Web3-Betrug: Gängige Kryptobetrugsmaschen und wie man sie vermeidet

Betrug ist bedauerlicherweise ein weit verbreitetes Phänomen im Kryptobereich. Nicht nur das Kryptoökosystem ist erheblich gewachsen, auch die Zahl der betrügerischen Akteure hat deutlich zugenommen. Selbstverständlich gibt es unzählig viele Methoden, sich zu schützen – aber keine davon ist narrensicher. Beispielsweise kann eine Hardware-Wallet dich zwar vor Hackerangriffen schützen, jedoch nicht davor, einem Betrug zum Opfer zu fallen.

Es gibt zahlreiche Arten von Kryptobetrug, jedoch verfolgen alle dasselbe Ziel: deine digitalen Assets. Meistens sind solche Diebstähle auch nicht so offensichtlich wie ein Überfall auf offener Straße. Der Angreifer könnte etwa ein erfahrener Hacker sein, der in der Lage ist, über deine Internetverbindung Zugriff auf dein Web2-Gerät (Computer oder Smartphone) zu erhalten. Oder er ist ein meisterhafter Schwindler, dem es gelingt, dich zur freiwilligen Herausgabe deiner Assets zu bewegen. Möglicherweise wendet er bei jedem Betrugsschritt jeweils unterschiedliche Methoden an.

Da Anonymität ein wesentliches Merkmal der Blockchain ist, ist es nicht immer problemlos möglich, den Urheber eines Kryptoverbrechens zu ermitteln. Daher gilt: Je besser du Risiken vermeidest, desto sicherer sind deine Assets.

Welche Kryptobetrugsmaschen werden nun am häufigsten eingesetzt, und wie erkennt man einen Kryptobetrüger?

Damit du dich schützen kannst, wollen wir uns nun mit den häufigsten Kryptobetrugsmaschen des Jahres 2024 befassen.

Die meistgenutzten Betrugsmaschen im Kryptobereich 2024

Selbstverständlich nimmt die Anzahl der Betrugsfälle tagtäglich zu. Daher ist es unmöglich, jeden einzelnen Fall aufzulisten, dem du begegnen könntest. Die folgenden Betrugsmaschen gehören jedoch zu den verbreitetsten. Bevor du Transaktionen durchführst, solltest du dir diese Maschen deshalb genau ansehen, um ihnen nicht auf den Leim zu gehen.

Rug Pulls

Rug Pulls gehören zu den wohl bekanntesten Betrugsmethoden in der Kryptowelt. Von einem Rug Pull (wörtlich: das Wegziehen des Teppichs“) spricht man, wenn Gründer ein Token einführen und bewerben – meist mit starkem FOMO-Marketing –, um „Investoren“ anzulocken. Sobald jedoch der Preis der Kryptowährung in die Höhe schießt, verkaufen die Gründer unverzüglich einen Großteil ihrer Anteile, wodurch dem Projekt beträchtliche Liquidität entzogen wird. Im Endeffekt bleiben die „Investoren“ dann auf wertlosen Coins sitzen.

Meist – wenn auch nicht immer – geben die Gründer das Projekt an diesem Punkt auf. Manche Projekte funktionieren nach einem anderen Prinzip: Die Gründer halten den Kontakt zu den „Investoren“ aufrecht und führen das Scheitern des Projekts auf Fehler (statt auf Vorsatz) zurück. Das Ergebnis ist jedoch dasselbe: Die „Teilnehmer“ des Projekts bleiben auf wertlosen Coins sitzen, während die Gründer nach und nach ihre Mittel abziehen und vorgeben, hiermit da und dort noch Rechnungen begleichen zu müssen. In diesen Fällen wird der Betrug in der Regel als „langsamer Rug Pull“ oder „Rug Pull in Zeitlupe“ betrachtet.

Aufblasen und Platzen lassen (Pump and Dump)

Pump and Dump (P&D) funktioniert ähnlich wie Rug Pulls, wird jedoch von Kollektiven umgesetzt. Im Wesentlichen geht es hierbei darum, dass eine Gruppe von Personen gemeinsam den Kurs einer Kryptowährung manipuliert. Als Betreiber eines Pump-and-Dump-Schemas könnte ein Freundeskreis fungieren, genauso gut aber auch eine Gruppe von Investoren, die sich im wirklichen Leben noch nie begegnet sind. Solange genügend Teilnehmer daran mitwirken, den Preis einer Coin zu beeinflussen, könnte das jeder sein.

Die Idee ist, dass sich diese Gruppe zusammenschließt, um gleichzeitig das von ihr ausgewählte Asset zu hypen. Die Mitglieder könnten X, Discord oder ein anderes soziales Netzwerk nutzen, um möglichst viele Menschen zu erreichen und das ausgewählte Asset per „Shilling“ zu bewerben. Falls du das Wort nicht kennen solltest: Shilling bezeichnet im Wesentlichen eine Strategie zur Steigerung der Nachfrage nach einem bestimmten Krypto-Asset. Das Problem besteht darin, dass eine Pump-and-Dump-Gruppe einen bestimmten Verkaufspreis im Auge hat. Nachdem ahnungslose Anleger den Preis des ausgewählten Assets in die Höhe getrieben haben, verkauft die ursprüngliche Gruppe gleichzeitig ihre Positionen und überlässt die nun wertlosen Coins den neuen Marktteilnehmern.

