Belohnungszentrum 
Vier Strafverfolgungsbehörden aus den USA, Großbritannien und Kanada haben Ende März 2026 innerhalb einer Woche gestohlene Kryptowährungen in mehr als 30 Ländern nachverfolgt. Dabei wurden 12 Millionen US-Dollar eingefroren, über 20.000 kompromittierte Wallet-Adressen identifiziert und 120 betrügerische Webseiten abgeschaltet. Die Operation unter dem Codenamen "Atlantic" wurde gemeinsam vom US Secret Service, der britischen National Crime Agency (NCA), der Polizei Ontario und der Ontario Securities Commission durchgeführt. Insgesamt identifizierte der Einsatz Betrugsfälle im Wert von über 45 Millionen US-Dollar, wovon 33 Millionen noch untersucht werden.
Die häufigste Betrugsmethode war Approval Phishing – ein Social-Engineering-Angriff, der weder Private Keys noch Seed-Phrasen stiehlt. Stattdessen werden Nutzer dazu verleitet, mit einer einzigen Transaktion einer fremden Adresse uneingeschränkten Zugriff auf ihre Token zu gewähren. Man gibt kein Passwort weiter, sondern klickt auf "Genehmigen" in einer scheinbar normalen Wallet-Anfrage. Die Inhalte der Wallet können dann jederzeit abgezogen werden.
Im Folgenden wird erläutert, was Operation Atlantic herausgefunden hat, wie Approval Phishing technisch funktioniert und welche Schritte davor schützen.
Was hat Operation Atlantic konkret gemacht?
Die Aktion lief eine Woche lang von Ende März bis Anfang April 2026. Die US-Behörde Secret Service veröffentlichte am 9. April die Ergebnisse und bezeichnete sie als die erste koordinierte multinationale Maßnahme gegen Approval Phishing in diesem Umfang.
Die Zahlen sprechen für sich: Ermittler identifizierten über 20.000 Wallet-Adressen von Betrugsopfern in über 30 Ländern, darunter die USA, Großbritannien und Kanada. Mehr als 3.000 Opfer wurden direkt kontaktiert, um sie zu warnen und – falls möglich – Gelder einzufrieren, bevor Betrüger weitere Transfers vornehmen konnten. Ein Opfer aus Großbritannien verlor bei einer einzigen Approval-Phishing-Transaktion etwa 52.000 GBP.
Neben den eingefrorenen 12 Millionen US-Dollar wurden 120 Domains abgeschaltet, auf denen Betrüger gefälschte DeFi-Oberflächen, Fake-Airdrop-Seiten oder Wallet-Verbindungsaufforderungen präsentierten. Laut The Block werden die restlichen 33 Millionen US-Dollar weiter zurückverfolgt, weshalb die Operation noch nicht abgeschlossen ist.
Chainalysis stellte die Blockchain-Intelligence-Dienste bereit – etwa für On-Chain-Analysen und die Verknüpfung von Betrugsinfrastruktur über verschiedene Chains hinweg. Dass ein privates Blockchain-Analyseunternehmen in eine internationale Ermittlung eingebunden ist, zeigt die zentrale Rolle von On-Chain-Forensik bei der heutigen Krypto-Regulierung.
Wie funktioniert Approval Phishing (technisch)?
Approval Phishing nutzt eine Funktion, die DeFi erst ermöglicht – keinen Bug. Immer wenn man Token auf einer DEX tauscht, auf einem Protokoll wie Aave verleiht oder ein NFT mintet, muss man dem jeweiligen Smart Contract das Ausgeben der Token erlauben. Der ERC-20-Standard sieht die Funktion approve() vor: Sie erhält als Parameter die Adresse des Empfängers (also den Smart Contract) und den Betrag (wie viele Token übertragen werden dürfen).
Seriöse Protokolle fragen nur die benötigte Menge ab, etwa eine Freigabe von 500 USDC für einen Tausch. Die Funktion selbst hat aber kein Limit: Ein betrügerischer Smart Contract kann unbegrenzte Freigabe verlangen und somit jederzeit alle Token dieses Typs im Wallet transferieren – theoretisch für immer.
Darin liegt das gesamte Angriffspotenzial: Der Angreifer benötigt weder Seed Phrase noch Private Key oder Passwort, sondern nur eine Signatur für eine einzige Transaktion und tarnt die Anfrage als Routine-Aufgabe.
Der Angriff verläuft typischerweise in drei Schritten:
- Der Betrüger erstellt eine Webseite, die ein bekanntes DeFi-Protokoll, eine Airdrop-Seite oder ein Wallet-Tool nachahmt.
