Wie die Masche funktioniert.
Die Operation gibt sich als legitime Ethereum-Wallet-Oberfläche aus und nutzt den Bekanntheitsgrad eines weit verbreiteten Self-Custody-Dienstes aus. Die Domain-Konstruktion verbindet den Namen einer bekannten Wallet-Marke mit dem einer großen Internetplattform und erzeugt so eine Oberfläche, die auf Nutzer glaubwürdig wirken kann, die über Suchergebnisse, Phishing-E-Mails oder Empfehlungen in sozialen Medien darauf stoßen. Die angesprochene Zielgruppe sind alle, die über eine vertraut wirkende Web-Oberfläche auf Ethereum-basierte Vermögenswerte zugreifen, sie importieren oder verwalten möchten.
Wallet-Imitationsoperationen dieser Art replizieren in der Regel das visuelle Design und den Nutzerablauf des legitimen Dienstes, den sie nachahmen. Der entscheidende Mechanismus ist der Schritt der Zugangsdatenerfassung: Nutzer werden aufgefordert, einen Private Key, eine Seed Phrase oder eine Keystore-Datei einzugeben, also Material, das demjenigen, der es erhält, dauerhafte und unwiderrufliche Kontrolle über die zugehörigen Gelder verschafft. Einige Varianten treiben die Täuschung weiter, indem sie für den Nutzer eine Wallet-Adresse erzeugen und so den Eindruck eines funktionierenden Dienstes erwecken, während der Betreiber von Anfang an eine Kopie der zugrunde liegenden Schlüssel behält.
Der Moment der Entdeckung tritt meist ein, wenn ein Nutzer eine Transaktion durchführen will und feststellt, dass sein Guthaben geleert wurde, oder wenn die Oberfläche gar nicht mehr reagiert. Der Diebstahl eines Private Keys ist auf Protokollebene unumkehrbar: Sobald Gelder on-chain bewegt wurden, existiert kein technischer Wiederherstellungsmechanismus. Domains, die als Phishing-Infrastruktur betrieben werden, werden in der Regel rasch abgeschaltet, sobald sie Aufmerksamkeit erregen, und lassen die Opfer ohne Ansprechpartner, ohne identifizierbaren Betreiber und ohne herkömmlichen Rechtsweg zurück.
Warnsignale, die wir dokumentiert haben.
- 01Domain constructed to mimic two trusted brand namesThe domain pairs the name associated with a prominent Ethereum wallet service with that of a major internet platform, without affiliation to either. This naming pattern is characteristic of credential-phishing infrastructure designed to pass casual visual inspection and exploit the credibility of both referenced brands.
- 02Confirmed listing on independent fraud-intelligence blacklistThe domain appears on CryptoScamDB's community-maintained blacklist of confirmed fraudulent cryptocurrency sites. This is an independent signal that investigators and community members have reviewed and flagged the operation, separate from any single source of complaint.
- 03Credential-capture pattern typical of wallet-phishing operationsAny platform requesting a private key, seed phrase, or keystore file via a web form is requesting materials that grant permanent control over the associated wallet. Legitimate self-custody wallet interfaces do not ask for these credentials remotely; the request itself is the mechanism of theft.
- 04Unconventional domain structure for genuine wallet infrastructureLegitimate self-custody wallet services operate from stable, independently verifiable domains with transparent ownership and consistent history. A domain that appends a major search-engine brand name to a wallet service name follows no recognisable pattern associated with genuine wallet infrastructure.
- 05No documented operator, registration, or regulatory standingNo evidence exists of a registered legal entity, regulatory filing, or corporate governance structure behind this domain. That absence is consistent with the operational profile of short-lived phishing infrastructure: established quickly, abandoned once flagged, and designed from the outset to resist attribution.
Was Sie jetzt tun können.
Open a free 24-hour case assessment with CryptoLeek +
Tell us what happened. A senior analyst reads your file within 24 hours and replies with an honest yes/no/conditional on recovery. The assessment is free. If we cannot recover the funds we say so plainly, including which (free) regulator channel you should use instead. If we accept the case, we open a numbered case file and issue a written quote for a flat investigation retainer before any work begins, scoped to case complexity, the jurisdictions involved, and the on-chain trail.
Trace your funds on-chain with our analysts +
We trace stolen crypto across BTC, ETH, EVM L2s, Solana, Tron, and major stablecoins using the same toolchain as regulators and tier-1 exchange compliance teams. The output is a forensic report anchored to specific transaction hashes and block heights, the evidence that exchanges, payment processors, and counsel actually act on. Recovery starts here.
Recover with counsel where civil action makes sense +
Where the trace lands in a jurisdiction with cooperative banks and courts, we coordinate with bar-licensed counsel in our 40+ jurisdiction network for civil action and asset-freezing orders (Mareva-style). Counsel bill you directly; the CryptoLeek investigation retainer is independent of counsel fees. The outcome is funds released back to your nominated wallet or bank account.