Phishing

Phishing kommt überall vor – sowohl in der Kryptosphäre als auch außerhalb davon. Beim Phishing gibt jemand vor, eine andere Person oder ein anderes Unternehmen zu sein. Das Ziel besteht stets darin, entweder deine Zugangsdaten und deine geheime Wiederherstellungsphrase zu ergattern oder dich dazu zu verleiten, Schadtransaktionen zu genehmigen oder zu signieren.

Als Tarnung könnte beispielsweise ein NFT-Marktplatz genutzt werden. Noch schlimmer wäre es, wenn du etwa auf ein gefälschtes MetaMask-Popup hereinfallen solltest, über das du zur Eingabe deiner geheimen Wiederherstellungsphrase aufgefordert wirst. Grundsätzlich versuchen Phishing-Betrüger, dir vorzugaukeln, dass du auf eine vertraute Plattform zugreifst.

Daher solltest du die URL jeder Website, die du besuchst, sorgfältig überprüfen, um sicherzustellen, dass du dich auf der offiziellen Website befindest. Dann solltest du dich beim Signieren von Transaktionen immer davon überzeugen, dass die Angaben zum Empfänger im Formular korrekt sind. Wenn du auf eine Phishing-Website zugreifst, die sich als eine dir bekannte Website tarnt, wird deren Blockchain-Adresse nicht mit der bekannten übereinstimmen. Hoffentlich bemerkst du das, bevor du deine Assets abtrittst.

Betrug per Airdrop

Eine weitere gängige Betrugsform nutzt Airdrops als Medium. Unbefugte Personen können Token nämlich direkt auf dein Kryptokonto übertragen. Diese Token selbst könnten zwar harmlos sein, aber der Vertrag könnte dich auf eine Phishing-Website oder eine Website weiterleiten, deren Zweck darin besteht, Malware auf deinem Gerät zu installieren. Alternativ kann durch Interaktion mit den Token – beispielsweise den Versuch, sie zu übertragen – eine Schadtransaktion in Gang gesetzt werden. Dabei wird versucht, deine Zustimmung für eine Abbuchung von deinem Konto zu erschleichen.

Falls du NFTs kaufst oder sammelst, bist du möglicherweise bereits mit dieser Betrugsmasche in Berührung gekommen. Die ganzen Spam-NFTs in deinem ausgeblendeten Ordner sind wahrscheinlich Folge fehlgeschlagener Airdrop-Betrugsversuche. Ganz gleich, ob es sich um fungiblen oder nicht fungiblen Airdrop-Betrug handelt: Wenn du damit nicht interagierst, bist du auf der sicheren Seite.

Kompromittierte Konten und SIM-Swapping

Zu den gravierendsten und verbreitetsten Betrugsmaschen des Jahres 2024 zählen Konten in den sozialen Medien, die mithilfe von SIM-Swapping kompromittiert wurden. Hierbei erlangt ein Betrüger die Kontrolle über die Social-Media-Konten eines legitimen Nutzers, indem er dessen Zwei-Faktor-Authentifizierungscodes an sein eigenes Gerät umleitet. Erreicht wird das in der Regel durch Bestechung oder Betrug des Mobilfunkanbieters des Opfers.

Sobald ein Angreifer Zugriff auf ein Social-Media-Konto erhalten hat, postet er Links zu Schadwebsites. Getarnt wird ein solcher Link häufig als Angebot für ein exklusives digitales Asset, beispielsweise ein kostenloses NFT. Möglicherweise offeriert der Post auch ein exklusives Meet & Greet mit einem Prominenten. In anderen Fällen versuchen gehackte Konten gar nicht erst, eine Tarnung aufzubauen, sondern posten ganz offen Links zu fragwürdigen Kryptocasinos. In jedem Fall gilt: Wenn du siehst, dass Prominente Links zu zeitlich begrenzten Angeboten posten, dann stelle unbedingt Nachforschungen an, bevor du klickst. Wenn das Angebot zu gut klingt, um wahr zu sein, ist es das wahrscheinlich auch.

Betrug beim Cloud-Mining

Das Krypto-Mining kann kostenintensiv sein, da die Hardware und ihre Wartung mit hohen Ausgaben verbunden sind. Daher bieten Cloud-Mining-Unternehmen die Möglichkeit, ihre Mining-Hardware gegen eine feste Gebühr sowie einen Anteil an den Einnahmen zu mieten. In Wirklichkeit erweisen sich jedoch viele Cloud-Mining-Unternehmen als Schwindel. Da der Cloud-Mining-Service alle Mining-Vorgänge, einschließlich des Kaufs und Betriebs der Hardware, selbst abwickelt, ist keine Transparenz gegeben, da es nicht möglich ist, seine Aktivitäten zu überwachen. Wer kann schon sagen, wie viele Mining-Anlagen sie betreiben und wie hoch die Betriebskosten dafür sind? Leider gibt es keine Möglichkeit, das zu ermitteln.

