Fallannahme · 24/7 geöffnet
Maschinelle Übersetzung. Professionelle Prüfung steht aus.
Home / Glossary
§ — · Glossary

Crypto-fraud terms,
defined plainly.

25 terms victims, investigators, and curious readers run into across crypto-recovery work. One-sentence definition first, context underneath. Every term has a permanent anchor link, so /glossary/#pig-butchering (and the others) point at the same definition forever.

A

Address poisoning

# address-poisoning
Eine gegen Wallets gerichtete Betrugsmasche, die den Transaktionsverlauf des Opfers mit einer gefälschten Adresse versieht, welche die ersten und letzten Zeichen einer kürzlich verwendeten Adresse nachahmt, in der Hoffnung, dass das Opfer bei einer künftigen Überweisung versehentlich die falsche Adresse kopiert und einfügt.
Der Angreifer sendet eine winzige (oft wertlose) Transaktion von einer frisch erzeugten Wallet, deren Adresse mit denselben Zeichen beginnt und endet wie die einer seriösen Gegenpartei, an die das Opfer regelmäßig Überweisungen tätigt. Die gefälschte Adresse erscheint nun im Wallet-Verlauf des Opfers. Wenn das Opfer beim nächsten Mal eine Adresse aus dem Verlauf statt von der tatsächlichen Gegenpartei kopiert, kopiert es möglicherweise die täuschend ähnliche Adresse und sendet die Gelder an den Angreifer. Überprüfen Sie stets die vollständige Adresse, nicht nur die ersten und letzten Zeichen.

Approval phishing

# approval-phishing
Also: malicious approval · token approval phishing
Ein Wallet-Angriff, bei dem das Opfer auf einer gefälschten dApp eine `setApprovalForAll`- oder eine unbegrenzte `approve`-Transaktion signiert und dem Contract des Angreifers damit die Berechtigung erteilt, bestimmte Token jederzeit später aus der Wallet abzuziehen.
Die Signatur wirkt wie eine Routinehandlung, und das Opfer geht davon aus, einen einzelnen Trade oder Mint zu bestätigen. Tatsächlich erteilt es einem vom Angreifer kontrollierten Contract eine dauerhafte Befugnis, Token aus der Wallet zu transferieren. Der Abfluss kann Sekunden später erfolgen oder erst Wochen später, oft nachdem das Opfer die Freigabe längst vergessen hat. Schutzmaßnahmen: Prüfen Sie jede Signatur auf `approve`- bzw. `setApprovalForAll`-Aufrufe, bevorzugen Sie nach Möglichkeit einmalig gültige Signaturen und überprüfen sowie widerrufen Sie aktive Freigaben regelmäßig über Revoke.cash oder den Freigabe-Manager der Wallet selbst.
B

Bridge attribution

# bridge-attribution
Die forensische Technik, gestohlene Gelder über eine Cross-Chain-Bridge zu verfolgen, indem die On-Chain-Einzahlung auf der Quellchain der entsprechenden Auszahlung auf der Zielchain zugeordnet wird, obwohl sich die Wallet-Identitäten unterscheiden.
Täter verschieben gestohlene Gelder routinemäßig über Bridges (THORChain, LayerZero, Wormhole, Stargate), um die Spur zu verschleiern und zwischen Chains zu wechseln, die von der Geldwäsche-Infrastruktur bevorzugt werden. Bridge attribution ordnet die Einzahlungstransaktion auf der Quellchain ihrem Gegenstück auf der Zielchain zu, indem Blockzeit, Betrag und die Event-Logs des Bridge-Contracts abgeglichen werden. So lässt sich eine Spur von Bitcoin über Ethereum bis Solana verfolgen, ohne den Faden zu verlieren.
C

