Bekannte On-Chain-Sicherheitsforscher ZachXBT hat kürzlich offengelegt, dass eine Phishing-Attacke gegen MetaMask-Wallet-Nutzer zu Schäden an mehreren Hundert Wallets geführt hat, mit einem kumulierten Verlust von über 107.000 US-Dollar, der weiterhin steigt. Die Angreifer nutzten die Neujahrsfeiertage, um sich als offizielle Stellen auszugeben und „Pflicht-Updates“ per Phishing-Mail zu versenden, um Nutzer zur Unterschrift bösartiger Vertragsgenehmigungen zu verleiten.
Dieses Ereignis, zusammen mit dem kürzlichen Vorfall, bei dem eine Schwachstelle in der Trust Wallet Browser-Erweiterung mindestens 8,5 Millionen US-Dollar gestohlen hat, unterstreicht erneut die extreme Verwundbarkeit der Sicherheit auf Nutzerseite in der Krypto-Welt. Dieser Artikel analysiert die Angriffsmethoden im Detail, bietet sofortige Notfallmaßnahmen und entwickelt ein zukunftsorientiertes Deep-Defense-System.
Gesamtdarstellung des Angriffs: Präzises Jagen während der Feiertage
Zu Beginn des neuen Jahres, wenn Entwickler und Projektteams weltweit im Urlaub sind und das Personal am geringsten ist, startet eine koordinierte Attacke auf Kryptowallets. Sicherheitsforscher ZachXBT hat auf der Blockchain beobachtet, dass Hunderte von Wallet-Adressen auf mehreren EVM-kompatiblen Chains kontinuierlich in kleinen Beträgen bestohlen werden. Der Verlust pro Opfer liegt meist unter 2.000 US-Dollar, während die gestohlenen Gelder alle auf eine verdächtige Adresse fließen. Bis zum Redaktionsschluss hat sich die Gesamtsumme der gestohlenen Beträge auf über 107.000 US-Dollar erhöht, und die Zahl wächst weiter.
Obwohl die Ursachen des Angriffs noch untersucht werden, haben Nutzerberichte den Einstiegspunkt offenbart: eine gefälschte „Pflicht-Update“-Phishing-Mail, die angeblich von MetaMask verschickt wurde. Diese Mail ist professionell gestaltet, zeigt das charakteristische Fuchs-Logo von MetaMask und trägt eine Party-Mütze. Der Betreff lautet „Frohes Neues!“, was die festliche Stimmung nutzt, um die Wachsamkeit der Nutzer zu senken. Die Angreifer haben den Angriff genau zu diesem Zeitpunkt gestartet, da die Reaktionszeit der Nutzer gering ist und die Aufmerksamkeit nachlässig ist.
Dieses „Kleinbetrags-Mehrfach-Diebstahl“-Schema ist äußerst strategisch. Es deutet stark darauf hin, dass die Angreifer nicht nur durch Diebstahl des Seed Phrase (Wiederherstellungsphrase) die volle Kontrolle über die Wallet erlangen wollen, sondern vielmehr durch die vorherige Manipulation der Nutzer, die eine bösartige „Vertragsgenehmigung“ (Contract Approval) unterschreiben. Standardmäßig sind viele Token-Genehmigungen auf „unbegrenzt“ gesetzt, aber die Angreifer löschen die Wallets nicht sofort, sondern kontrollieren die gestohlenen Beträge in kleinen Summen. So vermeiden sie, sofort Alarm zu schlagen, und können die Attacke auf Hunderte von Wallets skalieren, was letztlich zu einer beträchtlichen Summe im sechsstelligen Bereich führt.
ZachXBT offenbart Schlüsseldaten des Phishing-Vorfalls
Angriffszeitraum: Über die Neujahrsfeiertage, genauer Zeitraum noch zu bestätigen
Anzahl der betroffenen Wallets: Hunderte (genaue Zahl steigt ständig)
Durchschnittlicher Verlust pro Wallet: In der Regel unter 2.000 US-Dollar
Gesamtschadenssumme: Über 107.000 US-Dollar bestätigt
Betroffene Netzwerke: Mehrere EVM-kompatible Chains (z.B. Ethereum, Polygon, Arbitrum usw.)
Angriffsmethode: Phishing-Mail, die zur Unterschrift bösartiger Vertragsgenehmigungen verleitet
Analyse der vier Schwachstellen „wirksamer“ Phishing-Mails
Warum fallen so viele erfahrene Krypto-Nutzer auf diese Masche herein? Diese Phishing-Mail, die angeblich von MetaMask stammt, ist ein Lehrbeispiel für Social Engineering. Ihr Erfolg offenbart die weit verbreiteten Schwächen in den Sicherheitsgewohnheiten der Nutzer. Doch egal wie raffiniert die Täuschung ist, solche Angriffe zeigen immer wieder Schwachstellen in den Details. Das Erkennen der folgenden vier Signale kann helfen, Bedrohungen vor Schaden zu bewahren.
