Eine Phishing-Kampagne Ende Mai 2026 führte zur Leerung von Hunderten EVM-Wallets, indem sie sich als MetaMask ausgab und ein „obligatorisches“ System-Upgrade forderte. Blockchain-Analyst ZachXBT identifizierte das Muster am 28. Mai, nachdem er zusammenhängende Transaktionen über Ethereum, Polygon, Arbitrum und Base nachverfolgt hatte. Die Verluste pro Wallet sind geringer als bei früheren großen Hacks, aber die Anzahl der Betroffenen ist hoch und die Methode äußerst raffiniert.
Im Durchschnitt belief sich der Verlust pro Wallet auf einen niedrigen fünfstelligen US-Dollarbereich. Laut ZachXBT lag das gesamte entwendete Volumen am 30. Mai bei über 9 Millionen US-Dollar, verteilt auf mehr als 400 unterschiedliche Adressen. Der Angriff war vor allem wegen seiner Vorgehensweise bedeutsam: Ein gefälschtes E-Mail- oder Push-Benachrichtigung informierte Nutzer über die angebliche Notwendigkeit, ein Upgrade zu „validieren“, da andernfalls der Zugriff auf das Wallet verloren gehen würde. Die Validierungsseite forderte dazu auf, das Wallet zu verbinden und eine Transaktion zu signieren – tatsächlich handelte es sich dabei um eine Token-Freigabe für einen Drainer-Contract. Die Wallets wurden danach innerhalb von Sekunden geleert.
Wie funktionierte der Phishing-Angriff?
Die Angriffskette bestand aus fünf einfachen Schritten. Das Opfer erhielt eine E-Mail oder Push-Nachricht, die wie eine Mitteilung von MetaMask aussah. Der Text behauptete, ein System-Upgrade im Jahr 2026 sei erforderlich, um das Wallet weiterhin nutzen zu können. Wird das Upgrade nicht durchgeführt, verliere man den Zugriff auf sein Guthaben. Die Nachricht enthielt einen Link zu einer Domain, die metamask.io visuell nachempfunden war, z. B. metamasks-update.com, metamask-validator.io oder secure-metamask.app.
Die Landingpage war ein nahezu perfektes Abbild der echten MetaMask-Seite. Nutzer wurden aufgefordert, ihr Wallet zu „verifizieren“, und sollten dazu auf einen Button klicken, der das WalletConnect-Modal öffnete. Die Nutzer unterzeichneten arglos eine Transaktion – meist ein setApprovalForAll für ERC-20-Token, eine NFT-Transfergenehmigung oder eine permit-Signatur, die dem Drainer-Contract Zugriff auf den gesamten Wallet-Bestand gewährte.
Unmittelbar nach der Signatur führte der Drainer-Contract einen Sweep aus und transferierte sämtliche Token auf eine vom Angreifer kontrollierte Adresse. Die Gelder wurden innerhalb von Minuten über Chains hinweg transferiert, durch Mixerdienste wie Tornado Cash-Alternativen verschleiert und in eine kleine Gruppe aktiver Ziel-Wallets überwiesen.
Warum war diese Kampagne besonders effektiv?
Drei Faktoren unterschieden diese Kampagne von bisherigen Angriffen: Erstens die Qualität der Nachahmung. Frühere Phishingversuche nutzten schlecht gemachte E-Mails mit Fehlern und unzuverlässigen Domains. Diesmal handelte es sich um pixelgenaue Klone, gut geschriebene Texte und frühzeitig registrierte Domains mit SSL-Zertifikaten.
Zweitens wurde eine glaubhafte Dringlichkeit vermittelt. Die „obligatorische 2026-Aktualisierung“ ähnelt echten Software-Updates, wie Nutzer sie aus anderen Bereichen kennen. Die Nachricht drohte nicht, versprach keine Belohnungen und fragte nicht nach Seed-Phrasen – sie bat lediglich um Validierung.
Drittens erfolgte der Angriff kettenübergreifend. Die Drainer-Contracts waren gleichzeitig auf Ethereum, Polygon, Arbitrum und Base aktiv und die Zieladresse variierte je nach Chain. Frühere Kampagnen konzentrierten sich meist auf Ethereum und schlossen L2-Nutzer aus.
Wie ZachXBT das Cluster nachverfolgte
Die forensische Nachverfolgung begann mit dem Drainer-Contract auf Ethereum. Über dessen Transaktionshistorie fand ZachXBT das Funding-Wallet, das kleine Gas-Transfers von einem Hot-Wallet erhielt – dieses finanzierte auch die Drainer-Contracts auf Polygon, Arbitrum und Base. Das Hot-Wallet wurde drei Wochen zuvor von einer zentralisierten Börse aufgefüllt.
An dieser Stelle endete die Spur, da die Börse offshore ohne KYC operiert und nicht auf behördliche Anfragen reagiert. ZachXBT vermutet, dass eine professionelle Gruppe die Infrastruktur an Phishing-Affiliates vermietet und dafür 20–30 % der Beute erhält.