CEX vs DEX

# cex-vs-dex
Eine zentralisierte Exchange (CEX) verwahrt die Gelder der Nutzer und unterliegt einer Aufsichtsbehörde; eine dezentrale Exchange (DEX) ist ein Smart Contract, der Token direkt zwischen Wallets tauscht, ohne Verwahrer und ohne Compliance-Team, an das sich ein Betrugsfall eskalieren ließe.
Die Unterscheidung ist für die Rückführung von Bedeutung: Gestohlene Gelder, die eine CEX erreichen, lassen sich mitunter durch eine Compliance-Eskalation einfrieren, weil die Exchange die Gelder kontrolliert und einer Aufsichtsbehörde gegenüber rechenschaftspflichtig ist. Gelder, die ausschließlich über DEX-Swaps bewegt werden, können nicht eingefroren werden: Es gibt keinen Betreiber, an den eskaliert werden könnte, sondern nur einen unveränderlichen Smart Contract. Die Rückführungsarbeit konzentriert sich deshalb vorrangig darauf, CEX-Einzahlungspunkte in der Geldwäschespur zu identifizieren; sobald die Gelder wieder in das CEX-Ökosystem gelangen, wird eine Eskalation erneut möglich.

CoinJoin

# coinjoin
Eine Datenschutztechnik, bei der mehrere Bitcoin-Nutzer ihre Transaktionen zu einer einzigen Transaktion mit mehreren Inputs und mehreren Outputs zusammenführen, sodass ein externer Beobachter nicht erkennen kann, welcher Input zu welchem Output gehört.
CoinJoin ist kein Betrugswerkzeug an sich, datenschutzbewusste Nutzer setzen es legitim ein, doch Täter nutzen es regelmäßig, um die On-Chain-Spur zwischen gestohlenen Geldern und der Wallet zu unterbrechen, in der diese letztlich landen. CoinJoin-Output-Sets lassen sich mitunter mithilfe statistischer Heuristiken entmischen (CoinJoin-Musteranalyse), doch die Erfolgsquote hängt von der Größe des Mix und der Geduld des Analysten ab. Wasabi Wallet und Whirlpool sind die beiden gängigsten Implementierungen.
See also: mixer · demixing · peel chain

Cold Wallet vs. Hot Wallet

# cold-wallet-hot-wallet
Eine Cold Wallet speichert den privaten Schlüssel offline (Hardware-Gerät oder Papier); eine Hot Wallet speichert ihn in einer Software, die mit dem Internet verbunden ist. Cold ist gegen die meisten Wallet-Drain- und Phishing-Angriffe erheblich sicherer.
Bei der Unterscheidung zwischen hot und cold geht es um die Angriffsfläche. Hot Wallets signieren Transaktionen automatisch, wenn Sie in einer dApp klicken, was zwar bequem ist, Sie aber bösartigen Signaturanfragen und Clipboard-Replacement-Malware aussetzt. Cold Wallets erfordern für jede Signatur eine physische Bestätigung am Gerät, wodurch die meisten Approval-Phishing- und Address-Poisoning-Versuche vereitelt werden. Für nennenswerte Bestände lautet die Standardempfehlung: Cold Storage, ergänzt durch eine Hot Wallet, die nur für kleine Betriebsguthaben genutzt wird.

Compliance-Hold (vs. Erpressung durch Auszahlungssperre)

# compliance-hold
Ein echter Compliance-Hold ist eine durch Regulierungsbehörden veranlasste Sperre von Geldern bei einer Exchange während einer AML/KYC-Prüfung, die vom bestehenden Guthaben abgezogen wird und keine Zahlung des Nutzers erfordert; eine Erpressung durch Auszahlungssperre ist eine gefälschte Sperre, die vom Nutzer die Zahlung einer zusätzlichen Gebühr verlangt, bevor überhaupt etwas freigegeben wird.
Echte Compliance-Holds: in den Geschäftsbedingungen der Exchange dokumentiert, über die plattforminterne Kommunikation des namentlich genannten Compliance-Teams mitgeteilt, verlangen niemals, dass der Nutzer frisches Geld überweist. Erpressung durch Auszahlungssperre: aus dem Nichts erfunden ("Steuerfreigabegebühr", "Geldwäschebekämpfungs-Einzahlung", "Stufen-Upgrade-Zahlung"), verlangt neue Gelder und erzeugt nach jeder Zahlung eine weitere Gebührenforderung. Jeder "Compliance"-Prozess, der von Ihnen eine weitere Einzahlung verlangt, ist die Erpressungsvariante, unabhängig davon, wie offiziell die Formulierungen klingen.
D