Erstens, und am offensichtlichsten, ist „starke Diskrepanz zwischen Marke und Absender“. In diesem Fall zeigt der Absender „MetaLiveChain“ – ein Name, der nach DeFi klingt, aber in Wirklichkeit nichts mit MetaMask zu tun hat. Das ist ein klares Indiz dafür, dass der Angreifer eine legitime Marketing-Mail-Vorlage gestohlen hat. Im Kopfbereich der Mail befindet sich sogar ein Abmeldelink, der auf „reviews@yotpo .com“ verweist, was die Spam-Natur weiter offenbart.
Zweitens, „künstlich erzeugter Dringlichkeitsdruck“ ist ein klassisches Phishing-Muster. Der Text betont, dass das Update „obligatorisch“ sei und Nutzer sofort handeln müssten, sonst könnten Wallet-Funktionen beeinträchtigt werden. Das steht im Widerspruch zu den Sicherheitsrichtlinien von MetaMask. MetaMask betont ausdrücklich, dass „niemals“ offizielle Updates per unaufgeforderter E-Mail verlangt werden. Jede dringende Aufforderung zu einem Update, die angeblich von der offiziellen Stelle kommt, ist sofort als Warnsignal zu werten.
Drittens, „irreführende Links“. Die Buttons oder Links in der Mail, z.B. „Jetzt aktualisieren“, führen oft auf Domains, die nicht mit der offiziellen Organisation übereinstimmen. Nutzer sollten vor dem Klicken nur den Mauszeiger über den Link bewegen (auf Desktop), um die tatsächliche Zieladresse zu sehen. Jede URL, die nicht metamask.io oder eine offizielle Subdomain ist, sollte mit höchster Skepsis betrachtet werden.
Viertens, „Aufforderung zur Preisgabe sensibler Daten oder Berechtigungen“ ist die letzte rote Linie. MetaMask und legitime Vertreter werden niemals per Mail, SMS oder Telefon nach deinem Secret Recovery Phrase fragen. Ebenso ist jede Aufforderung, eine unbekannte Off-Chain-Nachricht oder Transaktion zu signieren, höchst verdächtig. Im Fall von ZachXBTs Offenlegung wurden Opfer wahrscheinlich dazu verleitet, eine schädliche Token-Genehmigung zu unterschreiben, was ihnen den Zugang zu ihren Assets öffnet.
Notfallmaßnahmen: Widerruf von Berechtigungen und Schadensbegrenzung
Wenn du vermutest, auf einen Phishing-Link geklickt oder eine verdächtige Genehmigung unterschrieben zu haben, ist Panik nicht hilfreich. Sofortige Schadensbegrenzung ist gefragt. Das wichtigste Ziel ist, „den Zugriff der Angreifer zu kappen“. Glücklicherweise gibt es Tools, um Berechtigungen einfach zu verwalten und zu widerrufen.
MetaMask-Nutzer können jetzt direkt im MetaMask Portfolio alle Token-Genehmigungen einsehen und verwalten. Zudem bieten spezialisierte Websites wie Revoke.cash eine einfache Bedienung: Wallet verbinden, Netzwerk auswählen, und es werden alle Berechtigungen angezeigt. Nutzer können einzelne Verträge prüfen und „Widerrufen“ (Revoke) anklicken. Auch Block Explorer wie Etherscan bieten Funktionen zur manuellen Rücknahme von Token-Genehmigungen für ERC-20, ERC-721 und andere Standards. Schnelles Handeln ist entscheidend, um vor der vollständigen Kontrolle durch die Angreifer die verbleibenden Assets zu sichern.
Doch die richtige Reaktion hängt vom Ausmaß des Angriffs ab. Hier besteht ein fundamentaler Unterschied: „Berechtigungs-Diebstahl durch Verträge“ versus „vollständiger Verlust des Seed Phrase“. Bei ersterem besitzen die Angreifer nur die Berechtigung, bestimmte Token zu transferieren. Das rechtzeitige Widerrufen kann die Kontrolle über die Wallet bewahren, und man sollte die Sicherheitsmaßnahmen verstärken. Bei letzterem haben die Angreifer die volle Kontrolle, und alle Maßnahmen, inklusive Widerruf, könnten umgangen oder rückgängig gemacht werden.
