Ein Krypto-Investor verlor 2,6 Millionen US-Dollar in Stablecoins durch zwei nahezu identische Phishing-Angriffe in einer Zeitspanne von drei Stunden, was auf eine zunehmende und ausgeklügelte Bedrohung in der Blockchain-basierten Finanzwelt hinweist: Zero-Transfer-Betrug.
Der Vorfall, der am 26. Mai von der Kryptosicherheitsfirma Cyvers gemeldet wurde, umfasste zwei große Transaktionen von Tether (USDT) - die erste über 843.000 USD, gefolgt von einer zweiten Überweisung über 1,75 Millionen USD. In beiden Fällen fiel das Opfer scheinbar auf eine irreführende Onchain-Taktik herein, die als Nullwert-Übertragung bekannt ist, eine Phishing-Methode, die zunehmend von Betrügern eingesetzt wird, die auf Benutzergewohnheiten rund um Wallet-Adressen abzielen.
Dieser doppelte Verlust hebt die Einschränkungen der derzeitigen benutzerorientierten Wallet-Oberflächen, den Anstieg intelligenter Social-Engineering-Angriffe im Kryptoverbrechen und den dringenden Bedarf an robusten Sicherheitslösungen im gesamten Web3 hervor.
Nullwert-Übertragungen nutzen eine Schwachstelle aus, wie Benutzer Transaktionsverläufe interpretieren und Wallet-Adressen vertrauen. Die Technik missbraucht die transferFrom-Funktion des ERC-20-Token-Standards, die es jeder Partei erlaubt, eine Token-Übertragung ohne Benutzerzustimmung zu initiieren - wenn der Betrag null ist.
Da keine echten Token bewegt werden, erfordern diese gefälschten Nullwert-Transaktionen keine digitale Signatur des Ziel-Wallets. Sie werden dennoch On-Chain aufgezeichnet und führen oft dazu, dass Opfer glauben, die gefälschte Adresse sei eine zuvor vertraute.
Effektiv "vergiften" Betrüger den Transaktionsverlauf eines Opfers, indem sie harmlos aussehende Nullwert-Übertragungen einfügen, die legitim erscheinen. Wenn das Opfer später eine echte Transaktion durchführt - vielleicht indem es den Wallet-Verlauf oder eine zuvor verwendete Adresse kopiert - kann es versehentlich Gelder an die gefälschte Adresse des Angreifers senden.
Diese Ausbeutung basiert auf und erweitert eine verwandte Angriffsmethode namens Address Poisoning, bei der Betrüger kleine Mengen an Kryptowährung von Wallet-Adressen aus senden, die optisch ähnlich wie die bekannten Kontakte des Nutzers aussehen. Dies beruht typischerweise darauf, dass Benutzer sich auf die Übereinstimmung von Teiladressen - oft die ersten und letzten vier Zeichen - verlassen, anstatt die gesamte Zeichenfolge zu überprüfen.
Fortgeschrittenes Phishing
Die Hauptgefahr hinter Zero-Transfer- und Address Poisoning-Betrügereien liegt nicht im Brechen kryptographischer Protokolle, sondern in der Manipulation des Benutzerverhaltens. Krypto-Wallet-Oberflächen - insbesondere browserbasierte Wallets und mobile Apps - zeigen oft Adressverläufe und vergangene Transaktionen als Indikatoren für Sicherheit, Vertrauen oder vorherige Nutzung an. Dies erzeugt eine Angriffsfläche, die nicht von Schwachstellen im Code abhängt, sondern vielmehr von menschlichen Entscheidungen.
Im Fall des kürzlichen Diebstahls von 2,6 Millionen USD nutzte das Opfer wahrscheinlich den Transaktionsverlauf seines Wallets, um die Adresse zu initiieren oder zu überprüfen, im Glauben, dass es Gelder an einen bekannten oder zuvor vertrauten Kontakt sendete. Die Wiederholung des Angriffs innerhalb von weniger als drei Stunden deutet darauf hin, dass das Opfer entweder den ersten Verlust nicht rechtzeitig bemerkte oder dachte, die erste Transaktion sei legitim - beide Szenarien weisen darauf hin, wie unauffällig und überzeugend der Betrug in Echtzeit sein kann.
Die Verluste betrafen ausschließlich USDT (Tether), eine weit verbreitete Stablecoin mit Milliarden an täglichen Onchain-Volumen. Da USDT typischerweise in großen institutionellen und Einzelhandelsüberweisungen verwendet wird, ist es zu einem Hauptziel für Präzisionsbetrug geworden, der sich auf hochkarätige Wallets konzentriert.
Auf dem Vormarsch: Poisoning-Angriffe
Der Vorfall ist nicht isoliert. Eine umfassende Studie, die im Januar 2025 veröffentlicht wurde, ergab, dass über 270 Millionen Address Poisoning-Versuche zwischen Juli 2022 und Juni 2024 auf Ethereum und BNB Chain aufgezeichnet wurden. Obwohl nur 6.000 dieser Angriffe erfolgreich waren, machten sie zusammen über 83 Millionen USD an bestätigten Verlusten aus.
