Fallannahme · 24/7 geöffnet
Maschinelle Übersetzung. Professionelle Prüfung steht aus.
Home / Scam Patterns / Wallet-Drains & Phishing-Genehmigungen
§ — · Scam pattern

Wallet durch eine Signatur geleert,
die Rückführung hängt davon ab, wohin die Gelder anschließend gewandert sind.

Wallet-Drain-Angriffe unterscheiden sich von Betrug über Investmentplattformen, weil es keine Plattform gibt, von der etwas zurückgeholt werden könnte: Der Angreifer hat sich die Genehmigung verschafft, Gelder direkt aus dem Wallet des Opfers abzuziehen, oft über eine einzige bösartige Signatur auf einer gefälschten Minting-Seite, einer falschen Airdrop-Beanspruchung oder durch das Vortäuschen einer legitimen dApp. Eine Rückführung ist möglich, wenn die abgezogenen Gelder bei einer regulierten Exchange oder einem bekannten Wallet-Cluster landen; weniger, wenn sie direkt in eine Mixer-Infrastruktur fließen.

§ 01 · How this scam works

The victim visits a site that appears to be a legitimate project: an airdrop claim page, an NFT minting site, a DeFi interface. The site asks the victim to connect their wallet and sign a transaction. The signature looks routine. In fact it grants the attacker's contract approval to transfer specific token balances out of the wallet at any time the attacker chooses.

Immediately or hours later, the attacker calls the contract and drains the approved tokens to a wallet they control. The victim's first warning is often the wallet balance dropping to zero in a single transaction, with no further interaction required.

The drained funds are usually moved through one or more bridging or swap protocols within minutes, both to obscure the trail and to convert to an asset (often ETH or stablecoins) easier to launder. From there the funds may go to a privacy mixer, a non-cooperative exchange, or — sometimes — to a regulated exchange where recovery becomes realistic.

Typical victim profile

Reicht vom erfahrenen DeFi-Nutzer bis zum erstmaligen NFT-Minter. Wallet-Drains treffen häufig Menschen, die sich für krypto-versiert halten: Der Angriff baut auf der Annahme „Mir würde so etwas nie passieren" auf, was den Prüfschritt bei genau jener gefälschten Seite herabsetzt, die schließlich durchkommt. Die Schadenshöhen variieren enorm, von einigen hundert Dollar in Test-Token bis hin zu DeFi-Positionen im siebenstelligen Bereich.

§ 02 · Red flags to recognise

Signals victims and bystanders should know.

  • 01

    Wallet-connect request from a domain you didn't reach via the project's official channel

    Spoofed minting and airdrop sites are typically promoted through compromised Discord channels, fake Twitter accounts, or paid Google ads. Always reach the dApp through the project's verified official link.

  • 02

    Urgency framing — "claim within 24 hours" or "limited supply"

    Engineered to prevent you from verifying the URL. Legitimate projects have multi-day claim windows and don't pressure participants.

  • 03

    Signature request asks for a token approval, not a specific transaction

    A token "approve" or "setApprovalForAll" signature gives the contract ongoing permission to move your tokens. This is normal for legitimate DEX use, but malicious contracts also use it. Always inspect what the signature is approving and to which contract.

  • 04

    Asks for your seed phrase or private key

    No legitimate service ever needs your 12 or 24-word recovery phrase. Any prompt for these is an immediate drain attempt regardless of how legitimate the surrounding page looks.

§ 03 · What to do if you've been hit

The first 24 hours matter most.

  1. 01

    Move remaining funds to a new wallet immediately

    If your wallet was drained, the approval may still allow continued draining of other tokens you still hold. Generate a new wallet (with a fresh seed phrase) and move everything not yet drained.

  2. 02

    Revoke pending approvals on the old wallet

    Use Revoke.cash or similar to revoke any outstanding token approvals on the compromised wallet. Even if you're moving funds out, leaving the approval active risks future draining of any tokens that arrive back at that address.

  3. 03

    Document the transaction hashes

    The malicious approval transaction and the subsequent drain transaction are on-chain forever. Note the hashes; they are the evidence basis for any recovery action.

  4. 04

    Notify the relevant exchanges and chains

    If the drained funds landed at a known regulated exchange, contact their compliance team immediately. Some exchanges can freeze the receiving wallet within hours if action is initiated quickly.

  5. 05

    Open a CryptoLeek case review

    We trace the drain and tell you within 24 hours whether the destination is recoverable. Wallet drains have a particular pattern that benefits from fast professional escalation.

§ 04 · Documented cases in this category

189 platforms in our public registry match this pattern.

