Wie die Masche funktioniert.
Der Betrieb gibt sich als webbasierte Ethereum-Wallet-Oberfläche aus und positioniert sich über einen Domainnamen, der Zeichen für Zeichen den Namen eines weit verbreiteten und vertrauenswürdigen Self-Custody-Wallet-Dienstes nachbildet. Zielgruppe sind Ethereum-Inhaber, die eine direkte Vermögensverwaltung außerhalb einer zentralisierten Börse suchen. Die Darstellung an der Oberfläche umfasst mit hoher Wahrscheinlichkeit die üblichen Abläufe für den Wallet-Zugriff: Import des privaten Schlüssels, Hochladen der Keystore-Datei und Eingabe der mnemonischen Phrase, alles vertraut für die anvisierten Opfer und darauf ausgelegt, deren Zögern zu verringern.
Das zugrunde liegende Betrugsmuster ist das Abgreifen von Zugangsdaten (Credential Harvesting). Wenn ein Nutzer einen privaten Schlüssel, eine Seed-Phrase oder eine Keystore-Datei übermittelt, erfasst der Betreiber diese Eingabe serverseitig. Die Wallet-Oberfläche kann bis zu diesem Moment überzeugend wirken, Guthaben anzeigen und funktionsfähig erscheinen, während die Zugangsdaten unbemerkt abgezogen werden. Die Domain verstärkt die Täuschung auf zwei Ebenen: Der Name ahmt ein etabliertes Produkt nach, und die nicht standardmäßige TLD trägt eine implizite Assoziation mit Cloud-Infrastruktur und verleiht so eine oberflächliche technische Glaubwürdigkeit.
Opfer entdecken die Kompromittierung in der Regel erst im Nachhinein, wenn Adressen, die sie zu kontrollieren glaubten, geleert wurden. Zu diesem Zeitpunkt hat der Betreiber die Vermögenswerte bereits auf Adressen außerhalb der Reichweite des Opfers verschoben und den Transfer innerhalb von Minuten nach Erfassung der Zugangsdaten abgeschlossen. Es gibt keinen Support-Kanal, keinen Mechanismus zur Streitbeilegung und keine in die Plattform selbst eingebettete Möglichkeit zur Wiedergutmachung. Domains dieser Art wechseln häufig oder verschwinden, sobald die Aufnahme in eine Blacklist den eingehenden Datenverkehr unterdrückt, und hinterlassen so keine Spur, auf die betroffene Nutzer verweisen könnten.
Warnsignale, die wir dokumentiert haben.
- 01Verbatim brand impersonation in the domain nameThe domain reproduces the full name of a well-established Ethereum wallet service with no modification. Legitimate wallet providers do not copy a recognised product's name. This construction exists for one purpose: to intercept traffic from users who trust the original brand.
- 02Non-standard TLD exploited as a credibility signalThe .azure top-level domain carries a colloquial association with enterprise cloud infrastructure. Pairing it with a known wallet name is a deliberate attempt to manufacture technical credibility without any corresponding organisational accountability, regulatory oversight, or verifiable infrastructure.
- 03No disclosed corporate identity or contact detailsOperations in this category present no named operator, no incorporation details, no published terms of service, and no verifiable support contact. Genuine wallet interfaces that handle user credentials provide at minimum a traceable legal presence.
- 04Listed on community threat-intelligence registerThe domain appears on the CryptoScamDB blacklist, a community-maintained index of confirmed malicious cryptocurrency domains. Inclusion reflects documented harm rather than speculative suspicion, and the listing predates this registry entry.
- 05Credential submission creates irreversible exposureWallet-clone operations exploit a structural feature of blockchain networks: once a private key is captured and funds are moved on-chain, no chargeback mechanism or retail-accessible legal instrument routinely reverses the transfer. The window between submission and asset loss can be minutes.
Was Sie jetzt tun können.
Open a free 24-hour case assessment with CryptoLeek +
Tell us what happened. A senior analyst reads your file within 24 hours and replies with an honest yes/no/conditional on recovery. The assessment is free. If we cannot recover the funds we say so plainly, including which (free) regulator channel you should use instead. If we accept the case, we open a numbered case file and issue a written quote for a flat investigation retainer before any work begins, scoped to case complexity, the jurisdictions involved, and the on-chain trail.
Trace your funds on-chain with our analysts +
We trace stolen crypto across BTC, ETH, EVM L2s, Solana, Tron, and major stablecoins using the same toolchain as regulators and tier-1 exchange compliance teams. The output is a forensic report anchored to specific transaction hashes and block heights, the evidence that exchanges, payment processors, and counsel actually act on. Recovery starts here.
Recover with counsel where civil action makes sense +
Where the trace lands in a jurisdiction with cooperative banks and courts, we coordinate with bar-licensed counsel in our 40+ jurisdiction network for civil action and asset-freezing orders (Mareva-style). Counsel bill you directly; the CryptoLeek investigation retainer is independent of counsel fees. The outcome is funds released back to your nominated wallet or bank account.