MetaMasks offizielle Sicherheitsrichtlinien machen hier eine klare Grenze: Wenn der Verdacht besteht, dass die Secret Recovery Phrase kompromittiert wurde, sofort den Wallet-Betrieb einstellen. Es ist notwendig, auf einem neuen, sauberen, virenfreien Gerät eine neue Wallet zu erstellen und alle ungestohlenen Assets dorthin zu transferieren. Die alte Seed Phrase gilt als „dauerhaft zerstört“ und darf niemals wieder verwendet werden. Diese radikale Entscheidung ist die einzige Lösung, um im schlimmsten Fall die Kontrolle zu behalten.
Aufbau eines tiefgreifenden Verteidigungssystems: Von Einzelmaßnahmen zu einem Sicherheitskonzept
Sowohl dieser Phishing-Angriff als auch der vorherige Vorfall mit der Schwachstelle in der Trust Wallet Erweiterung, bei dem 8,5 Millionen US-Dollar gestohlen wurden, zeigen dass die Abhängigkeit von einzelnen Schutzmaßnahmen gefährlich ist. Angesichts der ständig weiterentwickelten Bedrohungen müssen Nutzer ein „Defense-in-Depth“-System aufbauen, das auf mehreren Ebenen Barrieren schafft und potenzielle Verluste begrenzt.
Erste Ebene: Wallet-Konfiguration und tägliche Sicherheitsgewohnheiten. Wallet-Anbieter integrieren zunehmend Sicherheitsfunktionen. MetaMask ermutigt Nutzer beispielsweise, bei Genehmigungen manuell Limits zu setzen, anstatt „unbegrenzt“ zu wählen. Zudem sollte man regelmäßig alte Berechtigungen überprüfen und entfernen, was ebenso wichtig ist wie die Nutzung eines Hardware-Wallets. MetaMask’s standardmäßig aktivierte Blockaid-Sicherheitswarnungen, die vor verdächtigen Transaktionen warnen, sind eine unterschätzte Schutzlinie.
Zweite Ebene: Risikostreuung durch Asset-Klassifizierung und Wallet-Isolation. Das ist eine der effektivsten Maßnahmen gegen Angriffe. Es empfiehlt sich, eine „Cold-Wallet“-/„Warm-Wallet“-/„Hot-Wallet“-Struktur zu verwenden:
- Cold Wallet (Langzeitlagerung): Hardware-Wallets (z.B. Ledger, Trezor) für große, langfristige Bestände.
- Warm Wallet (Alltagstransaktionen): Software-Wallets (z.B. MetaMask) für kleinere Beträge, die regelmäßig genutzt werden.
- Hot Wallet (Test- und Experimentier-Wallet): Für Interaktionen mit neuen, ungetesteten DeFi-Protokollen oder NFTs.
Dieses Modell erhöht die Sicherheitsmarge erheblich. Ein erfolgreicher Phishing-Angriff auf das „Burner“-Wallet kostet nur wenige Hundert oder Tausend Dollar, während ein Angriff auf die zentrale Wallet mit allen Vermögenswerten katastrophal sein kann.
Dritte Ebene: Kontinuierliche Bildung und Sicherheitsmentalität. Die Branche macht häufig Sicherheitslücken an mangelnder Nutzerbildung fest. Doch Studien wie Chainalysis zeigen, dass allein im Jahr 2025 rund 158.000 Wallet-Diebstähle stattfanden, die mindestens 80.000 Nutzer betroffen haben. Die Angreifer entwickeln sich schneller als die Nutzer lernen. Daher ist eine Haltung des „ständigen Zweifels“ notwendig: Misstraue allen unaufgeforderten Informationen von Wallet-Anbietern; gehe grundsätzlich davon aus, dass jede Token-Genehmigung gefährlich ist, es sei denn, du verstehst sie vollständig und vertraust ihr; und sei dir immer bewusst, dass die Bequemlichkeit in der Krypto-Welt eine potenzielle Angriffsfläche darstellt.
ZachXBTs Enthüllung zeigt, dass die gestohlenen Adressen irgendwann markiert werden, und große Börsen (CEX) Konten einfrieren. Doch nächste Woche wird ein neuer Angreifer mit leicht modifizierten Vorlagen und neuen Adressen wieder zuschlagen. In diesem ewigen Kreislauf von Angriffen und Abwehrmaßnahmen liegt die eigentliche Wahl der Nutzer nicht darin, zwischen Sicherheit und Bequemlichkeit zu entscheiden, sondern darin, „jetzt aktiv Sicherheitsmaßnahmen zu ergreifen“ und die Kontrolle über die eigenen Assets zu behalten.