Demixing

# demixing
Die forensische On-Chain-Analyse, die zu rekonstruieren versucht, welche CoinJoin-Eingänge welchen Ausgängen entsprechen, und so die Verbindung zwischen Sender und Empfänger wiederherstellt, die der Mix verschleiern sollte.
Demixing nutzt eine Kombination aus Timing-Analyse, Betragsanalyse, Heuristiken zur Adress-Clusterbildung sowie Wasabi- und Whirlpool-spezifischen Mustersignaturen. Es ist probabilistisch, nicht deterministisch: Ein erfolgreiches Demixing liefert eine nach Wahrscheinlichkeit gewichtete Menge möglicher Verbindungen statt einer einzelnen Antwort. Mittel, die speziell durch Tornado Cash laufen, lassen sich deutlich schwerer demixen als solche, die durch CoinJoin-Protokolle geschleust werden. Deshalb stellen über Tornado geleitete Mittel oft die realistische Grenze der Rückgewinnung dar.
See also: coinjoin · mixer

Drainer-as-a-service (DaaS)

# drainer-as-a-service
Also: DaaS · wallet drainer kit
Ein Abomodell, bei dem ein Entwicklerteam einen Smart Contract zum Leeren von Wallets samt Admin-Panel erstellt und wartet und ihn anschließend an Affiliates verleast, die die Front-End-Phishing-Seiten betreiben und die Erlöse mit den Entwicklern teilen.
DaaS hat das Leeren von Wallets von einem maßgeschneiderten Verbrechen, das Smart-Contract-Kenntnisse erfordert, in einen schlüsselfertigen Baukasten verwandelt, den jeder Phisher mieten kann. Die am häufigsten genannten Baukästen (Pink, Inferno, Angel, MS) machen zusammen einen erheblichen Anteil aller gemeldeten Wallet-Leerungen aus. Auf der Recovery-Seite gilt: Die On-Chain-Drain-Contracts werden über Hunderte von Kampagnen hinweg wiederverwendet, sodass das Wallet-Clustering von DaaS-bezogenen Leerungen oft umfangreichere verwertbare Beweise liefert, als es der einzelne Vorfall vermuten lässt.

Dusting attack

# dusting-attack
Ein Angriff auf die Privatsphäre, bei dem der Angreifer winzige Mengen Kryptowährung an zahlreiche Adressen sendet, die er deanonymisieren möchte, und anschließend beobachtet, ob der Staub gemeinsam mit den übrigen Coins des Empfängers ausgegeben wird. So lässt sich bestätigen, dass die Adressen zur selben Wallet gehören.
Sobald bestätigt ist, dass zwei Adressen zur selben Wallet gehören, kann der Angreifer die Aktivität der Wallet mit Identitätssignalen außerhalb der Blockchain abgleichen (Einzahlungen bei bekannten Exchanges, Erwähnung in einem öffentlichen Beitrag usw.), um den Eigentümer zu deanonymisieren. Dusting ist selten das eigentliche Ziel: Es mündet meist in eine nachgelagerte Phishing- oder Erpressungskampagne, die gezielt auf den identifizierten Wallet-Eigentümer ausgerichtet ist. Schutzmaßnahme: Geben Sie gestaubte UTXOs nicht leichtfertig aus. Viele Wallets erlauben es inzwischen, verdächtigen eingehenden Staub zu markieren und zu isolieren.
E

Evidence pack

# evidence-pack
Das strukturierte Dossier, das eine Ermittlungsfirma für einen Rückgewinnungsfall zusammenstellt: Nachverfolgung der Transaktions-Hashes, Analyse von Wallet-Clustern, Zuordnung der Gegenparteien, ergänzende Screenshots und Kommunikation sowie eine Empfehlung für den Rückgewinnungsweg, aufbereitet nach dem Standard, den eine Aufsichtsbehörde oder ein Gericht akzeptiert.
Ein belastbares Evidence pack ist an konkrete Transaktions-Hashes und Blockhöhen geknüpft: jede darin enthaltene Aussage muss aus den öffentlichen Chain-Daten reproduzierbar sein. Es umfasst die Quelldaten (den rohen Transaktionsgraphen), die Interpretation des Analysten und die jeder Zuordnung beigefügte Konfidenzbewertung. Der maßgebliche Unterschied zwischen einer seriösen Rückgewinnungsfirma und einem Rückgewinnungsbetrug besteht darin, ob überhaupt ein Evidence pack erstellt wird: seriöse Firmen tun dies, Betrüger bieten lediglich vage Beschwichtigungen.
L