Bestätigter Betrug 2026-05-21

EtherWallet

ether-wallet.net

ether-wallet.net ist eine bestätigt betrügerische Website auf der Blacklist von CryptoScamDB, die als Zugangsdaten abgreifende oder Gelder abziehende Nachahmung einer bekannten Ethereum-Wallet-Marke betrieben wird.

Bestätigter Betrug 2026-05-21

EthereumWallet

ethereum-wallet.info

ethereum-wallet.info ist eine von CryptoScamDB als schädlich eingestufte Domain, die eine legitime Ethereum-Wallet-Infrastruktur nachahmt, vermutlich um private Schlüssel und Seed-Phrasen abzugreifen oder verbundene Wallets leerzuräumen.

Bestätigter Betrug 2026-05-21

account-kigo.net

account-kigo.net

account-kigo.net ist eine von CryptoScamDB gelistete Domain auf der schwarzen Liste und gilt als bestätigte betrügerische Operation, die im Einklang mit Konto-Spoofing oder dem Abgreifen von Zugangsdaten gegen Inhaber von Kryptowährungen steht.

Bestätigter Betrug 2026-05-21

aragonproject.io

aragonproject.io

aragonproject.io wird von CryptoScamDB als bestätigter Betrug auf die schwarze Liste gesetzt; die Domain ahmt den Namen eines anerkannten Blockchain-Governance-Protokolls eng nach und deutet damit auf ein Muster der Markenimitation hin.

Bestätigter Betrug 2026-05-21

bitcoin-wallet.net

bitcoin-wallet.net

bitcoin-wallet.net ist eine bestätigt betrügerische Domain, die von CryptoScamDB auf die schwarze Liste gesetzt wurde; sie gibt sich als seriöser Bitcoin-Wallet-Dienst aus, betreibt jedoch ein System zum Abgreifen von Zugangsdaten oder zum Diebstahl von Einzahlungen.

Bestätigter Betrug 2026-05-21

blocklichan.info

blocklichan.info

blocklichan.info ist eine bestätigte betrügerische Kryptowährungsplattform, die auf der schwarzen Liste von CryptoScamDB geführt wird und deren Vorgehen darauf abzielt, Einzahlungen einzuwerben und Auszahlungen anschließend zu behindern oder zu verweigern.

Bestätigter Betrug 2026-05-21

bloclkicihan.info

bloclkicihan.info

bloclkicihan.info ist eine bestätigt betrügerische Domain, die auf der Sperrliste von CryptoScamDB geführt wird und ein Namensmuster mit Buchstabenvertauschung aufweist, das für kurzlebige Krypto-Betrugsinfrastruktur typisch ist.

Bestätigter Betrug 2026-05-21

coin-wallet.info

coin-wallet.info

coin-wallet.info ist eine bestätigt betrügerische Krypto-Wallet-Plattform, die auf der Blacklist von CryptoScamDB geführt wird und mit Methoden des Credential-Harvesting oder gefälschter Verwahr-Wallets gegen private Krypto-Inhaber vorgeht.

Bestätigter Betrug 2026-05-21

coindash.ru

coindash.ru

coindash.ru ist eine bestätigt betrügerische Domain auf der CryptoScamDB-Blacklist, die mittels TLD-Substitution eine bekannte Kryptowährungsplattform imitiert, um Zugangsdaten oder Gelder der Nutzer abzugreifen.

Bestätigter Betrug 2026-05-21

contribute-status.im

contribute-status.im

contribute-status.im ist eine auf einer Blacklist geführte Domain, die das Ökosystem des Status Network imitiert und mit gefälschten Beitrags- oder Staking-Portalen vereinbar ist, die darauf ausgelegt sind, Wallet-Zugangsdaten abzugreifen oder Gelder umzuleiten.

Bestätigter Betrug 2026-05-21

district-0x.io

district-0x.io

district-0x.io ist eine nachweislich betrügerische Website, die auf der Blacklist von CryptoScamDB geführt wird und eine täuschend ähnliche Domain nutzt, um die Marke einer etablierten dezentralen Plattform zu imitieren und Krypto-Nutzer zu täuschen.

Bestätigter Betrug 2026-05-21

district0x.net

district0x.net

district0x.net ist eine bestätigt auf der Blacklist geführte Domain, die das Branding eines bekannten Ethereum-basierten dezentralen Marktplatzprojekts nachahmt; CryptoScamDB führt sie als Betrugsoperation, die auf Krypto-Nutzer abzielt, die den seriösen Dienst suchen.