Warum Hardware-Wallets die meisten Opfer geschützt hätten
Fast alle betroffenen Adressen waren Hot Wallets (Browser-Erweiterung, mobile Wallet-Apps, Software Custody). Eine Hardware-Wallet wie Ledger oder Trezor verlangt eine physische Bestätigung auf dem Gerätedisplay. Wer dort einen setApprovalForAll für einen unbekannten Vertrag sieht, kann die Transaktion verweigern.
Das ist das Hauptargument für Hardware-Custody: Der Nutzer muss aktiv auf einem separaten, vertrauenswürdigen Bildschirm zustimmen. Die Zusatzhürde schützt vor schnellen, unüberlegten Klicks. Außerdem zeigen moderne Wallets eine Transaktionsvorschau, die Freigaben und Berechtigungen decodiert. Wer alte Wallet-Versionen nutzt oder die Vorschau ignoriert, ist besonders gefährdet.
Was EVM-Nutzer diese Woche tun sollten
Das Sicherheitshandbuch ist kurz und bekannt. Die Phemex Crypto-Sicherheitscheckliste erläutert alle Schritte. Behandeln Sie jede „obligatorische Aktualisierung“ oder „Verifikations“-Nachricht per E-Mail oder Benachrichtigung grundsätzlich als Phishing-Versuch. Echte Updates erfolgen immer direkt in der Wallet, nie über externe Links. Im Zweifel geben Sie die offizielle URL eigenhändig im Browser ein.
Widerrufen Sie nicht mehr benötigte Token-Freigaben. Das kostenlose Tool Revoke.cash scannt Ihr Wallet und zeigt alle aktiven Freigaben. Alte Freigaben für nicht mehr genutzte Protokolle stellen ein Risiko dar – widerrufen Sie sie. Verwenden Sie eine Hardware-Wallet für größere Beträge. Wenn das nicht möglich ist, nutzen Sie zumindest ein separates Browser-Profil ohne weitere Erweiterungen.
Signieren Sie Transaktionen nur nach sorgfältiger Prüfung. Die vollständige Beschreibung einer setApprovalForAll- oder permit-Signatur zeigt die genehmigte Adresse und den Umfang der Berechtigung. Ist die Adresse unbekannt und die Berechtigung unbegrenzt, lehnen Sie ab.
Häufig gestellte Fragen
Wie erkenne ich, ob ich betroffen bin?
Überprüfen Sie Ihre Transaktionshistorie auf unbekannte Freigaben oder Transfers der letzten zehn Tage. Das Tool Etherscan token approvals listet alle aktiven Freigaben Ihrer Adresse auf. Jede Genehmigung an einen unbekannten Vertrag ist ein Warnsignal. Bei einem Drain-Vorgang sind die Mittel meist bereits verschleiert worden, dennoch sollten Sie ZachXBT und die lokale Polizei informieren.
Warum blockiert MetaMask diese Domains nicht konsequenter?
MetaMask führt eine Blockliste für Phishing-Domains und ergänzt sie regelmäßig. Die Angreifer wechseln Domains jedoch schneller, als die Blockliste aktualisiert werden kann – sie bietet also nur einen begrenzten Schutz.
Sind L2-Wallets sicherer als Mainnet-Wallets?
Nein. Die Drainer-Contracts funktionieren auf allen EVM-Chains. L2s sind lediglich günstiger in den Gebühren, das Risiko bleibt gleich.
Sollte ich meine Krypto zu einer zentralen Börse übertragen?
Das hängt vom individuellen Sicherheitsbedarf ab. Ein seriöser zentraler Verwahrer mit Versicherung, Cold Storage und Nachweis der Reserven eliminiert das Phishing-Risiko der Selbstverwahrung, bringt aber Gegenparteirisiko mit sich. Am sichersten ist für die meisten: Hardware-Wallet für langfristige Lagerung, kleines Hot Wallet für DeFi, zentraler Verwahrer für aktiv gehandelte Mittel.
Fazit
Die Kampagne erbeutete über 9 Millionen US-Dollar aus mehr als 400 Wallets in etwa einer Woche. Die Infrastruktur ist weiterhin aktiv, die Domainrotation läuft und die Nachahmungsqualität ist hoch. Nutzer sollten daher besonders vorsichtig bei angeblichen Wallet-Upgrades sein, regelmäßig Freigaben widerrufen und Transaktionsvorschauen lesen. Künftige Phishing-Versuche könnten auf andere Wallets wie Rabby, Phantom oder Trust abzielen. Jede E-Mail zu einem Wallet-Upgrade sollte mit größtem Misstrauen betrachtet werden.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Finanz- oder Anlageberatung dar. Der Handel mit Kryptowerten ist mit erheblichen Risiken verbunden. Prüfen Sie stets eigenverantwortlich, bevor Sie Handelsentscheidungen treffen.