Das schiere Volumen der Versuche - ob erfolgreich oder nicht - deutet darauf hin, dass Vergiftungsstrategien günstig auszuführen und aufgrund des Benutzerverhaltens und des Mangels an Anti-Phishing-Benutzerfunktionen in gängigen Krypto-Wallets wirksam bleiben.
Besonders auffällig ist das Ausmaß des Schadens in einzelnen Fällen. 2023 führte ein ähnlicher Zero-Transfer-Betrug zu einem Diebstahl von 20 Millionen USD in USDT, bevor Tether das Wallet schließlich auf die schwarze Liste setzte. Das auf die schwarze Liste setzen ist jedoch kein universaler Schutz - viele Token unterstützen keine Herausgeber-Blacklist und nicht alle Blockchain-Netzwerke bieten ähnliche Eingriffswerkzeuge.
KI-Erkennungstools und Interface-Überarbeitungen
Als Reaktion auf den Anstieg von Zero-Transfer-Phishing versuchen mehrere Cybersicherheits- und Wallet-Infrastrukturunternehmen, die Risiken durch intelligentere Erkennungssysteme zu minimieren.
Anfang dieses Jahres ging das Blockchain-Sicherheitsunternehmen Trugard eine Partnerschaft mit dem Onchain-Sicherheitsprotokoll Webacy ein, um ein KI-basiertes Erkennungssystem einzuführen, das speziell entwickelt wurde, um potenzielle Address Poisoning-Versuche zu identifizieren. Laut den Entwicklern hat das Tool in Tests mit historischen Angriffsdatensätzen eine Genauigkeit von 97 % gezeigt.
Das System funktioniert, indem es Muster in Transaktionsmetadaten, Transferverhalten und Adressähnlichkeiten analysiert und Benutzer alarmiert, bevor eine Transaktion abgeschlossen wird. Allerdings bleibt die breite Einführung in populären Wallets begrenzt, da viele Plattformen noch dabei sind, Drittanbieter-Sicherheitstools zu integrieren.
Einige Wallet-Entwickler erkunden auch Änderungen daran, wie Transaktionsverläufe angezeigt werden. Beispielsweise werden Nullwert-Transaktionen gekennzeichnet, Adressen basierend auf Vertrauensbewertungen eingefärbt und die vollständige Adressverifizierung soll erleichtert werden, um die Erfolgsraten von Betrügereien zu senken. Aber bis solche Interface-Änderungen industrieweit zum Standard werden, bleiben Benutzer exponiert.
Rechtliche und regulatorische Blindstellen
Während Zero-Transfer-Betrügereien technologisch einfach sind, ist das Vorgehen gegen Täter rechtlich komplex und selten erfolgreich. Viele dieser Betrügereien stammen von pseudonymen oder ausländischen Entitäten, wobei Gelder schnell durch dezentrale Börsen, Mixer oder Cross-Chain-Brücken gewaschen werden.
Stablecoin-Herausgeber wie Tether können nur eingreifen, wenn zentrale Kontrollmechanismen existieren - und nur, wenn die gestohlenen Gelder unberührt oder auffindbar bleiben. Sobald Angreifer Gelder in Privacy Pools verschieben oder in andere Vermögenswerte umwandeln, ist ein Rückgriff nahezu unmöglich.
Darüber hinaus fehlt Strafverfolgungsbehörden oft das technische Fachwissen oder die juristische Handhabe, um solche Angriffe zu untersuchen, es sei denn, sie sind Teil größerer organisierter Kampagnen.
Die letzte Verteidigungslinie
Derzeit müssen Endbenutzer erhöhte Vorsicht walten lassen, wenn sie mit Blockchain-Adressen interagieren - insbesondere bei Transaktionen mit hohem Wert. Zu den bewährten Praktiken gehören:
- Immer die vollständige Adresse und nicht nur die ersten/letzten Zeichen überprüfen.
- Vermeidung der Verwendung des Wallet-Verlaufs zum Kopieren von Adressen.
- Manuelles Lesezeichen für bekannte Adressen von offiziellen Quellen setzen.
- Verwendung von Wallets mit integriertem Phishing-Erkennung, wenn verfügbar.
- Überwachung eingehender Nullwert-Transfers als potenzielle Warnsignale.
Der Anstieg der Zero-Transfer-Phishing-Angriffe zeigt eine Verschiebung der Bedrohungen in Web3 von Protokollebenen-Hacks hin zu Social Engineering-Angriffen mit Onchain-Metadaten. Mit dem Wachstum des Vermögenswertwerts auf öffentlichen Blockchains wird auch die Raffinesse dieser Methoden zunehmen - wodurch Benutzerbildung und bessere Wallet-Tools entscheidend für den Schutz von Geldern werden.