- Verbindet man seine Wallet, wird eine Approval-Transaktion ausgelöst.
- Bestätigt man den angezeigten Vertrag ohne Details zu prüfen, gewährt man dem Angreifer unbegrenzten Zugriff auf die eigenen Token. Der Betrüger muss das Wallet nicht sofort leeren – er kann Tage oder Wochen warten und dann mit einem
transferFrom()die Token auf seine Adresse verschieben.
Eine neuere Variante namens Permit Signature Phishing ist noch schwerer zu erkennen. Hier unterschreibt das Opfer eine Off-Chain-Nachricht, die einen Transfer autorisiert. Da es sich um eine Signatur, nicht um eine Transaktion handelt, taucht im Verlauf keine Transaktion auf. Der Betrüger kann sie später einreichen, wodurch die Token ohne erkennbaren Zusammenhang abfließen.
Warum ist Approval Phishing das dominierende Krypto-Scam-Modell?
Die Zahlen sprechen für sich: Laut dem Chainalysis Crypto Crime Report 2026 summierten sich die Verluste durch Approval Phishing 2024 und 2025 auf über 1 Milliarde US-Dollar. Sicherheitsforscher berichten, dass allein im Januar 2026 etwa 300 Millionen US-Dollar durch Phishing abgezogen wurden – Approval-Exploits machen dabei den Großteil aus.
Quelle: Chainalysis
Die Ursache ist ökonomisch: Klassische Exploits (z. B. Smart-Contract-Bugs, Flash-Loans, Bridge-Hacks) erfordern tiefgehendes technisches Know-how und aufwändige Vorbereitung. Approval Phishing benötigt lediglich eine überzeugende Webseite und Grundkenntnisse in Solidity. Ein gefälschtes Frontend reicht, um über Social Media, Fake-Airdrops oder kompromittierte Discords massenhaft Genehmigungen einzusammeln. Jede einzelne Approval ist eine tickende Zeitbombe, die oft erst Wochen später auffällt.
Hinzu kommt: Approvals verfallen nicht automatisch. Wer 2023 einer fragwürdigen DeFi-Seite unbegrenzte Rechte eingeräumt hat, gewährt diese noch heute – sofern sie nicht aktiv widerrufen wurden. Angreifer durchsuchen Datenbanken nach Wallets mit alten Freigaben und können diese gezielt abräumen.
| Angriffsart | Was benötigt der Angreifer? | Aktion des Opfers | Rückgängig machbar? |
| Private-Key-Diebstahl | Seed Phrase oder Private Key | Keine nach dem ersten Zugriff | Nein |
| Approval Phishing | Eine signierte Approval-Transaktion | Klick auf "Genehmigen" bei Fake-Anfrage | Ja, falls vor dem Abzug widerrufen |
| Permit Signature Phishing | Eine Off-Chain-Signatur | Signiere eine Nachricht (keine Transaktion sichtbar) | Ja, falls vor dem Abzug widerrufen |
| Smart-Contract-Exploit | Fehler im Protokoll-Code | Keine (betrifft Protokoll-Nutzer) | Abhängig von Protokoll-Reaktion |
Wie Token-Freigaben jetzt prüfen und widerrufen?
Im Unterschied zum Diebstahl des Private Keys ist Approval Phishing reversibel – zumindest solange kein Abzug erfolgt ist. Wird die Freigabe rechtzeitig widerrufen, verliert sie ihre Wirkung.
Besuchen Sie Revoke.cash und verbinden Sie Ihre Wallet. Das Tool prüft alle erteilten Freigaben auf Ethereum, Polygon, BSC, Arbitrum und anderen EVM-Chains und zeigt, welche Verträge Zugriff haben.
Achten Sie auf Freigaben für unbekannte Verträge, unbegrenzte Beträge oder Approvals aus Zeiträumen, in denen Sie mit verdächtigen Seiten interagiert haben. Jede nicht bewusst erteilte Genehmigung sollte sofort widerrufen werden.
Mit einem Klick auf "revoke" senden Sie eine On-Chain-Transaktion (es fällt eine kleine Gas-Fee an), die das Limit auf null setzt. Nach dem Widerruf kann der Vertrag keine Token mehr bewegen.
Prüfen Sie Ihre Freigaben regelmäßig – idealerweise monatlich. Besonders bei aktiven Wallets sammeln sich mit der Zeit viele Approvals an. Jede davon kann ein Risiko bedeuten, falls der Vertrag kompromittiert oder von Anfang an böswillig ist.