Daher kann es gerade bei kleineren Cloud-Mining-Anbietern durchaus vorkommen, dass sie betrügerisch handeln oder deine Assets bestenfalls unfair für eigene Zwecke nutzen. So oder so ist es immer ratsam, sich vorab über die Reputation eines Cloud-Mining-Anbieters zu informieren, um solche betrügerischen Angebote zu umgehen.

Kapitalanlagen

Kapitalanlagen sind sowohl innerhalb als auch außerhalb der Kryptowelt weit verbreitet. Es funktioniert wie folgt: Ein unbekannter „Investmentmanager“ tritt an dich heran und bietet dir eine verlockende Gelegenheit, die zu gut erscheint, als dass du sie dir entgehen lassen solltest. Die Website wirkt seriös und der Anlageverwalter verfügt über fundierte Kenntnisse. Und doch verhält es sich in Wirklichkeit völlig anders. Der eigentliche Anlageprozess umfasst in der Regel das Überweisen von Krypto-Assets an den Betrüger oder das Herunterladen einer App, die schnellen Reichtum verspricht.

Sobald du dich von deinen Kryptos getrennt oder Zugriff auf deine Wallet gewährt hast, verschwinden „Verwalter“ und Plattform wie vom Erdboden. Du stellst fest, dass du blockiert bist und keine Möglichkeit hast, dich zu wehren. Das ist eine gängige Betrugsmasche, bei der das Versprechen schnellen Reichtums jegliche Skepsis verdrängt. Solchen Betrugsformen entgeht man am besten, indem man jegliche Aussichten auf schnelles Geld von vornherein ignoriert. Schließlich bleibt es dabei: Nichts im Leben wird einem geschenkt.

Gefälschte Stellenanzeigen aus der Kryptowelt

Der Aufbau einer beruflichen Karriere im Kryptobereich stellt häufig ein ultimatives Ziel dar. Leider nutzen Betrüger diese Begeisterung vielfach aus, indem sie gefälschte Stellenanzeigen aufgeben. Diese irreführenden Jobangebote beziehen sich oft auf den Bereich Krypto-Mining oder das Anwerben von Kryptoinvestoren. Ein wesentliches Warnsignal zur Unterscheidung zwischen echten Geschäftsmöglichkeiten und Betrugsfällen ist der Zahlungsvorgang.

Betrüger könnten darauf bestehen, dass du eine Zahlung leistest, um deine Rolle anzutreten, und diese in einer Kryptowährung einfordern. In manchen Fällen wird sogar ein scheinbarer Nachweis erbracht, indem behauptet wird, dass eine Fiatzahlung auf deinem Konto eingegangen sei, sodass du eine Kryptoeinzahlung ohne finanziellen Verlust vornehmen könntest. Aller Wahrscheinlichkeit nach wird diese erste Fiatzahlung jedoch ausbleiben, sodass du auf deinen Kosten sitzen bleibst.

Eine weitere Angriffsmethode besteht darin, dich zum Herunterladen bestimmter Arbeitsdokumente oder einer Software aus deinem „Onboarding-Paket“ aufzufordern. In Wirklichkeit wird dabei Malware installiert und ein Zugriff auf dein Gerät hergestellt, um dann deine privaten Schlüssel zu finden und zu extrahieren.

Gefälschte Apps

Eine weitere Methode, mit der Betrüger Personen ins Visier nehmen, ist die Entwicklung gefälschter Krypto-Apps. Diese Anwendungen können von renommierten Plattformen wie dem App Store von Apple oder dem Google Play Store heruntergeladen werden, was Nutzer zu der Annahme verleitet, dass es sich um seriöse Anwendungen handelt. Nach dem Herunterladen zahlen Nutzer Geld über die App ein. Die App könnte sich als Börse tarnen und dich zum vermeintlichen Kauf von Kryptos bewegen. Alternativ könnte sie auch als vertrauenswürdige App oder bekannter Service getarnt sein.

Einige Betrugs-Apps gehen noch einen Schritt weiter und versenden E-Mails, in denen behauptet wird, dass Nutzer Steuern in Fiatwährung entrichten müssen, um auf ihre Kryptos zugreifen zu können. Die Quintessenz lautet: Was immer du mit solchen Apps einzahlst, siehst du nicht wieder. Zwar lassen sich solche Apps rasch aufspüren und entfernen, doch ihre Auswirkungen sind oft erheblich.

Betrügerische Gewinnspiele

Ein weiteres häufig vorkommendes Betrugsszenario sind betrügerische Gewinnspiele. Sie locken mit dem Versprechen von Geldgeschenken oder anderen Prämien, wie beispielsweise einem kostenlosen NFT, als Gegenleistung dafür, dass du die Instruktionen des Betrügers befolgst. Viele Menschen fallen auf diese Tricks herein, weil die Täter sich als Influencer oder Prominente ausgeben und ihre vermeintliche Seriosität in diesem Bereich ausnutzen.

Typischerweise umfasst diese Betrugsmasche die Anmeldung auf einer Schadwebsite oder das Anklicken eines betrügerischen Links. Deine Kryptos werden dann ohne dein Wissen direkt an den Betrüger gesendet. Während du dachtest, du würdest an einem Gewinnspiel teilnehmen, hast du tatsächlich den Zugriff auf deine Assets abgetreten.

