Disziplin als auch Verbesserungen im gesamten Ökosystem:

Für einzelne Benutzer

  • Kopieren Sie niemals Adressen aus dem Transaktionsverlauf. Rufen Sie Adressen immer aus Ihrer ursprünglichen, verifizierten Quelle ab – einem gespeicherten Kontakt, einer offiziellen Website oder der direkten Kommunikation mit dem Empfänger.
  • Überprüfen Sie die VOLLSTÄNDIGE Adresse. Prüfen Sie jedes Zeichen, nicht nur den Anfang und das Ende. Selbst ein einziges abweichendes Zeichen in der Mitte bedeutet eine völlig andere Wallet.
  • Nutzen Sie Adressbücher konsequent. Die meisten Wallets unterstützen Kontaktlisten oder Adress-Whitelisting. Sobald Sie eine Adresse verifiziert haben, speichern Sie diese und senden Sie immer an den gespeicherten Kontakt.
  • Nutzen Sie ENS und Blockchain-Domains. Ethereum Name Service (ENS)-Namen wie ihrname.eth machen den Umgang mit rohen Adressen gänzlich überflüssig und reduzieren das Copy-Paste-Risiko drastisch.
  • Senden Sie Testtransaktionen – und verifizieren Sie dann sorgfältig. Testtransaktionen sind eine gute Praxis, schützen Sie jedoch nicht, wenn Sie beim zweiten Mal die vergiftete Adresse kopieren. Überprüfen Sie nach einem Test über einen Off-Chain-Kanal, ob der Empfänger den Erhalt bestätigt hat.

Lösungen auf Ökosystem-Ebene

Die Branche beginnt zu reagieren, wenn auch die Fortschritte ungleichmäßig sind:

  • Trust Wallet führte im März 2026 einen automatischen Schutz gegen Address Poisoning für 32 EVM-Chains ein, der jede ausgehende Transaktion in Echtzeit gegen bekannte Poisoning-Adressen scannt.
  • Ledger Live blendet Token-Transfers mit dem Wert Null standardmäßig aus und filtert so gängige Poisoning-Versuche, bevor sie im Transaktionsverlauf erscheinen.
  • Warnungen auf Wallet-Ebene: Mehrere Wallets markieren mittlerweile Transaktionen an Adressen, die Adressen im Verlauf des Benutzers stark ähneln, aber nicht mit ihnen übereinstimmen.
  • Clear-Signing-Initiativen verlangen von Benutzern, dass sie die vollständigen Transaktionsdetails auf den Bildschirmen von Hardware-Wallets überprüfen und bestätigen, bevor sie signieren.

Was die Branche noch benötigt

Trotz dieser Verbesserungen bleiben kritische Lücken bestehen:

  • Standardmäßig aktivierter Schutz: Abwehrmechanismen gegen Address Poisoning sollten in jeder Wallet standardmäßig aktiviert sein und keine Opt-in-Funktionen sein, die in den Einstellungen vergraben sind.
  • Vollständige Adressanzeige: Wallets sollten während des Bestätigungsschritts vollständige Adressen anzeigen, keine abgekürzten Versionen.
  • Chain-übergreifende Koordination: Angreifer transferieren gestohlene Gelder zunehmend über Bridges zwischen verschiedenen Chains (wie im Fall Sillytuna zu sehen). Wallet-Schutzmaßnahmen müssen vom ersten Tag an Multi-Chain-fähig sein.
  • Minderungen auf Protokollebene: ERC-20-Contracts könnten aktualisiert werden, um transferFrom-Aufrufe mit dem Wert Null von unbefugten Absendern abzulehnen, wodurch die günstigste Poisoning-Variante auf Protokollebene eliminiert würde.

Die unangenehme Wahrheit

Address Poisoning offenbart ein grundlegendes Spannungsfeld in der Designphilosophie von Krypto. Dieselben Eigenschaften, die die Blockchain so mächtig machen – erlaubnisfrei, unveränderlich, pseudonym –, machen sie auch zu einer perfekten Umgebung für Social-Engineering-Angriffe. Jeder kann Transaktionen an jede Adresse senden. Einmal gesendet, können Gelder nicht zurückgeholt werden. Und Adressen sind für Maschinen konzipiert, nicht für das menschliche Gedächtnis.

Die bestätigten Verluste in Höhe von 83,8 Millionen $ sind mit Sicherheit nur ein Bruchteil der tatsächlichen Kosten. Viele Opfer bemerken nie, dass sie vergiftet wurden. Andere schämen sich zu sehr, um es zu melden. Und da die Gebührensenkungen nach dem Fusaka-Upgrade bei Ethereum Poisoning-Kampagnen billiger denn je machen, vergrößert sich die Angriffsfläche eher, als dass sie schrumpft.

Solange Wallets die Adressverifizierung nicht als vorrangiges Sicherheitsbedenken behandeln – und nicht als bloßen Nebengedanken –, wird Address Poisoning weiterhin Millionen von Nutzern berauben, die ansonsten alles richtig gemacht haben.

Der Aufbau auf einer Blockchain-Infrastruktur erfordert Vertrauen in das Fundament Ihrer Anwendung. BlockEden.xyz bietet RPC- und API-Dienste der Enterprise-Klasse über mehrere Chains hinweg an, damit sich Entwickler auf die Erstellung sicherer Benutzererlebnisse konzentrieren können, anstatt die Node-Infrastruktur zu verwalten. Erkunden Sie unseren API-Marktplatz, um loszulegen.

Share on Twitter