Für größere Beträge ist die sicherste Option ein Hardware Wallet als Cold Storage, das nie direkt mit DeFi interagiert. Für den Alltag empfiehlt sich ein Hot Wallet mit geringem Bestand. Jede Approval-Anfrage sollte so kritisch geprüft werden wie eine E-Mail, die nach dem Onlinebanking-Passwort fragt.
Was bedeutet Operation Atlantic für die Krypto-Regulierung?
Operation Atlantic ist ein Modell für zukünftige Maßnahmen. Die Zusammenarbeit von US-Bundes- und britischen Bundesbehörden, kanadischer Provinzpolizei, einer Wertpapieraufsicht und Chainalysis als privatem Partner zeigt einen neuen Ansatz: Blockchain-Analytics-Firmen agieren als eingebettete Intelligence-Einheiten.
Hervorzuheben ist, dass über 3.000 Opfer direkt gewarnt wurden. Klassische Finanzermittlungen identifizieren Betrugsopfer oft erst Jahre später. Dank der öffentlichen Blockchain konnten kompromittierte Wallets in Echtzeit erkannt und die Opfer vor dem Totalverlust informiert werden. Dieser Vorteil ist einzigartig im Krypto-Bereich und wird zunehmend von Behörden genutzt.
Allerdings konnten nur 12 Millionen von 45 Millionen US-Dollar eingefroren werden – etwa 73 % der Gelder sind weiter im Umlauf. Und 45 Millionen US-Dollar sind nur ein Bruchteil des weltweiten Approval-Phishing-Schadens. Die Maßnahme hat das Modell bewiesen, aber für die Skalierung braucht es weitere Ressourcen und internationale Zusammenarbeit, etwa mit Europol, INTERPOL oder asiatischen Behörden.
Häufige Fragen
Was ist Approval Phishing im Krypto-Kontext?
Approval Phishing verleitet Nutzer dazu, eine Transaktion zu signieren, die einem Betrüger die Erlaubnis zum Transfer ihrer Token gibt. Es werden weder Private Keys noch Seed-Phrasen gestohlen, sondern die standardisierte ERC-20-Genehmigungsfunktion ausgenutzt, die in jedem DeFi-Protokoll vorkommt.
Kann ich verlorene Token nach Approval Phishing zurückerhalten?
Wenn die Genehmigung noch nicht genutzt wurde, schützt das sofortige Widerrufen die verbleibenden Token. Bei bereits abgezogenen Geldern hängt die Rückführung von Maßnahmen der Behörden ab, wie Operation Atlantic zeigt. Es empfiehlt sich, den Vorfall umgehend lokalen Behörden und dem IC3 (Internet Crime Complaint Center des FBI) zu melden.
Wie erkenne ich, ob meine Wallet von Approval Phishing betroffen ist?
Verbinden Sie Ihre Wallet mit Revoke.cash und prüfen Sie alle aktiven Freigaben. Jede unbegrenzte Genehmigung für einen unbekannten Vertrag ist ein Warnsignal – ebenso Approvals aus Zeiträumen mit verdächtiger Aktivität oder unerwarteten Airdrops.
Schützt die Verwahrung bei einer Börse vor Approval Phishing?
Ja, denn Approval Phishing betrifft nur Self-Custody-Wallets, bei denen Nutzer Transaktionen selbst signieren. Vermögenswerte auf regulierten Plattformen wie Phemex sind nicht durch Approval-Exploits gefährdet, da die Börse den Zugang verwaltet und keine Drittanbieter-Smart-Contracts mit Kundengeldern interagieren. Das bedeutet jedoch, dass man auf die Sicherheitsinfrastruktur der Börse angewiesen ist.
Fazit
Operation Atlantic belegt, dass Approval Phishing derzeit das zentrale Angriffsschema im Krypto-Bereich ist, das grenzüberschreitend verfolgt wird. Die vier beteiligten Behörden konnten 12 Millionen US-Dollar einfrieren und einen Gesamtschaden von 45 Millionen identifizieren. Angesichts von 300 Millionen US-Dollar an Phishing-Verlusten allein im Januar 2026 wird deutlich, dass noch erheblicher Handlungsbedarf besteht. Praktisch bedeutet das: Jede Freigabe in Ihrer Wallet ist eine dauerhafte Berechtigung – solange Sie sie nicht widerrufen. Wer seit einigen Monaten DeFi nutzt und seine Approvals nie geprüft hat, trägt womöglich unerkannte Risiken. Revoke.cash benötigt fünf Minuten und ist derzeit der wichtigste Sicherheits-Check für Self-Custody-Nutzer.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Finanz- oder Anlageberatung dar. Der Handel mit Kryptowährungen ist mit Risiken verbunden. Führen Sie stets Ihre eigene Recherche durch, bevor Sie Entscheidungen treffen.
