Betrüger nutzen aufgegebene DeFi-Projektwebseiten, um Nutzer zur Autorisierung schädlicher Transaktionen zu verleiten und deren Krypto-Wallets zu leeren. Durch die Übernahme der legitimen URLs hoffen sie, dass ehemalige Nutzer auf die vertrauten Seiten zurückkehren und dort Gelder abheben wollen, wodurch sie in die Falle tappen. Experten warnen vor dieser neuen Betrugsmasche und raten zur genauen Überprüfung jeder Transaktion.
Die dezentrale Finanzwelt (DeFi) birgt neue Risiken. Wie Protos am 16. April 2025 berichtete, missbrauchen Betrüger aufgegebene Projekt-Webseiten, um ehemalige Nutzer dazu zu bringen, schädliche Transaktionen zu autorisieren, sogenannte "Drainer". Diese "Drainer" leeren die Krypto-Wallets der Opfer. 0xngmi, Gründer der Analyseplattform DeFiLlama, warnte vor dieser neuen Betrugsmasche und bestätigte die Entfernung abgelaufener Domains von der Plattform und ihrer Browser-Erweiterung. Trotzdem mahnte er zur Vorsicht.
Diese passive Taktik unterscheidet sich von herkömmlichen Betrugsmethoden, die meist aktives Handeln der Betrüger erfordern. Durch die Übernahme einer legitimen URL spekuliert der Betrug darauf, dass frühere Nutzer auf die vertrauten (und möglicherweise als Lesezeichen gespeicherten) Webseiten zurückkehren, um Gelder abzuheben, die sie während der aktiven Projektphase eingezahlt hatten. Da kein Team mehr existiert, um auf die Sicherheitslücke hinzuweisen oder die bösartige Oberfläche zu ersetzen, bleibt gegen diese gut vorbereiteten DeFi-Website-Fallen kaum eine andere Möglichkeit, als jede zu signierende Transaktion genau zu prüfen. Ein Mitglied der Maker/Sky-Community wies darauf hin, dass die offizielle Domain der inzwischen aufgelösten Maker-Sub-DAO Sakura derzeit für nur einen Penny erhältlich ist.
Im Gegensatz zu Closed-Source- und zentralisierten Krypto-Börsen laufen DeFi-Protokolle direkt auf Blockchains wie Ethereum oder Solana. Die meisten Nutzer interagieren mit DeFi-Protokollen über die Projekt-Website, das sogenannte Frontend – eine benutzerfreundliche Oberfläche, die Transaktionen erstellt, welche über eine Krypto-Wallet signiert werden. Technisch ist es möglich, Transaktionen mit anderen Tools zu erstellen, einschließlich Block-Explorern wie Etherscan, dies ist jedoch unüblich.
Es ist nicht überraschend, dass die Frontends selbst ein Angriffsvektor für potenzielle Hacker darstellen. Ein gängiger Ansatz, der im letzten Sommer zu einer Welle von Vorfällen führte, besteht darin, die offizielle Website durch Social Engineering von DNS-Anbietern zu kompromittieren. Die Websites werden typischerweise geklont, aber die dem Benutzer angezeigten Transaktionen werden so verändert, dass sie beispielsweise Token-Genehmigungen erteilen oder Gelder direkt an den Angreifer senden. Eine einfachere Taktik besteht darin, legitime Websites nahezu identisch zu klonen und sie über ähnlich aussehende URLs oder getarnte Hyperlinks auf X oder Google zu hosten.
Natürlich sind einige Frontend-Verluste überhaupt keine Betrügereien. Vielmehr handelt es sich um Schwachstellen im Code der Website, die von Hackern ausgenutzt werden können. Dies war der Fall bei dem 2,6 Millionen Dollar schweren Zwischenfall am Freitag auf der DeFi-Lending-Plattform Morpho, der glücklicherweise von dem bekannten MEV-Bot c0ffeebabe.eth verhindert wurde.
Solche Angriffe, die sich in der Regel gegen einzelne Nutzer richten, unterscheiden sich von anderen Bedrohungen für Nutzer von DeFi-Plattformen, wie z. B. Exploits der Smart Contracts selbst und Kompromittierungen privater Schlüssel. Diese führen oft zu größeren Verlusten, wenn die in den Projektverträgen befindlichen Vermögenswerte auf einmal abgezogen werden.
Erst diese Woche haben beide Arten von Vorfällen zu erheblichen Verlusten geführt. Erst gestern gab ZKsync bekannt, dass 5 Millionen Dollar an ZK-Token, die vom Airdrop des Projekts übrig geblieben waren, entwendet wurden, nachdem ein 1-von-1-Multisig offenbar kompromittiert wurde. Am Montag verlor die dezentrale Perps-Börse KiloEx 7,5 Millionen Dollar aufgrund einer Schwachstelle im Preisorakel des Projekts.
Ein weiteres Risiko geht von den Teams selbst aus, die oft enorme Mengen der Token ihres Projekts kontrollieren. Wie wir in den letzten Tagen gesehen haben, können Teams nach Belieben Liquidität abziehen oder Token OTC verkaufen, was zu starken Preisschwankungen führen kann, wenn gehebelte Positionen auf überbewerteten Token explodieren, oder wenn sie selbst gehackt werden. Wie TRM Labs in ihrem Blogbeitrag vom 20. Januar 2023 erläutert, werden "Drainware"-Angriffe immer häufiger. Dabei handelt es sich um bösartige Smart Contracts, die Kryptowährungen und NFTs direkt aus der Wallet eines Nutzers abziehen, nachdem dieser unwissentlich eine Transaktion zum Kauf und Prägen eines NFTs unterzeichnet oder mit einer Phishing-Website interagiert hat.
Auch Kaspersky warnt in einem Blogbeitrag vom 6. Februar 2024 vor der Gefahr von Krypto-Drainern und gibt Tipps zum Schutz. Empfohlen wird unter anderem, nicht alle Gelder in einer Hot Wallet aufzubewahren und Transaktionen sorgfältig zu prüfen.
Quellen:
