Wallet durch eine Signatur geleert,
die Rückführung hängt davon ab, wohin die Gelder anschließend gewandert sind.
Wallet-Drain-Angriffe unterscheiden sich von Betrug über Investmentplattformen, weil es keine Plattform gibt, von der etwas zurückgeholt werden könnte: Der Angreifer hat sich die Genehmigung verschafft, Gelder direkt aus dem Wallet des Opfers abzuziehen, oft über eine einzige bösartige Signatur auf einer gefälschten Minting-Seite, einer falschen Airdrop-Beanspruchung oder durch das Vortäuschen einer legitimen dApp. Eine Rückführung ist möglich, wenn die abgezogenen Gelder bei einer regulierten Exchange oder einem bekannten Wallet-Cluster landen; weniger, wenn sie direkt in eine Mixer-Infrastruktur fließen.
The victim visits a site that appears to be a legitimate project: an airdrop claim page, an NFT minting site, a DeFi interface. The site asks the victim to connect their wallet and sign a transaction. The signature looks routine. In fact it grants the attacker's contract approval to transfer specific token balances out of the wallet at any time the attacker chooses.
Immediately or hours later, the attacker calls the contract and drains the approved tokens to a wallet they control. The victim's first warning is often the wallet balance dropping to zero in a single transaction, with no further interaction required.
The drained funds are usually moved through one or more bridging or swap protocols within minutes, both to obscure the trail and to convert to an asset (often ETH or stablecoins) easier to launder. From there the funds may go to a privacy mixer, a non-cooperative exchange, or — sometimes — to a regulated exchange where recovery becomes realistic.
Reicht vom erfahrenen DeFi-Nutzer bis zum erstmaligen NFT-Minter. Wallet-Drains treffen häufig Menschen, die sich für krypto-versiert halten: Der Angriff baut auf der Annahme „Mir würde so etwas nie passieren" auf, was den Prüfschritt bei genau jener gefälschten Seite herabsetzt, die schließlich durchkommt. Die Schadenshöhen variieren enorm, von einigen hundert Dollar in Test-Token bis hin zu DeFi-Positionen im siebenstelligen Bereich.
Signals victims and bystanders should know.
- 01
Wallet-connect request from a domain you didn't reach via the project's official channel
Spoofed minting and airdrop sites are typically promoted through compromised Discord channels, fake Twitter accounts, or paid Google ads. Always reach the dApp through the project's verified official link.
- 02
Urgency framing — "claim within 24 hours" or "limited supply"
Engineered to prevent you from verifying the URL. Legitimate projects have multi-day claim windows and don't pressure participants.
- 03
Signature request asks for a token approval, not a specific transaction
A token "approve" or "setApprovalForAll" signature gives the contract ongoing permission to move your tokens. This is normal for legitimate DEX use, but malicious contracts also use it. Always inspect what the signature is approving and to which contract.
- 04
Asks for your seed phrase or private key
No legitimate service ever needs your 12 or 24-word recovery phrase. Any prompt for these is an immediate drain attempt regardless of how legitimate the surrounding page looks.
The first 24 hours matter most.
- 01
Move remaining funds to a new wallet immediately
If your wallet was drained, the approval may still allow continued draining of other tokens you still hold. Generate a new wallet (with a fresh seed phrase) and move everything not yet drained.
- 02
Revoke pending approvals on the old wallet
Use Revoke.cash or similar to revoke any outstanding token approvals on the compromised wallet. Even if you're moving funds out, leaving the approval active risks future draining of any tokens that arrive back at that address.
- 03
Document the transaction hashes
The malicious approval transaction and the subsequent drain transaction are on-chain forever. Note the hashes; they are the evidence basis for any recovery action.
- 04
Notify the relevant exchanges and chains
If the drained funds landed at a known regulated exchange, contact their compliance team immediately. Some exchanges can freeze the receiving wallet within hours if action is initiated quickly.
- 05
Open a CryptoLeek case review
We trace the drain and tell you within 24 hours whether the destination is recoverable. Wallet drains have a particular pattern that benefits from fast professional escalation.
189 platforms in our public registry match this pattern.
EtherWallet
ether-wallet.net ist eine bestätigt betrügerische Website auf der Blacklist von CryptoScamDB, die als Zugangsdaten abgreifende oder Gelder abziehende Nachahmung einer bekannten Ethereum-Wallet-Marke betrieben wird.