Identitätsbetrug

Zwar geben sich Betrüger beim Gewinnspielbetrug oft als Prominente aus, doch gibt es noch andere Strategien, mit denen sie unter Vortäuschung falscher Identität Zugriff auf deine Assets erhalten. Manche Kriminelle geben sich beispielsweise als Behördenvertreter aus und behaupten, dass deine Vermögenswerte im Rahmen einer Ermittlung beschlagnahmt worden seien. Unter dem Vorwand, das Problem zu lösen, verlangen sie von dir eine Zahlung in Kryptowährung, um „das Konto zu verifizieren“.

Eine weitere betrügerische Taktik besteht darin, sich als Mitarbeiter renommierter Unternehmen wie Microsoft, Amazon, FedEx oder deiner Bank auszugeben. Durch Vorschützen der Identität vertrauenswürdiger Organisationen versuchen diese Betrüger, sich dein Vertrauen zu erschleichen. Gelingt ihnen das, dann können sie dich dazu veranlassen, ihnen Kryptos zu senden oder ihnen sogar deine geheime Wiederherstellungsphrase preiszugeben.

Betrug durch Erpressung oder Nötigung

Jedes Jahr fallen Hunderttausende von Menschen Erpressungs-E-Mails zum Opfer. Dabei behaupten die Betrüger, im Besitz persönlicher Daten zu sein. Hierbei kann es sich beispielsweise um eindeutige Fotos, Videos oder Mitteilungen handeln. Sie drohen damit, diese Inhalte an deine gesamte E-Mail-Liste weiterzugeben, sie Kollegen und Angehörigen zu offenbaren und die privaten Informationen publik zu machen.

Um die Verbreitung des Materials zu verhindern, versprechen die Betrüger, keine dieser sensiblen Inhalte zu veröffentlichen, wenn du sie in Kryptowährung bezahlst. Diese E-Mails vermitteln in der Regel ein Gefühl der Dringlichkeit und betonen, dass du weniger als 24 Stunden Zeit hast, um das Geld zu senden und eine Bloßstellung zu verhindern.

Romance-Scamming

Abschließend kommen wir zu einer Betrugsmasche, die sowohl innerhalb als auch außerhalb der Kryptowelt weit verbreitet ist: Romance-Scamming. Dabei baut der Betrüger eine Online-Beziehung zu seinem potenziellen Opfer auf. Das kann auch „Catfishing“ umfassen, wobei ein gefälschtes Profil verwendet wird. In anderen Fällen könnte der Betrüger auch eigene Fotos verwenden und Videoanrufe nutzen, um ein falsches Sicherheitsgefühl zu erzeugen. Diese Betrüger sind geduldig und investieren Wochen oder Monate in die Kommunikation mit ihrem vermeintlichen potenziellen Partner.

Ist das Vertrauen erst einmal hergestellt, verlangt der Betrüger Zahlungen in Kryptowährung oder ermutigt das Opfer mit dem Versprechen gemeinsamen Reichtums, in Kryptos zu investieren. Hat der Betrüger jedoch einmal bekommen, was er wollte, taucht er plötzlich ab und lässt das Opfer betrogen und hintergangen zurück.

Wie funktioniert Kryptobetrug?

In jedem Bereich gibt es immer wieder Akteure mit unlauteren Absichten, die häufig vor nichts zurückschrecken. Betrüger können eine der vorstehenden Methoden nutzen oder auch mehrere Taktiken gleichzeitig oder nacheinander anwenden. Doch egal, wie der Betrüger sein Opfer ins Visier nimmt, das Ziel bleibt stets dasselbe: Er will dein Geld! Dabei spielt es keine Rolle, ob durch Zugriff auf dein Konto, Diebstahl deiner Assets oder dadurch, dass er dich dazu bewegt, Kryptos an ihn zu senden.

Wir wollen uns einmal genauer ansehen, wie Kryptobetrug funktioniert.

Per Malware oder Spyware auf deinem internetfähigen Gerät

Viele verbreitete Kryptobetrugsmaschen zielen darauf ab, dich mithilfe von Malware oder Spyware anzugreifen. Zu diesem Zweck verleiten sie dich dazu, die Schadsoftware auf dein internetfähiges Gerät herunterzuladen.

Mit Malware können Hacker den Bildschirminhalt deines internetfähigen Geräts (z. B. Smartphone, Laptop, Tablet, Desktop-Computer) manipulieren. Ist das von Erfolg gekrönt, dann können die Hacker dich dazu verleiten, zweifelhafte Transaktionen zu genehmigen. Bereits durch Genehmigung einer einzigen Transaktion könntest du deinen gesamten Kryptobestand oder vielleicht auch nur ein einzelnes NFT aushändigen. So oder so: Betrügerische Transaktionen enden für das Opfer niemals glimpflich.

