Was ist ein Address-Poisoning-Angriff — und warum er sogar vorsichtige Krypto-Nutzer täuscht
Stellen Sie sich vor, Sie schicken einem Freund per Nachricht Geld, aber jemand hat einen gefälschten Kontakt erstellt, der fast identisch mit Ihrem ist – gleiche ersten Buchstaben, gleiche letzten Buchstaben. Sie werfen nur einen kurzen Blick, nehmen an, es sei die richtige Person, und klicken auf Senden. Das ist die realweltliche Entsprechung dessen, was aktuell im Kryptobereich mit sogenannten „Address-Poisoning-Angriffen“ passiert.
Diese Angriffe brechen nicht in Systeme ein oder stehlen Passwörter. Stattdessen nutzen sie, wie unser Gehirn funktioniert: wir überfliegen, wir nehmen an und vertrauen visuellen Mustern. In der Blockchain, wo jede Transaktion endgültig ist, kann dieser winzige Fehler echtes Geld kosten.
Wie ein Address-Poisoning-Angriff tatsächlich funktioniert
Auf Blockchains wie Solana (wo der jüngste Squads-Vorfall stattfand) ist Ihre Wallet-Adresse öffentlich – jeder kann sie sehen. Kluge Angreifer nutzen diese Offenheit gegen Sie, indem sie gefälschte Wallet-Adressen erstellen, die fast Ihrer oder Ihrer Gruppe ähneln.
Zum Beispiel:
- Echte Adresse:
ABCD...XYZ - Falsche Adresse:
ABCF...XYA
Wenn Sie nur den Anfang und das Ende prüfen – wie viele Menschen es tun –, können Sie den subtilen Unterschied in der Mitte nicht bemerken. Es ist, als würde man "John Smith" in einer überfüllten E-Mail-Postfachliste für "Jon Smyth" halten.
Bei Multisig-Wallets (Konten, die mehrere Personen zur Genehmigung einer Transaktion benötigen, wie ein digitaler Tresor mit mehreren Schlüsseln) gehen Angreifer noch einen Schritt weiter. Sie erstellen ein neues, gefälschtes Multisig-Konto und fügen Ihren öffentlichen Schlüssel hinzu. Da das System alle Konten zeigt, die mit Ihrer Adresse verknüpft sind, erscheint dieses gefälschte Konto in Ihrer Liste – direkt neben Ihren echten Konten.
Ziel ist kein Hacking – sondern menschlicher Fehler
Wichtig: Diese Angriffe nutzen keine Software-Bugs aus. Die Blockchain selbst bleibt sicher. Stattdessen setzen Angreifer darauf, dass Sie:
- aus Versehen Geld an die falsche Adresse senden
- eine Transaktion genehmigen, weil Sie glauben, sie käme von Ihrer Gruppe
- ein Betrugs-Konto für legitim halten
Kein Code wird gebrochen. Keine privaten Schlüssel werden gestohlen. Die Schwachstelle ist rein menschlich: Schnelligkeit, Gewohnheit und visuelle Ähnlichkeit.
Was bereits gegen Nutzer getan wird
Entwickler hinter Tools wie Squads bringen Änderungen auf den Weg, um Täuschung schwieriger zu machen:
- Sofortmaßnahmen: Warnbanner erscheinen neben unbekannten Konten, und neue Multisig-Konten werden markiert, wenn sie noch nie verwendet wurden.
- In Kürze: Neue Konten werden nicht automatisch angezeigt. Sie müssen sie manuell freigeben („whitelist“), ähnlich wie bei der Bestätigung eines neuen Geräts, das auf Ihr E-Mail-Konto zugreifen möchte.
Diese Updates sollen Sie nur leicht verlangsamen, damit Sie vor der Aktion zweimal nachdenken.
So schützen Sie sich jetzt
Sie müssen kein Technik-Experte sein, um sicher zu bleiben. Nur einige bewusste Gewohnheiten helfen:
- Vertrauen Sie niemals auf Teil-Adressen – prüfen Sie immer die vollständige Zeichenkette, wenn möglich.
- Fixieren Sie vertrauenswürdige Konten ganz oben in Ihrer Wallet, damit sie leicht auffindbar und schwer zu verwechseln sind.
- Reden Sie mit Ihrer Gruppe, bevor Sie ungewöhnliche Transaktionen genehmigen – auch wenn sie „richtig“ aussehen.
- Behandeln Sie jedes neue Konto als verdächtig, bis es über einen separaten Kanal bestätigt wurde (z. B. Telefonanruf oder sichere Chat-App).
Denken Sie daran: Blockchain-Transaktionen lassen sich nicht rückgängig machen. Ein einziger Fehlclick ist endgültig.
Was bedeutet das für normale Nutzer?
Selbst wenn Sie noch keine fortgeschrittenen Tools wie Multisig-Wallets nutzen, spielt das eine Rolle. Je häufiger Kryptowährungen genutzt werden – für Zahlungen, Sparen oder Community-Projekte – desto besser werden Betrüger darin, Tricks zu perfektionieren, die auf unsere Wahrnehmung und Handlung abzielen. Lernen, innezuhalten, zu überprüfen und Fragen zu stellen, wenn etwas „fast richtig“ aussieht, schützt Sie weitaus besser als jede App-Update-Neuigkeit.
Sicherheit ist nicht Paranoia – es geht darum, einfache, konsequente Gewohnheiten in einer Welt aufzubauen, in der Fehler nicht rückgängig gemacht werden können.
Wichtige Erkenntnisse
- Address-Poisoning täuscht Nutzer, indem es gefälschte Wallet-Adressen erstellt, die fast identisch mit echten sind.
- Diese Angriffe gelingen durch menschliche Fehler, nicht durch Software-Schwächen – keine privaten Schlüssel werden gestohlen.
- Prüfen Sie immer die vollständige Adresse und bestätigen Sie ungewöhnliche Aktivitäten mit Ihrer Gruppe, bevor Sie handeln.
- Kommende UI-Änderungen werden verdächtige Konten kennzeichnen, aber persönliche Aufmerksamkeit bleibt entscheidend.
- Blockchain-Transaktionen sind unwiderruflich, daher ist Prävention die einzige wirkliche Verteidigung.
— Editorial Team