Liquidity Pool Exit Scam

# liquidity-pool-exit-scam
Also: rug pull
Ein Betrug, bei dem die Entwickler eines Tokens einen Liquidity Pool auf einer DEX starten, Einzahlungen anlocken und dann die gesamte gepaarte Liquidität auf einen Schlag abziehen, sodass Inhaber mit wertlosen Tokens zurückbleiben, die sich nicht verkaufen lassen.
Der Aufbau sieht aus wie ein normaler DeFi-Token-Launch: ein neuer Token, gepaart gegen ETH oder einen Stablecoin in einem Pool nach Uniswap-Vorbild. Die Entwickler behalten die Kontrolle über die LP-Tokens (oder sperren sie nie) und ziehen sie bei maximaler Liquidität ab. Häufige Warnsignale: anonymes Team, kein Audit, eine Sperrfrist für die Liquidität von unter 30 Tagen oder gar keine, sowie Gründer-Wallets mit überdimensionierten Token-Zuteilungen. Eine Rückgewinnung ist selten realistisch, da die Betreiber von Anfang an anonym waren und die Gelder in der Regel direkt in Mixer fließen.
M

Mixer (Kryptowährung)

# mixer
Also: tumbler
Ein Dienst oder Smart Contract, der Kryptowährung von vielen Einzahlern bündelt und gleichwertige Beträge an frische Adressen auszahlt, wodurch die On-Chain-Verbindung zwischen Ausgangs- und Ziel-Wallets gekappt wird.
Tornado Cash (Ethereum) ist das am häufigsten genannte Beispiel; Sinbad, ChipMixer und Wasabi/Whirlpool sind gängige Bitcoin-Pendants. Mixer werden von Betreibern von Krypto-Betrug intensiv genutzt, um gestohlene Gelder zu waschen, weshalb mehrere von ihnen von OFAC und anderen Regulierungsbehörden sanktioniert wurden. Eine Rückgewinnung ist deutlich schwieriger, sobald Gelder in einen echten Mixer gelangen, als nachdem sie eine reguläre Exchange durchlaufen haben: Speziell bei Tornado Cash ist eine Rückgewinnung ohne Mitwirkung der Betreiber in der Regel unmöglich.
See also: demixing · coinjoin · peel chain

Multi-Sig-Wallet

# multi-sig-wallet
Eine Wallet, die für die Autorisierung jeder ausgehenden Transaktion Signaturen mehrerer privater Schlüssel erfordert (z. B. 2-von-3 oder 3-von-5). Das bedeutet, dass ein einzelner kompromittierter Schlüssel die Wallet nicht leerräumen kann.
Multi-Sig ist der Standard für die institutionelle Verwahrung von Kryptowährungen sowie für Privatpersonen mit hohen Guthaben. Verbreitete Implementierungen: Gnosis Safe (EVM-Chains), Casa und Unchained (Bitcoin). Der Zielkonflikt: Multi-Sig verringert das Risiko eines einzelnen Ausfallpunkts drastisch, erhöht jedoch den Aufwand bei jeder Transaktion und hängt von der sicheren Aufbewahrung mehrerer Schlüssel ab, was selbst zum Sicherheitsproblem wird.
P

Peel chain

# peel-chain
Ein Geldwäschemuster, bei dem ein großer Kryptowährungsbetrag durch eine Abfolge von Wallets bewegt wird, wobei bei jedem Schritt ein kleiner Teil zu einer Exchange oder einer Auszahlungsstelle abgezweigt wird, während der Großteil weiterwandert.
Peel Chains sind darauf ausgelegt, eine einzelne große verdächtige Transaktion in viele kleine aufzuteilen, die unterhalb der AML-Schwellenwerte pro Einzahlung bei den empfangenden Exchanges liegen. Sie erstrecken sich typischerweise über Hunderte von Zwischenadressen und können Wochen bis zur Vollendung dauern. Das Aufdröseln einer Peel Chain ist eine spezifische forensische On-Chain-Technik: Jeder "Peel" folgt einem erkennbaren Muster (großer Input, kleiner Output an eine Exchange, großer Wechselgeld-Output, der zum nächsten Input wird), das es dem Analysten ermöglicht, sich durch das zu verfolgen, was auf den ersten Blick wie zusammenhanglose Transaktionen aussieht.