Eine weitere Form des Hackings ist Spyware. Hierbei handelt es sich um eine Schadsoftware, die dem Angreifer Zugriff auf die Dateien auf deinem System ermöglicht. Der Hacker kann anschließend deine Dateien durchsuchen und herausfinden, wo deine privaten Schlüssel gespeichert sind. Und sobald sich der Hacker deine privaten Schlüssel angeeignet hat, hat er uneingeschränkte Kontrolle über deine Krypto-Wallet.

Diese Methode ist bei Hackern beliebt, die Software-Wallets angreifen, da alleine solche Wallets ausschließlich auf internetfähigen Geräten funktionieren.

Offenlegung deiner geheimen Wiederherstellungsphrase oder privaten Schlüssel

Manchmal zielt Spyware nicht nur auf deine privaten Schlüssel ab, sondern auch auf deine geheime Wiederherstellungsphrase. Wenn du eine Hardware-Wallet verwendest, musst du dir keine Sorgen machen, dass diese Informationen beim Signieren von Transaktionen offengelegt werden. Bei einer Software-Wallet hingegen läufst du Gefahr, deine privaten Schlüssel oder deine geheime Wiederherstellungsphrase Angreifern per Malware oder Spyware offenzulegen.

Selbst wenn deine geheime Wiederherstellungsphrase durch die Verwendung einer Hardware-Wallet vor Hackerangriffen geschützt ist: Die letzte Sicherheitsbarriere bist du selbst. Angreifer werden nämlich auch versuchen, sich mittels Social Engineering Zugang zu deiner geheimen Wiederherstellungsphrase zu verschaffen. Mithilfe von Social Engineering wird der Angreifer probieren, dich mit allen Mitteln zur Preisgabe deiner geheimen Wiederherstellungsphrase zu bewegen.

Gib deine geheime Wiederherstellungsphrase unter keinen Umständen an Dritte weiter und trage sie niemals in eine App oder einen Service ein, wenn du dazu aufgefordert wirst. Die geheime Wiederherstellungsphrase darf einzig und allein dann eingegeben werden, wenn du den Zugriff auf deine Wallet auf einem anderen Gerät wiederherstellst. Vergiss nicht: Jede Person mit Zugriff auf deine geheime Wiederherstellungsphrase kann die Kontrolle über alle damit verbundenen Konten übernehmen. Sie ist die Information, die du am besten schützen musst.

Genehmigen schädlicher Smart-Contract-Funktionen

Unlautere Akteure könnten Blindsignaturen missbrauchen, um dich zum Abtreten deiner Assets zu bewegen. Dabei könnten sie die Komplexität von Smart-Contract-Funktionen – insbesondere der SetApprovalForAll-Funktion – zu ihrem Vorteil nutzen.

Smart-Contract-Funktionen sind Programmbausteine, die bestimmte Aktionen im Kontext von Smart Contracts ermöglichen. Wenn du eine Funktion aufrufst, löst das eine Interaktion zwischen deiner Wallet und der von dir verwendeten Web3-Plattform aus. Nach Genehmigung dieser Funktionen können Smart Contracts Aufgaben ausführen, die deine Wallet betreffen. Leider gibt es einige Smart Contracts, die mit bösartigen Funktionen ausgestattet sind, um deine digitalen Assets zu rauben.

Betrüger könnten dich dazu verleiten, eine Blindsignatur zu leisten (d. h. Vertragsdaten zu signieren, die nicht von Computern verarbeitet werden können). Der von dir signierte Vertrag berechtigt den Betrüger zur Übertragung und Abhebung von Vermögenswerten. Was die Angelegenheit noch schlimmer macht: Diese Genehmigung beschränkt sich nicht nur auf bereits vorhandene Assets, sondern erstreckt sich auf sämtliche zukünftigen Token aus diesen Smart Contracts, die in deine Wallet übertragen werden. Du stellst dem Hacker so quasi einen Blankoscheck aus!

Wie man Risiken bei der Web3-Nutzung minimiert

Wir wollen vorausschicken, dass es unmöglich ist, sämtliche Betrugsversuche allein durch Befolgen der nachstehenden Ratschläge zu unterbinden. Wenn du jedoch auf Nummer sicher gehen möchtest, gibt es eine Reihe von Maßnahmen, mit denen du Risiken minimieren kannst.

Verwende eine Hardware-Wallet

Das Wichtigste zuerst: Wenn du deine Kryptos sicher verwahren möchtest, solltest du in eine Hardware-Wallet investieren. Eine Hardware-Wallet ist ein physisches Gerät, mit dem du Transaktionen signieren und mit der Blockchain interagieren kannst, während deine privaten Schlüssel offline gespeichert sind.

Das schützt dich davor, deine privaten Schlüssel über dein internetfähiges Gerät offenzulegen. Dein Web2-Gerät – beispielsweise dein Smartphone oder Laptop – ist anfällig für Malware und Spyware. Mithilfe einer solchen Schadsoftware können Angreifer deine privaten Schlüssel über deine Internetverbindung extrahieren, sobald du eine Transaktion mit einem Web2-Gerät signierst. Hardware-Wallets umgehen dieses Risiko, indem sie es dir ermöglichen, Transaktionen offline zu signieren und die bereits signierte Transaktion dann in einem manipulationssicheren Zustand an dein Web2-Gerät zu senden.