Bestätigter Betrug 2026-05-21

eos-bonus.com

eos-bonus.com

eos-bonus.com ist eine bestätigt betrügerische Plattform, die auf der Blacklist von CryptoScamDB geführt wird und unter der Marke EOS ein bonus- oder belohnungsbasiertes Schema betreibt, das auf Kryptowährungsnutzer abzielt.

Bestätigter Betrug 2026-05-21

eos-io.info

eos-io.info

eos-io.info ist eine von CryptoScamDB als betrügerisch eingestufte Domain, die so aufgebaut ist, dass sie die Markenidentität der EOS-Blockchain nachahmt und Nutzer auf der Suche nach legitimen EOS-Diensten in die Irre führt.

Bestätigter Betrug 2026-05-21

ether-api.com

ether-api.com

ether-api.com ist auf der CryptoScamDB-Blacklist als bestätigte betrügerische Operation gelistet, die sich als Ethereum-naher API-Dienst ausgibt, ohne Belege für legitime Infrastruktur oder regulatorischen Status.

Bestätigter Betrug 2026-05-21

ether-wall.com

ether-wall.com

ether-wall.com ist eine bestätigt betrügerische Website, die auf der Sperrliste der CryptoScamDB geführt wird; sie gibt sich als Ethereum-Wallet-Dienst aus, betreibt jedoch das Abgreifen von Zugangsdaten beziehungsweise den Diebstahl von Vermögenswerten zulasten von Inhabern von

Bestätigter Betrug 2026-05-21

etherclassicwallet.com

etherclassicwallet.com

etherclassicwallet.com ist eine bestätigt betrügerische Website, die auf der Blacklist von CryptoScamDB geführt wird und als gefälschte Wallet-Oberfläche für Ethereum Classic dient, um private Schlüssel oder Seed-Phrasen von Nutzern abzugreifen.

Bestätigter Betrug 2026-05-21

ethereum-wallet.net

ethereum-wallet.net

ethereum-wallet.net ist eine von CryptoScamDB bestätigte und auf einer schwarzen Liste geführte Domain, die sich als legitime Ethereum-Wallet-Infrastruktur ausgibt, um Zugangsdaten abzugreifen oder Gelder von Kryptonutzern abzufangen.

Bestätigter Betrug 2026-05-21

ethereumchamber.com

ethereumchamber.com

ethereumchamber.com erscheint auf der CryptoScamDB-Blacklist als bestätigter Betrug, der das Ethereum-Branding nutzt, um ahnungslosen Nutzern Kryptowährungseinzahlungen zu entlocken.

Bestätigter Betrug 2026-05-21

ethereumchamber.net

ethereumchamber.net

ethereumchamber.net steht auf der CryptoScamDB-Blacklist als bestätigter Betrugsbetrieb und gibt sich als Ethereum-nahe Plattform aus, um Krypto-Anleger anzulocken.

Bestätigter Betrug 2026-05-21

ethereumchest.com

ethereumchest.com

ethereumchest.com ist auf der Blacklist von CryptoScamDB als bestätigte betrügerische Operation gelistet; die Plattform scheint darauf ausgelegt, die Marke Ethereum auszunutzen, um Inhaber von Kryptowährungen anzulocken und Gelder abzuschöpfen.

Bestätigter Betrug 2026-05-21

ethereumchest.net

ethereumchest.net

ethereumchest.net ist eine bestätigte betrügerische Operation, die auf der CryptoScamDB-Blacklist geführt wird und sich als Ethereum-bezogener Vermögensdienst ausgibt, tatsächlich aber als Instrument zum Diebstahl von Nutzergeldern dient.

Bestätigter Betrug 2026-05-21

etherswap.org

etherswap.org

etherswap.org ist eine bestätigt betrügerische Plattform, die auf der Community-Blacklist von CryptoScamDB gelistet ist und sich als Ethereum-basierter Token-Swap-Dienst ausgibt, während sie als Diebstahlmechanismus gegen Inhaber von Kryptowährungen agiert.

Bestätigter Betrug 2026-05-21

etherwallet.co.za

etherwallet.co.za

etherwallet.co.za ist eine bestätigt betrügerische Domain auf der Blacklist von CryptoScamDB, die darauf ausgelegt ist, eine bekannte Ethereum-Wallet-Oberfläche nachzuahmen und Anmeldedaten oder private Schlüssel der Nutzer abzugreifen.

§ 05 · Frequently asked

Questions victims of this pattern ask us most.

