Wie die Masche funktioniert.
Der Betrieb gibt sich als legitimer, bankentauglicher Ethereum-Wallet-Dienst aus. Indem die Seite einen Namen, der eng mit einem bekannten Wallet-Anbieter verbunden ist, mit der Top-Level-Domain .bank kombiniert, die üblicherweise regulierten Finanzinstituten vorbehalten ist, vermittelt sie ein doppeltes Signal aus Vertrautheit und institutioneller Glaubwürdigkeit. Das wahrscheinliche Ziel sind alle Ethereum-Nutzer, die nach einem Wallet-Zugang suchen, insbesondere jene, die URLs möglicherweise nicht sorgfältig prüfen oder annehmen, dass die Endung .bank auf eine formelle aufsichtsrechtliche Kontrolle hindeutet.
Auf diesem Modell aufbauende Betriebe funktionieren typischerweise als Phishing-Infrastruktur zum Abgreifen von Zugangsdaten. Besucher treffen auf eine Oberfläche, die darauf ausgelegt ist, einen vertrauenswürdigen Wallet-Dienst möglichst genau nachzubilden, und werden aufgefordert, Seed-Phrasen, private Schlüssel oder Bestätigungen für Wallet-Verbindungen einzugeben. Alle eingegebenen Zugangsdaten werden vom Betreiber erfasst. In manchen Varianten löst die Seite unmittelbar nach der Verbindung nicht autorisierte Token-Transfers aus; in anderen werden die abgegriffenen Zugangsdaten gespeichert und später verwendet, sodass der Betreiber Wallets zu einem von ihm gewählten Zeitpunkt leeren kann, was die Zuordnung erschwert.
Der Zeitpunkt der Entdeckung tritt typischerweise ein, nachdem ein Nutzer eine Seed-Phrase oder einen privaten Schlüssel übermittelt hat oder nachdem er nicht autorisierte ausgehende Transaktionen aus einer verbundenen Wallet bemerkt. Zu diesem Zeitpunkt verfügt der Betreiber bereits über alles, was für den Zugriff auf das Konto erforderlich ist. Blockchain-Transaktionen sind unumkehrbar, und Betreiber, die eine derartige Imitations-Infrastruktur betreiben, neigen dazu, Gelder rasch zu bündeln und weiterzuleiten. Das Zeitfenster für ein sinnvolles Eingreifen ist schmal, und eine Wiederbeschaffung übertragener Vermögenswerte allein mit technischen Mitteln ist nur selten möglich.
Warnsignale, die wir dokumentiert haben.
- 01Brand impersonation via domain nameThe domain reproduces the name of a widely recognised Ethereum wallet service almost exactly, combined with a different top-level domain. This is a textbook typosquatting and brand-impersonation technique, intended to intercept users who trust the original brand and may not examine the full URL before proceeding.
- 02Misuse of the .bank TLD as a trust signalThe .bank top-level domain is subject to strict eligibility requirements and is conventionally associated with regulated banking institutions. Its use here appears designed to imply formal financial oversight that this operation does not hold, exploiting user assumptions about domain-name gatekeeping to lower vigilance.
- 03Presence on an independent fraud intelligence databaseThe domain is listed on the CryptoScamDB blacklist, an independently maintained registry of confirmed malicious cryptocurrency-related domains and addresses. Inclusion indicates the site has been identified through community reporting or automated detection as actively harmful to users.
- 04No verifiable operator identity or regulatory footingPhishing operations built around brand impersonation characteristically provide no verifiable information about the entity behind the service: no company registration, no licence numbers, no physical address. This absence is structurally consistent with an operation designed to be abandoned and replaced once detected by fraud databases or wallet providers.
- 05Private-key entry through a web interface is a critical warning patternAny platform prompting users to enter seed phrases or private keys into a browser-based form should be treated as high-risk by default. Reputable, non-custodial wallet providers do not require users to submit these credentials through web interfaces, making any such prompt a strong indicator of credential-harvesting intent.
Was Sie jetzt tun können.
Open a free 24-hour case assessment with CryptoLeek +
Tell us what happened. A senior analyst reads your file within 24 hours and replies with an honest yes/no/conditional on recovery. The assessment is free. If we cannot recover the funds we say so plainly, including which (free) regulator channel you should use instead. If we accept the case, we open a numbered case file and issue a written quote for a flat investigation retainer before any work begins, scoped to case complexity, the jurisdictions involved, and the on-chain trail.
Trace your funds on-chain with our analysts +
We trace stolen crypto across BTC, ETH, EVM L2s, Solana, Tron, and major stablecoins using the same toolchain as regulators and tier-1 exchange compliance teams. The output is a forensic report anchored to specific transaction hashes and block heights, the evidence that exchanges, payment processors, and counsel actually act on. Recovery starts here.
Recover with counsel where civil action makes sense +
Where the trace lands in a jurisdiction with cooperative banks and courts, we coordinate with bar-licensed counsel in our 40+ jurisdiction network for civil action and asset-freezing orders (Mareva-style). Counsel bill you directly; the CryptoLeek investigation retainer is independent of counsel fees. The outcome is funds released back to your nominated wallet or bank account.