Zudem schützen Hardware-Wallets deine Kryptowährungen durch eine physische Bestätigung, die als eine Art Zwei-Faktor-Authentifizierung fungiert. Bei Verwendung einer Hardware-Wallet kannst du Guthaben erst nach erfolgter physischer Bestätigung der Transaktion am Gerät übertragen. Üblicherweise verfügen Hardware-Wallets auch über Mechanismen, die sicherstellen sollen, dass nur der tatsächliche Eigentümer die Transaktion physisch bestätigen kann. Bei Ledger-Signern™, die ebenfalls zur Kategorie der Hardware-Wallets gehören, bestätigst du Transaktionen per PIN direkt auf dem Gerät. So bleiben deine Konten selbst geschützt, wenn ein Unbefugter physischen Zugriff auf deine Wallet hat, sodass er deine Konten nicht übernehmen kann.

So kannst du mit einer Hardware-Wallet deine Assets vor Online-Betrug und Fernzugriffen auf die Wallet schützen. In bestimmten Fällen bietet sie zudem Schutz vor Hackern, die versuchen könnten, physischen Zugriff auf deine Wallet zu erhalten. Beispielsweise implementieren Ledger-Signer einen Secure Element-Chip, der gegen zahlreiche physische Angriffe wie Seitenkanalattacken und Glitching immun ist.

Verwahre deine wertvollsten Assets in einem Offline-Konto

Zum Schutz deiner Assets vor schädlichen Smart Contracts und Genehmigungen empfiehlt es sich außerdem, deine Krypto-Assets auf mehrere Konten zu verteilen und ein Konto offline zu halten.

Heutzutage ermöglichen es dir die meisten Krypto-Wallets, eine nahezu unbegrenzte Anzahl von Konten zu erstellen, die über dieselbe Benutzeroberfläche verwaltet und mit derselben geheimen Wiederherstellungsphrase wiederhergestellt werden können. Zwar kannst du alle diese Konten mit demselben mnemotechnischen Schlüssel wiederherstellen, aber sie funktionieren völlig unabhängig voneinander. Das bedeutet, dass eine mithilfe eines Kontos vorgenommene Autorisierung die Sicherheit der anderen Konten unberührt lässt.

Ein Konto, das niemals mit Smart Contracts, Apps oder unbekannten Wallets interagiert, ist immun gegen die mit der Transaktionssignierung verbundenen Risiken. Daher liegt es nahe, deine wertvollsten Assets auf einem Konto zu verwahren, das nie mit Web3-Apps interagiert, sondern ausschließlich Transaktionen mit anderen bekannten Wallets tätigt.

Das wird als Cold Wallet (oder auch „Offline-Wallet“) bezeichnet, und auch wenn sie oft mit Hardware-Wallets verwechselt werden, sind die Begriffe nicht synonym. Ein Cold-Wallet-Konto kann über deine Hardware-Wallet betrieben werden, wobei nur private Schlüssel gespeichert werden und dein Geld geschützt wird. Unterdessen kannst du potenziell schädliche Transaktionen mit einem separaten Konto signieren, das weniger wertvolle Assets enthält. Dadurch bleibt deine Cold Wallet geschützt.

Klicke nicht auf irgendwelche Links

Das ist eine allgemein bekannte Regel, und wenn du eine Software-Wallet verwendest, der wahrscheinlich wichtigste Ratschlag, den du beachten solltest. Konkret: Klicke niemals auf einen Link, wenn du gerade mit einem Konto verbunden bist, auf dem sich wertvolle Assets befinden. Denn du kannst dich nie hundertprozentig darauf verlassen, dass ein Link vertrauenswürdig ist.

In den meisten Fällen sind die Websites selbst unbedenklich und fordern dich lediglich auf, deine geheime Wiederherstellungsphrase einzugeben oder dich über deine Wallet mit einer Schadplattform zu verbinden. In solchen Fällen ist es am besten, das Fenster einfach zu schließen und das Ganze schleunigst zu vergessen.

Allerdings gibt es auch Fälle, in denen die Sache bereits gelaufen ist, sobald du auf den Link klickst. Zwar ist das eher ungewöhnlich, jedoch gibt es dort draußen ausgesprochen gewiefte Hacker, die dein System dazu bewegen können, Malware herunterzuladen, sobald du auf einen schädlichen Link klickst. Insofern solltest du dich vor dem Klicken auf einen Link genau vergewissern, wohin er führt, und niemandem vertrauen!

Wenn du jedoch eine Hardware-Wallet verwendest, musst du dir beim Anklicken von Links keine Gedanken machen. Deine Hardware-Wallet signiert Transaktionen offline und unabhängig von deinem Web2-Gerät. Selbst wenn sich Malware auf deinem Computer befindet, bleibt deine Hardware-Wallet davon unberührt.

DYOR

Abschließend noch der vielleicht wichtigste Ratschlag in Bezug auf die Kryptosicherheit: Recherchiere selbst! Unabhängig davon, wie vertrauenswürdig jemand oder etwas erscheint, ist es immer ratsam, sich stets selbst zu informieren. Ganz gleich, ob du ein NFT kaufst oder dich für einen Airdrop registrierst: Überprüfe immer die Seriosität der Transaktion.