Can I get drained crypto back? +
Sometimes. If the drained funds reached a regulated exchange before being laundered through mixers, recovery is realistic through compliance escalation. If they went directly to a privacy mixer like Tornado Cash, recovery is much harder. CryptoLeek's free 24-hour review traces the post-drain path and tells you which category your case is in.
I revoked the approval but my tokens are already gone. What now? +
Revoking the approval stops further draining but doesn't undo the original transfer. Recovery focuses on the destination wallet and whether the funds reached an identifiable counterparty (an exchange, a known cluster). Document the transaction hashes; those are the starting point for the on-chain trace.
How fast do I need to act after a wallet drain? +
Within the first 24 hours, the receiving exchange may still hold the funds in a freezable account. After that window, the operator typically moves them onward through mixers and bridges. Recovery is still possible after the window but harder. Move remaining funds to a new wallet immediately, document the hashes, and contact us within the first day.

Lost crypto to this pattern?
We can help you recover it.

We trace the funds on-chain, identify the recovery choke points, and coordinate action with exchanges, payment processors, and counsel across 40+ jurisdictions. Free assessment within 24 hours, with an honest yes/no on whether the funds are realistically recoverable.

Free 24h review · No upfront fees
Start Free Recovery Review → Or email us
§ 06 · Related glossary terms

The vocabulary this pattern uses.

Definitions of the terms that come up across this guide. Each links to the full glossary.

Wallet Drain

Ein Angriff, bei dem ein Akteur das Recht erlangt, Token aus der Wallet eines Opfers zu bewegen, in der Regel über eine bösartige Token-Freigabe oder einen gestohlenen privaten Schlüssel, und das Guthaben der Wallet an eine von ihm kontrollierte Adresse überträgt.

Read full definition →
Approval phishing

Ein Wallet-Angriff, bei dem das Opfer auf einer gefälschten dApp eine `setApprovalForAll`- oder eine unbegrenzte `approve`-Transaktion signiert und dem Contract des Angreifers damit die Berechtigung erteilt, bestimmte Token jederzeit später aus der Wallet abzuziehen.

Read full definition →
Drainer-as-a-service (DaaS)

Ein Abomodell, bei dem ein Entwicklerteam einen Smart Contract zum Leeren von Wallets samt Admin-Panel erstellt und wartet und ihn anschließend an Affiliates verleast, die die Front-End-Phishing-Seiten betreiben und die Erlöse mit den Entwicklern teilen.

Read full definition →
Permit2-Phishing

Eine Phishing-Variante, die den `Permit2`-Signaturstandard von Uniswap ausnutzt: Das Opfer signiert eine Off-Chain-Nachricht, die der Angreifer anschließend On-Chain einreicht, um freigegebene Token abzuziehen. Bis zum eigentlichen Abzug entstehen weder Gas-Kosten noch eine On-Chain-Spur.

Read full definition →
Sweeper Bot

Ein automatisiertes Programm, das eine kompromittierte Wallet überwacht (eine, deren privaten Schlüssel der Betreiber nun kennt) und eingehende Gelder sofort an eine vom Angreifer kontrollierte Adresse sendet. Dadurch wird die Wallet für das Opfer dauerhaft unbrauchbar.

Read full definition →
Address poisoning

Eine gegen Wallets gerichtete Betrugsmasche, die den Transaktionsverlauf des Opfers mit einer gefälschten Adresse versieht, welche die ersten und letzten Zeichen einer kürzlich verwendeten Adresse nachahmt, in der Hoffnung, dass das Opfer bei einer künftigen Überweisung versehentlich die falsche Adresse kopiert und einfügt.

Read full definition →
Cold Wallet vs. Hot Wallet

Eine Cold Wallet speichert den privaten Schlüssel offline (Hardware-Gerät oder Papier); eine Hot Wallet speichert ihn in einer Software, die mit dem Internet verbunden ist. Cold ist gegen die meisten Wallet-Drain- und Phishing-Angriffe erheblich sicherer.

Read full definition →
Multi-Sig-Wallet

Eine Wallet, die für die Autorisierung jeder ausgehenden Transaktion Signaturen mehrerer privater Schlüssel erfordert (z. B. 2-von-3 oder 3-von-5). Das bedeutet, dass ein einzelner kompromittierter Schlüssel die Wallet nicht leerräumen kann.

Read full definition →
Mixer (Kryptowährung)

Ein Dienst oder Smart Contract, der Kryptowährung von vielen Einzahlern bündelt und gleichwertige Beträge an frische Adressen auszahlt, wodurch die On-Chain-Verbindung zwischen Ausgangs- und Ziel-Wallets gekappt wird.

Read full definition →