Permit2-Phishing

# permit2-phishing
Eine Phishing-Variante, die den `Permit2`-Signaturstandard von Uniswap ausnutzt: Das Opfer signiert eine Off-Chain-Nachricht, die der Angreifer anschließend On-Chain einreicht, um freigegebene Token abzuziehen. Bis zum eigentlichen Abzug entstehen weder Gas-Kosten noch eine On-Chain-Spur.
Permit2 wurde entwickelt, damit Nutzer Token-Freigaben über eine einzige Signatur erteilen können, anstatt für eine separate `approve`-Transaktion Gas zu zahlen. Der Nachteil: Die Off-Chain-Signatur bleibt unsichtbar, bis der Angreifer sich zur Ausführung entschließt, was es erschwert, sie vor dem Abzug zu erkennen oder zu widerrufen. Wallet-Oberflächen holen auf, indem sie Permit2-Signaturen auswerten und anzeigen, was diese autorisieren. Stand 2026 stellen jedoch viele Wallets die Signatur weiterhin als undurchsichtige "EIP-712 typed data" dar: Lesen Sie jeden Signaturdialog sorgfältig.

Pig butchering (sha zhu pan)

# pig-butchering
Also: sha zhu pan · romance-into-investment scam
Ein über Monate angelegter Betrug, der eine vorgetäuschte Liebesbeziehung in eine Geldanlage überführt: Der Täter baut über Wochen emotionales Vertrauen zur Zielperson auf und stellt ihr dann eine gefälschte Handelsplattform vor, die erfundene Gewinne anzeigt, bis das Opfer genug Geld einzahlt, um den Diebstahl lohnend zu machen.
Der Begriff ist eine Übersetzung des chinesischen 殺豬盤 ("das Schwein schlachten") und bezeichnet das Muster, das Opfer durch den Aufbau einer Beziehung "zu mästen", bevor das Geld abgeschöpft wird. Der Kontakt beginnt außerhalb jedes Anlagekontexts (Dating-Apps, LinkedIn, vorgetäuschte falsch gewählte Nummern), und die Geldanlage wird "entdeckt" statt angeboten. Pig Butchering ist weltweit die Betrugskategorie mit den höchsten Verlusten im Krypto-Bereich. Der spezielle Ratgeber von CryptoLeek: /scams/romance/.
R

Recovery-Scam

# recovery-scam
Also: second-stage scam
Eine Betrugsmasche, die frühere Opfer von Kryptowährungsbetrug ins Visier nimmt, indem sie diese unaufgefordert kontaktiert, ihnen ungebetene „Recovery"-Angebote (Wiederbeschaffung) unterbreitet und Zahlungen verlangt, ohne einen schriftlichen Leistungsumfang vorzulegen: Eine tatsächliche Wiederbeschaffung erfolgt nie, und häufig wird über mehrere Stufen hinweg zusätzliches Geld abgeschöpft.
Recovery-Scammer sammeln Kontaktdaten aus öffentlichen Datenbanken mit Betrugsmeldungen, aus Social-Media-Beiträgen und aus Foren rund um das Thema Wiederbeschaffung. Sie kontaktieren Opfer unaufgefordert, werfen mit Referenzen um sich, die sie nicht belegen können („FBI-Partner", „FCA-zugelassen"), behaupten, die Gelder bereits lokalisiert zu haben, und verlangen eine „Asset-Freeze-Gebühr" oder „Bearbeitungsgebühr", ohne schriftliche, konkrete Leistungen zuzusichern. Seriöse Wiederbeschaffungsfirmen rufen nicht unaufgefordert an, prüfen den Fall vor jedem Angebot und stellen einen schriftlichen Leistungsumfang mit einem festen Honorar aus, das genau auflistet, was die Gebühr abdeckt. Das IC3 des FBI warnt ausdrücklich vor dem Muster aus unaufgefordertem Erstkontakt und Gebühr ohne definierten Leistungsumfang.