Verifiziere die Adresse des Empfängers auf seiner offiziellen Website oder frag bei einem offiziellen Ansprechpartner nach, falls du Zweifel hast. Verifiziere den Vertrag jeglicher App mithilfe eines Block-Explorers, um sicherzustellen, dass du tatsächlich mit der richtigen Plattform interagierst. Kurz gesagt: Überprüfe jedes einzelne Detail sorgfältig und klicke erst dann auf „Annehmen“, wenn du dir hundertprozentig sicher bist.

Abschließende Überlegungen zum Thema Kryptobetrug

Es liegt auf der Hand, dass Betrug weit verbreitet ist und sich der Umgang mit Kryptowährungen als komplexes Terrain erweisen kann. Trotzdem solltest du dich von unlauteren Akteuren nicht davon abhalten lassen, mit der Kryptoszene zu verkehren. Wenn du die vier einfachen Grundregeln befolgst – nämlich eine Hardware-Wallet nutzt, ein Cold-Wallet-Konto führst, keine Links anklickst und natürlich deine eigenen Recherchen durchführst –, reduzierst du das Risiko erheblich, Opfer von Hackern und Betrügern zu werden.

Mein Fazit lautet: Schütze deine Assets, geh auf Nummer sicher und hab Spaß dabei!

FAQs zum Thema Kryptobetrug

Kann man betrogen werden, wenn einem jemand Kryptos sendet?

Wenn dir jemand Krypto-Assets zusendet, bedeutet das nicht automatisch, dass er dich betrügen will. Stell dir das wie ein Bankkonto vor: Wenn dir jemand Geld überweist, bedeutet das ja auch nicht, dass er dich um dein Geld bringen will. Trotzdem kann es sein, dass Betrüger es auf dich abgesehen haben und dir gefälschte Assets schicken. Während manche Fake-Assets lediglich versuchen, dich auf eine Schadwebsite umzuleiten, umfassen andere integrierte Funktionen, mit denen sie versuchen könnten, deine Wallet zu leeren oder auf bestimmte Assets zuzugreifen. Solltest du Kryptos erhalten, die du nicht zuordnen kannst – einschließlich Spam-NFTs –, dann ignoriere sie einfach. Womit du nicht in Kontakt kommst, kann dir auch nicht schaden.

Ich bin gerade Opfer eines Kryptobetrugs geworden. Was soll ich jetzt tun?

Wenn du gerade Opfer eines Betrugs geworden bist, musst du jetzt als allererstes deine Wallet schützen. Wie du am besten vorgehst, hängt von der Betrugsmasche ab. Sehen wir uns einige der effektivsten Methoden zum Schutz deiner Wallet nach einer Kompromittierung an.

Wenn der Betrüger ein einzelnes Asset geraubt hat

Sollte der Betrüger nur Zugriff auf einen bestimmten Vermögenswert erhalten haben, dann hast du möglicherweise eine schädliche Genehmigung signiert. In diesem Fall besteht das Risiko, dass er dieses Asset noch einmal aus der Wallet entwendet, wenn du es wieder auffüllst. Du solltest also zunächst die Genehmigungen für das Konto widerrufen. Dadurch wird verhindert, dass Apps weitere Assets aus deinem Konto entnehmen können. Auch wenn es jetzt möglicherweise schon zu spät ist, ist es immer ratsam, zunächst deine Genehmigungen zu widerrufen. Anschließend empfiehlt es sich, sämtliche Vermögenswerte aus dem kompromittierten Konto abziehen. Wenn du eine HD-Wallet verwendest, kannst du ein weiteres Konto erstellen und deine Assets dorthin verschieben. Für das neue Konto gelten komplett separate Genehmigungen, sodass es vollkommen sicher sein sollte.

Wenn der Betrüger Zugriff auf ein einzelnes Konto hat

Scheint der Betrüger Zugriff auf ein einzelnes Konto zu haben, ist davon auszugehen, dass er an den privaten Schlüssel für dieses Konto gelangt ist. In diesem Fall kann er Assets beliebig auf dein Konto einzahlen oder davon abheben, ohne sich um Genehmigungen kümmern zu müssen. Schlimmer noch: Er kann Transaktionen selbst ohne jegliche Beschränkung autorisieren. In dieser Situation ist es nicht sinnvoll, Genehmigungen zu widerrufen, da der Betrüger bereits die Kontrolle über dein Geld hat.

Sollte der Angriff noch andauern, beginnt ein Wettlauf gegen die Zeit. Übertrage möglichst schnell so viele deiner Assets wie möglich aus dem kompromittierten Konto. Wenn du eine HD-Wallet verwendest, kannst du über dieselbe Oberfläche ein neues Konto erstellen und alle deine Assets dorthin verschieben.

