Betrug mit gefälschten Airdrop-Claim-Seiten: Wie Drainer Ihre Wallet stehlen (und wie Sie dies überprüfen können)
— By Tony Rabbit in Tutorials

Ein Betrug mit gefälschten Airdrop-Claim-Seiten verwendet einen unerwünschten Token in Ihrer Wallet als Köder, um Sie auf eine bösartige Seite zu locken, die Sie auffordert, eine Wallet-entleerende Genehmigung zu unterzeichnen. Hier ist die genaue Kill Chain, was die Signatur wirklich bewirkt und wie Sie dies überprüfen können, bevor Sie sich überhaupt verbinden.
Ein Betrug mit gefälschten Airdrop-Claim-Seiten ist eine Diebstahltechnik, bei der Angreifer einen unerwünschten Token in Ihre Wallet einzahlen, ihn nach einer "Claim"-URL benennen und sich auf Ihre Neugier verlassen, um Sie auf eine bösartige Website zu locken, die Sie auffordert, eine Wallet-entleerende Transaktion zu unterzeichnen. Der Token selbst ist harmloser Köder. Der Schaden entsteht in dem Moment, in dem Sie sich verbinden und eine Anfrage auf der gefälschten Website genehmigen. Im Gegensatz zu einem legitimen Airdrop wartet nie etwas Echtes darauf, von Ihnen beansprucht zu werden. Der gesamte Funnel existiert, um eine einzige betrügerische Signatur zu erzeugen, und das Verständnis dieses Funnels ist der Unterschied zwischen dem Verlust einer Wallet und dem Abwinken von Müll.
Wichtige Erkenntnisse
- Der unerwünschte Token ist Köder, kein Wert. Der Diebstahl geschieht auf der Claim-Seite, nicht in Ihrer Wallet.
- Die Seite fordert Sie auf, eine Genehmigung oder eine Off-Chain-Erlaubnis zu unterzeichnen, die einem Drainer die Kontrolle über Ihre Vermögenswerte übergibt.
- Echte Airdrops werden zuerst über offizielle Kanäle angekündigt. Sie überprüfen den Kanal, dann gehen Sie zur Seite, niemals umgekehrt.
- Die richtige Standardeinstellung ist, nichts zu tun. Unterschreiben Sie niemals, um einen Token zu "beanspruchen", den Sie nicht erwartet haben. Verstecken Sie ihn und machen Sie weiter.
Die Kill Chain eines Betrugs mit gefälschten Airdrop-Claim-Seiten
Der Angriff läuft in einer vorhersehbaren Reihenfolge ab. Zuerst erscheint ein unbekannter Token in Ihrer Wallet. Sie haben ihn nie gekauft, nie mit dem Projekt interagiert und oft noch nie davon gehört. Der Token-Name oder das Symbol ist häufig eine URL, etwas wie "Claim at rewards-xyz.com" oder "$2,000 voucher - visit site." Dies ist der Köder. Der Token wird massenhaft an Tausende von Adressen gleichzeitig verteilt, manchmal gepaart mit einem kleinen Dusting-Angriff, der winzige Beträge sendet, um Wallets "aktiv" und zielwürdig erscheinen zu lassen.
Zweitens erledigt die Neugier die Arbeit des Angreifers. Sie sehen einen scheinbaren Saldo, suchen den Namen und landen auf einer Seite, die wie ein ausgefeiltes Claim-Portal aussieht: Countdown-Timer, Projekt-Branding, ein leuchtender "Jetzt beanspruchen"-Button. Drittens verbinden Sie Ihre Wallet. Viertens präsentiert die Seite eine Transaktions- oder Signaturanfrage, die nicht das ist, was sie zu sein scheint. Genehmigen Sie sie, und ein Drainer-Vertrag fegt Ihre echten Token, Stablecoins oder NFTs in Sekundenschnelle weg. Es kommt nie zu einer Beanspruchung. Der Token in Ihrer Wallet war nur ein Werbeschild, das auf die Falle zeigte.
Was die bösartige Seite Sie tatsächlich zur Unterschrift auffordert
Der Claim-Button gibt Ihnen nie etwas. Er fragt nach einer Berechtigung, und die Gefahr liegt im Unterschied zwischen dem, wie das Popup aussieht und was es tut. Es gibt zwei Hauptmechanismen, und beide sind von Natur aus unauffällig.
Die erste ist eine Token-Genehmigung. Sie denken, Sie ermöglichen eine Beanspruchung, aber Sie erteilen einem Smart Contract die Erlaubnis, einen bestimmten Token aus Ihrer Wallet zu verschieben, oft für einen unbegrenzten Betrag. Die zweite ist eine Off-Chain-Permit-Signatur. Dies sieht aus wie eine harmlose "Anmelde"-Nachricht ohne gas fee, weshalb die Leute sie ohne Nachzudenken genehmigen. In Wirklichkeit autorisiert sie dieselbe Art von Übertragung durch eine gasless Signatur. Wenn Sie unsicher sind, wie sich diese unterscheiden, erklärt unsere Aufschlüsselung der approve versus permit token permissions, warum die gasless oft die gefährlichere der beiden ist.