Rug pull

# rug-pull
Ein Liquidity-Pool-Exit-Betrug im DeFi, bei dem die Token-Gründer die gesamte gepaarte Liquidität auf einen Schlag aus einem DEX-Pool abziehen und die Inhaber mit wertlosen Token zurücklassen, die sich für nichts mehr verkaufen lassen.
Siehe `liquidity-pool-exit-scam` für den Mechanismus. Der Begriff ist umgangssprachlich und wird häufig locker verwendet, um jedes DeFi-Projekt zu beschreiben, bei dem die Gründer mit den Geldern der Nutzer verschwinden, einschließlich aufwendigerer Varianten wie Governance-Angriffe, bösartige aktualisierbare Verträge und zeitgesperrte Vault-Abhebungen, die den Vault leeren. Ob klassischer Liquiditätsabzug oder Governance-Angriff, das forensische On-Chain-Profil ist dasselbe: die Wallets der Gründer verfolgen, etwaige CEX-Off-Ramps identifizieren, wo möglich eskalieren.
S

Self-custody vs. custodial

# self-custody-vs-custody
Bei der Eigenverwahrung (Self-custody) kontrollieren Sie den privaten Schlüssel, und die Plattform kann Ihre Gelder nicht bewegen; bei verwahrten Modellen (custodial, also die meisten Exchanges, Broker-Apps, Fondsverwalter) hält die Plattform den Schlüssel, und Sie halten lediglich eine Forderung gegenüber der Plattform. Das bedeutet: Ihr "Guthaben" ist der Zahlungsfähigkeit und dem Geschäftsgebaren der Plattform ausgesetzt.
Diese Unterscheidung ist der Ursprung des Grundsatzes "not your keys, not your coins". Verwahrte Modelle sind bequem und bieten Kundensupport; die Eigenverwahrung verlangt von Ihnen, Ihre eigene Sicherung, Sicherheit und Compliance selbst zu verwalten. Ein großer Teil der Verluste bei Kryptowährungen entfällt auf verwahrende Plattformen, die zahlungsunfähig werden, gehackt werden oder Auszahlungen verweigern. Für langfristige Bestände lautet die übliche Empfehlung: Eigenverwahrung in einer Cold Wallet, wobei die verwahrte Nutzung auf den aktiven Handel beschränkt bleibt.

SIM-Swapping (Krypto-Kontext)

# sim-swap
Ein Angriff, bei dem der Angreifer den Mobilfunkanbieter des Opfers durch Social Engineering dazu bringt, die Rufnummer des Opfers auf eine vom Angreifer kontrollierte SIM-Karte zu übertragen, und anschließend SMS-basierte 2FA-Codes nutzt, um die Exchange-Konten und das E-Mail-Postfach des Opfers zu übernehmen.
SIM-Swapping ist der am häufigsten genannte Weg in ein Konto bei einer Kryptobörse, der nicht auf Phishing beruht. Der Angreifer kann die Daten des Opfers aus einem früheren Datenleck, durch Social Engineering oder über einen bezahlten Insider beim Mobilfunkanbieter erlangt haben. Abwehr: Verwenden Sie für kein Konto, das Kryptowährungen hält oder kontrolliert, SMS als zweiten Faktor. Nutzen Sie stattdessen TOTP (Google Authenticator, Authy) oder Hardware-Token (YubiKey). Mobilfunkanbieter ermöglichen es zunehmend, eine Port-out-PIN festzulegen: Nutzen Sie sie.
See also: wallet drain