Wenn der Betrüger Zugriff auf mehrere deiner Konten hat

Sollte der Betrüger Zugriff auf mehrere deiner Konten haben, die mit deiner Wallet geschützt werden, dann verfügt er wahrscheinlich über deine geheime Wiederherstellungsphrase. In diesem Fall musst du eine komplett neue Wallet mit neuer geheimer Wiederherstellungsphrase einrichten und deine Assets dann auf ein dort neu erstelltes Konto übertragen. Sollte deine geheime Wiederherstellungsphrase kompromittiert worden sein, dann sind alle damit verbundenen Konten (sowohl aktuelle als auch zukünftige) ebenfalls gefährdet. Wenn du eine Software-Wallet nutzt, musst du lediglich eine neue Wallet herunterladen. Verwendest du hingegen eine Hardware-Wallet, dann

musst du das Gerät zurücksetzen, um eine neue geheime Wiederherstellungsphrase zu generieren. Bitte achte darauf, den Zugriff auf das alte Konto zu behalten, damit du deine Assets übertragen kannst.

Kann man Kryptobetrug zur Anzeige bringen?

Die Gesetzgebung im Kryptobereich gestaltet sich weltweit unterschiedlich, und Gesetze befinden sich oft noch in der Entstehungsphase. Allerdings müssen Betrüger zunehmend mit Konsequenzen für ihre Internetaktivitäten rechnen. Solltest du Opfer eines Betrugs geworden sein, informiere dich über die Rechtslage in deinem Land und erstatte Anzeige bei der Polizei.

Darüber hinaus gibt es mittlerweile Möglichkeiten, Kryptokriminalität über die Blockchain zu melden. Ein gutes Beispiel für eine solche Vorgehensweise ist Chainabuse. Auf dieser Website kannst du Projekte oder Personen melden, um zur Aufdeckung von Betrügern beizutragen.

Eine weitere gute Möglichkeit, Straftaten auf der Blockchain zu melden, ist die Nutzung von Etherscan. Solltest du auf einen Wallet-Drainer oder eine Schad-App stoßen, kannst du das über Etherscan melden. Dadurch wird auf der Vertragsseite eine Warnung angezeigt, die anderen Benutzern helfen kann, ein ähnliches Schicksal zu vermeiden. Sollten alle bisherigen Maßnahmen erfolglos bleiben, empfiehlt es sich, eine spezialisierte Blockchain-Detektei wie ZachXBT oder Intelligence On Chain zu kontaktieren. Auch wenn sie in der Regel unzählige Fälle bearbeiten, kann es sein, dass die Details deines Falls den Ermittlern helfen, eine größere Ermittlung zu lösen. Kryptodetektive werden möglicherweise nicht sofort auf deinen Anruf reagieren, aber unter Umständen kannst du dazu beitragen, für eine größere Gruppe von Opfern Gerechtigkeit zu erstreiten.

Der Wechsel: Von der Hardware-Wallet zum Signer

Krypto mag als mutiges Experiment begonnen haben, aber die Akzeptanz ist gewachsen, da sich die Technologie und die Benutzererfahrung rasant weiterentwickelt haben; die Sprache, die zu ihrer Beschreibung verwendet wird, ist jedoch in den Kinderschuhen stecken geblieben.

Wir nannten unsere Geräte „Hardware-Wallets“, was die Rolle der sicheren Hardware falsch darstellt und die Rolle der Software (Ledger Live) verschleiert. Unterwegs wurden Nutzer zurückgelassen.

Menschen glaubten:

• Dieser Wert wurde auf dem Gerät gespeichert (ist er aber nicht).
• Dass du deine Assets verlierst, wenn du das Gerät verlierst (tust du nicht).
• Dass das Gerät selbst das Ziel war (ist es nicht).
• Dass diese 24 Wörter eine Last waren, die nur technisch versierte Benutzer bewältigen konnten (das ist nicht mehr der Fall).

Das sind mehr als nur Missverständnisse. Das sind Hindernisse für die Akzeptanz. Wir bei Ledger glauben, dass Klarheit für die nächste Phase der Einführung unerlässlich ist.

Wir ändern, wie wir über unsere Produkte sprechen. Indem wir dies tun, verändern wir, wie Menschen digitale Eigentümerschaft an sich verstehen.

Hardware-Wallets → Signer

Ledger-Geräte speichern keinen Wert. Sie signieren Transaktionen. Sie beweisen Absicht. Sie verifizieren die Identität. Sie sind keine Vaults (Tresore), sondern die sichere Brücke zwischen dem, wer du bist, und dem, was du online tust. Sie halten nicht nur Schlüssel. Sie helfen dir, dir selbst zu vertrauen.

Wir nennen sie jetzt Signer, weil das genau das ist, was sie wirklich sind.

In einer Welt, in der KI von Tag zu Tag mächtiger wird, ist der Beweis der Menschlichkeit wichtiger denn je. Ein Signer ist mehr als ein Sicherheitsgerät, er ist dein kryptographischer Nachweis deiner Identität. Er bietet dir eine sichere Grundlage, um dein digitales Leben zu besitzen, zu autorisieren und zu schützen, ohne dich auf andere zu verlassen. Vom Versenden einer Transaktion über das Signieren eines Vertrags bis hin zum Bestätigen deiner Zugangsdaten sorgt dein Signer dafür, dass nur du deine digitale Zustimmung geben kannst – ein Beweis deiner Identität. Gemeinsam definieren Signer und Ledger Wallet, wie echtes digitales Eigentum aussieht: eindeutig, sicher und frei von Kompromissen.