EthereumWallet
ethereum-wallet.info ist eine von CryptoScamDB als schädlich eingestufte Domain, die eine legitime Ethereum-Wallet-Infrastruktur nachahmt, vermutlich um private Schlüssel und Seed-Phrasen abzugreifen oder verbundene Wallets leerzuräumen.
account-kigo.net
account-kigo.net ist eine von CryptoScamDB gelistete Domain auf der schwarzen Liste und gilt als bestätigte betrügerische Operation, die im Einklang mit Konto-Spoofing oder dem Abgreifen von Zugangsdaten gegen Inhaber von Kryptowährungen steht.
aragonproject.io
aragonproject.io wird von CryptoScamDB als bestätigter Betrug auf die schwarze Liste gesetzt; die Domain ahmt den Namen eines anerkannten Blockchain-Governance-Protokolls eng nach und deutet damit auf ein Muster der Markenimitation hin.
bitcoin-wallet.net
bitcoin-wallet.net ist eine bestätigt betrügerische Domain, die von CryptoScamDB auf die schwarze Liste gesetzt wurde; sie gibt sich als seriöser Bitcoin-Wallet-Dienst aus, betreibt jedoch ein System zum Abgreifen von Zugangsdaten oder zum Diebstahl von Einzahlungen.
blocklichan.info
blocklichan.info ist eine bestätigte betrügerische Kryptowährungsplattform, die auf der schwarzen Liste von CryptoScamDB geführt wird und deren Vorgehen darauf abzielt, Einzahlungen einzuwerben und Auszahlungen anschließend zu behindern oder zu verweigern.
bloclkicihan.info
bloclkicihan.info ist eine bestätigt betrügerische Domain, die auf der Sperrliste von CryptoScamDB geführt wird und ein Namensmuster mit Buchstabenvertauschung aufweist, das für kurzlebige Krypto-Betrugsinfrastruktur typisch ist.
coin-wallet.info
coin-wallet.info ist eine bestätigt betrügerische Krypto-Wallet-Plattform, die auf der Blacklist von CryptoScamDB geführt wird und mit Methoden des Credential-Harvesting oder gefälschter Verwahr-Wallets gegen private Krypto-Inhaber vorgeht.
coindash.ru
coindash.ru ist eine bestätigt betrügerische Domain auf der CryptoScamDB-Blacklist, die mittels TLD-Substitution eine bekannte Kryptowährungsplattform imitiert, um Zugangsdaten oder Gelder der Nutzer abzugreifen.
contribute-status.im
contribute-status.im ist eine auf einer Blacklist geführte Domain, die das Ökosystem des Status Network imitiert und mit gefälschten Beitrags- oder Staking-Portalen vereinbar ist, die darauf ausgelegt sind, Wallet-Zugangsdaten abzugreifen oder Gelder umzuleiten.
district-0x.io
district-0x.io ist eine nachweislich betrügerische Website, die auf der Blacklist von CryptoScamDB geführt wird und eine täuschend ähnliche Domain nutzt, um die Marke einer etablierten dezentralen Plattform zu imitieren und Krypto-Nutzer zu täuschen.
district0x.net
district0x.net ist eine bestätigt auf der Blacklist geführte Domain, die das Branding eines bekannten Ethereum-basierten dezentralen Marktplatzprojekts nachahmt; CryptoScamDB führt sie als Betrugsoperation, die auf Krypto-Nutzer abzielt, die den seriösen Dienst suchen.
eos-bonus.com
eos-bonus.com ist eine bestätigt betrügerische Plattform, die auf der Blacklist von CryptoScamDB geführt wird und unter der Marke EOS ein bonus- oder belohnungsbasiertes Schema betreibt, das auf Kryptowährungsnutzer abzielt.
eos-io.info
eos-io.info ist eine von CryptoScamDB als betrügerisch eingestufte Domain, die so aufgebaut ist, dass sie die Markenidentität der EOS-Blockchain nachahmt und Nutzer auf der Suche nach legitimen EOS-Diensten in die Irre führt.
ether-api.com
ether-api.com ist auf der CryptoScamDB-Blacklist als bestätigte betrügerische Operation gelistet, die sich als Ethereum-naher API-Dienst ausgibt, ohne Belege für legitime Infrastruktur oder regulatorischen Status.
ether-wall.com
ether-wall.com ist eine bestätigt betrügerische Website, die auf der Sperrliste der CryptoScamDB geführt wird; sie gibt sich als Ethereum-Wallet-Dienst aus, betreibt jedoch das Abgreifen von Zugangsdaten beziehungsweise den Diebstahl von Vermögenswerten zulasten von Inhabern von
etherclassicwallet.com
etherclassicwallet.com ist eine bestätigt betrügerische Website, die auf der Blacklist von CryptoScamDB geführt wird und als gefälschte Wallet-Oberfläche für Ethereum Classic dient, um private Schlüssel oder Seed-Phrasen von Nutzern abzugreifen.
ethereum-wallet.net
ethereum-wallet.net ist eine von CryptoScamDB bestätigte und auf einer schwarzen Liste geführte Domain, die sich als legitime Ethereum-Wallet-Infrastruktur ausgibt, um Zugangsdaten abzugreifen oder Gelder von Kryptonutzern abzufangen.
ethereumchamber.com
ethereumchamber.com erscheint auf der CryptoScamDB-Blacklist als bestätigter Betrug, der das Ethereum-Branding nutzt, um ahnungslosen Nutzern Kryptowährungseinzahlungen zu entlocken.