Warum ein unerwünschter Token in Ihrer Wallet eine rote Flagge ist
Legitime Airdrops beginnen fast nie damit, überraschend einen handelbaren Saldo einzuzahlen und Sie aufzufordern, eine Website zu besuchen. Echte Verteilungen werden im Voraus angekündigt, werden normalerweise über die eigene verifizierte Domain des Projekts beansprucht, zu der Sie absichtlich navigiert sind, und hängen nicht davon ab, dass ein Token mysteriöserweise zuerst auftaucht. Wenn der Token vor einer Ankündigung ankommt und sein Name ein Call to Action ist, ist die Reihenfolge umgekehrt, und diese Umkehrung ist das Signal.
Ein unerwarteter Token ist funktional eine Werbung, die jeder für ein paar Cent in Ihre Wallet legen kann, da das Senden von Token an eine Adresse keine Erlaubnis des Empfängers erfordert. Behandeln Sie es so, wie Sie einen Flyer behandeln würden, der unter Ihrer Tür durchgeschoben wird und einen kostenlosen Preis verspricht, "wenn Sie diese Nummer anrufen". Das bloße Erscheinen von Wert ist kein Beweis für Wert. Für das breitere Muster, wie diese gefälschten Airdrops konstruiert und erkannt werden, siehe unseren Leitfaden zur Identifizierung von gefälschten Airdrop-Betrügereien.
So überprüfen Sie einen offiziellen Airdrop-Kanal, bevor Sie sich verbinden
Die Verifizierung kehrt den Betrugsfluss um. Anstatt sich von einem Token zu einer Website führen zu lassen, beginnen Sie mit einer Quelle, der Sie bereits vertrauen, und arbeiten sich nach außen vor. Klicken Sie niemals auf einen Link, der Ihnen zugesandt wurde. Finden Sie das Projekt eigenständig.
- Beginnen Sie mit der offiziellen Quelle, nicht mit dem Token. Suchen Sie das Projekt über einen seriösen Aggregator, sein langjähriges verifiziertes soziales Konto oder eine Dokumentationsseite, die Sie durch Eingabe der Adresse selbst erreicht haben.
- Überprüfen Sie die Domain. Drainer-Seiten verwenden ähnlich aussehende URLs mit zusätzlichen Wörtern, vertauschten Buchstaben oder ungewöhnlichen Top-Level-Domains. Vergleichen Sie die genaue Schreibweise mit mehreren offiziellen Referenzen, bevor Sie etwas verbinden.
- Bestätigen Sie, dass der Airdrop zuerst angekündigt wurde. Ein echter Claim wird dokumentiert, bevor er geöffnet wird. Wenn Sie keinen offiziellen Beitrag finden, der dem Eintreffen des Tokens vorausgeht, gehen Sie davon aus, dass es sich um Köder handelt.
- Lesen Sie jede Signaturanfrage. Wenn ein "Claim" Sie auffordert, einen Token zu genehmigen, den Sie bereits besitzen, oder eine gasless Permit zu unterzeichnen, die einen unbekannten Spender benennt, lehnen Sie dies ab. Unser Leitfaden zu wie man Krypto-Betrügereien vermeidet behandelt die umfassendere Connect-and-Sign-Disziplin.
Die "Nichts tun"-Standardeinstellung: Niemals zur Beanspruchung unterschreiben, einfach den Token verstecken
Die sicherste Reaktion auf einen unerwünschten Token ist die billigste: nichts. Sie müssen ihn nicht verkaufen, zurücksenden oder "beanspruchen". Ein Token, der in Ihrer Wallet liegt, kann Ihre Vermögenswerte nicht von selbst bewegen. Nur eine von Ihnen autorisierte Signatur kann dies tun, daher beendet das Zurückhalten der Signatur den Angriff. Verstecken oder spam-filtern Sie den Token in Ihrer Wallet-Oberfläche und machen Sie weiter.
Wenn Sie sich bereits mit einer verdächtigen Seite verbunden haben, unterschreiben Sie nichts weiteres in Panik und überprüfen Sie Ihre bestehenden Genehmigungen. Verwenden Sie ein vertrauenswürdiges Genehmigungstool, um alle Token-Genehmigungen zu widerrufen, die Sie nicht erkennen, da eine erteilte Genehmigung aktiv bleibt, bis Sie sie widerrufen. Wenn Sie glauben, dass eine Drainer-Transaktion bereits ausgeführt wurde, verschieben Sie Ihre verbleibenden Vermögenswerte in eine brandneue Wallet und befolgen Sie unverzüglich eine Checkliste zur Wallet-Wiederherstellung. Der Betrug mit gefälschten Airdrop-Claim-Seiten ist nur erfolgreich, wenn Sie die eine Zutat liefern, die er nicht fälschen kann: Ihre eigene Genehmigung.
Dieser Artikel dient ausschließlich Bildungszwecken und stellt keine Finanzberatung dar.