Sweeper Bot

# sweeper-bot
Ein automatisiertes Programm, das eine kompromittierte Wallet überwacht (eine, deren privaten Schlüssel der Betreiber nun kennt) und eingehende Gelder sofort an eine vom Angreifer kontrollierte Adresse sendet. Dadurch wird die Wallet für das Opfer dauerhaft unbrauchbar.
Wenn ein Opfer feststellt, dass seine Wallet kompromittiert ist, versucht es manchmal, Gelder zu "retten", indem es ETH einsendet, um die Gas-Gebühren für eine Rettungstransaktion zu decken. Der Sweeper Bot überholt das Opfer per Front-Running und greift sich die Gas-Gelder in dem Moment, in dem sie eintreffen, und verhindert so die Rettung. Schutzmaßnahme: Senden Sie nichts an eine kompromittierte Wallet, sondern verlagern Sie eingehende Gelder stattdessen direkt an der Quelle, oder nutzen Sie Flashbots-private Transaktionen, um die Rettung mit höherer Priorität zu koordinieren, als der Bot erreichen kann.
See also: wallet drain
W

Wallet Drain

# wallet-drain
Also: drainer attack
Ein Angriff, bei dem ein Akteur das Recht erlangt, Token aus der Wallet eines Opfers zu bewegen, in der Regel über eine bösartige Token-Freigabe oder einen gestohlenen privaten Schlüssel, und das Guthaben der Wallet an eine von ihm kontrollierte Adresse überträgt.
Wallet Drains unterscheiden sich vom Betrug über Anlageplattformen, weil es keine Plattform gibt, an die man sich zur Eskalation wenden könnte; der Verlust entsteht direkt aus der selbstverwahrten Wallet des Opfers. Die beiden häufigsten Vektoren sind (1) Approval-Phishing (das Opfer signiert auf einer gefälschten dApp eine bösartige Token-Freigabe-Transaktion) und (2) die Kompromittierung der Seed-Phrase (das Opfer gibt seine Wiederherstellungsphrase auf einer Phishing-Seite ein, die sich als Wallet-Support ausgibt). Eine Rückführung ist möglich, wenn die abgezogenen Gelder vor der Geldwäsche bei einer regulierten CEX landen; weniger, wenn sie direkt an einen Mixer gehen. Der spezielle Leitfaden von CryptoLeek: /scams/wallet-drain/.

Wallet-Clustering

# wallet-clustering
On-Chain-Forensiktechnik, die mehrere Kryptowährungsadressen zu „Clustern“ gruppiert, die mutmaßlich von demselben Betreiber kontrolliert werden, und dabei Shared-Input-Heuristiken, gemeinsame Ausgabemuster und Verhaltens-Fingerabdrücke nutzt.
Eine einzelne Betrugsoperation kontrolliert in der Regel Dutzende bis Tausende von Adressen, die jeweils nur kurz genutzt und dann verworfen werden. Clustering-Algorithmen erkennen, welche Adressen sich wie eine einzige Wallet verhalten, etwa weil sie in einer einzigen Transaktion gemeinsam ausgegeben werden (was beweist, dass sie denselben Kontrollinhaber haben). Effektives Clustering ist das, was eine Rückführung überhaupt erst möglich macht: Es erlaubt dem Analysten, dem Großteil der Gelder zu folgen, selbst wenn der Betreiber ständig neue „frische“ Adressen erstellt, um sie zu empfangen.

Withdrawal-block extortion

# withdrawal-block
Also: frozen-withdrawal scam · release-fee scam
Das Erpressungsmuster der zweiten Phase, bei dem eine betrügerische Handelsplattform sich weigert, die "erwirtschafteten" Gelder des Opfers freizugeben, bis das Opfer immer höhere Gebühren zahlt: Steuerfreigabe, AML-Prüfung, Kontostufen-Upgrades, von denen keine etwas freigibt.
Nahezu jeder Betrug mit gefälschten Investmentplattformen mündet in eine Auszahlungssperre, sobald das Opfer genug eingezahlt hat, um sich die weitere Ausbeutung zu lohnen. Die Gebühren klingen plausibel (sie entlehnen die Sprache echter Compliance-Verfahren), und die Plattformoberfläche zeigt das Guthaben des Opfers weiterhin so an, als wäre es real. Jede gezahlte Gebühr erzeugt eine neue Gebührenforderung. Das eingesetzte Kapital wurde längst vor all dem abgeschöpft: Die Auszahlungssperre existiert einzig dazu, zusätzliches Geld zu erpressen. Der ausführliche Leitfaden von CryptoLeek: /scams/withdrawal-block/.