ethereumchamber.net
ethereumchamber.net steht auf der CryptoScamDB-Blacklist als bestätigter Betrugsbetrieb und gibt sich als Ethereum-nahe Plattform aus, um Krypto-Anleger anzulocken.
ethereumchest.com
ethereumchest.com ist auf der Blacklist von CryptoScamDB als bestätigte betrügerische Operation gelistet; die Plattform scheint darauf ausgelegt, die Marke Ethereum auszunutzen, um Inhaber von Kryptowährungen anzulocken und Gelder abzuschöpfen.
ethereumchest.net
ethereumchest.net ist eine bestätigte betrügerische Operation, die auf der CryptoScamDB-Blacklist geführt wird und sich als Ethereum-bezogener Vermögensdienst ausgibt, tatsächlich aber als Instrument zum Diebstahl von Nutzergeldern dient.
etherswap.org
etherswap.org ist eine bestätigt betrügerische Plattform, die auf der Community-Blacklist von CryptoScamDB gelistet ist und sich als Ethereum-basierter Token-Swap-Dienst ausgibt, während sie als Diebstahlmechanismus gegen Inhaber von Kryptowährungen agiert.
etherwallet.co.za
etherwallet.co.za ist eine bestätigt betrügerische Domain auf der Blacklist von CryptoScamDB, die darauf ausgelegt ist, eine bekannte Ethereum-Wallet-Oberfläche nachzuahmen und Anmeldedaten oder private Schlüssel der Nutzer abzugreifen.
Questions victims of this pattern ask us most.
Can I get drained crypto back? +
I revoked the approval but my tokens are already gone. What now? +
How fast do I need to act after a wallet drain? +
Lost crypto to this pattern?
We can help you recover it.
We trace the funds on-chain, identify the recovery choke points, and coordinate action with exchanges, payment processors, and counsel across 40+ jurisdictions. Free assessment within 24 hours, with an honest yes/no on whether the funds are realistically recoverable.
The vocabulary this pattern uses.
Definitions of the terms that come up across this guide. Each links to the full glossary.
Ein Angriff, bei dem ein Akteur das Recht erlangt, Token aus der Wallet eines Opfers zu bewegen, in der Regel über eine bösartige Token-Freigabe oder einen gestohlenen privaten Schlüssel, und das Guthaben der Wallet an eine von ihm kontrollierte Adresse überträgt.
Ein Wallet-Angriff, bei dem das Opfer auf einer gefälschten dApp eine `setApprovalForAll`- oder eine unbegrenzte `approve`-Transaktion signiert und dem Contract des Angreifers damit die Berechtigung erteilt, bestimmte Token jederzeit später aus der Wallet abzuziehen.
Ein Abomodell, bei dem ein Entwicklerteam einen Smart Contract zum Leeren von Wallets samt Admin-Panel erstellt und wartet und ihn anschließend an Affiliates verleast, die die Front-End-Phishing-Seiten betreiben und die Erlöse mit den Entwicklern teilen.
Eine Phishing-Variante, die den `Permit2`-Signaturstandard von Uniswap ausnutzt: Das Opfer signiert eine Off-Chain-Nachricht, die der Angreifer anschließend On-Chain einreicht, um freigegebene Token abzuziehen. Bis zum eigentlichen Abzug entstehen weder Gas-Kosten noch eine On-Chain-Spur.
Ein automatisiertes Programm, das eine kompromittierte Wallet überwacht (eine, deren privaten Schlüssel der Betreiber nun kennt) und eingehende Gelder sofort an eine vom Angreifer kontrollierte Adresse sendet. Dadurch wird die Wallet für das Opfer dauerhaft unbrauchbar.
Eine gegen Wallets gerichtete Betrugsmasche, die den Transaktionsverlauf des Opfers mit einer gefälschten Adresse versieht, welche die ersten und letzten Zeichen einer kürzlich verwendeten Adresse nachahmt, in der Hoffnung, dass das Opfer bei einer künftigen Überweisung versehentlich die falsche Adresse kopiert und einfügt.
Eine Cold Wallet speichert den privaten Schlüssel offline (Hardware-Gerät oder Papier); eine Hot Wallet speichert ihn in einer Software, die mit dem Internet verbunden ist. Cold ist gegen die meisten Wallet-Drain- und Phishing-Angriffe erheblich sicherer.
Eine Wallet, die für die Autorisierung jeder ausgehenden Transaktion Signaturen mehrerer privater Schlüssel erfordert (z. B. 2-von-3 oder 3-von-5). Das bedeutet, dass ein einzelner kompromittierter Schlüssel die Wallet nicht leerräumen kann.
Ein Dienst oder Smart Contract, der Kryptowährung von vielen Einzahlern bündelt und gleichwertige Beträge an frische Adressen auszahlt, wodurch die On-Chain-Verbindung zwischen Ausgangs- und Ziel-Wallets gekappt wird.