Können NFT-Wallets gehackt werden?

Wie NFT-Wallets kompromittiert werden

1. Böswillige Token-Genehmigungen ermöglichen es nicht autorisierten Smart Contracts, Vermögenswerte abzuschöpfen, ohne dass der private Schlüssel direkt offengelegt wird.

2. Phishing-Angriffe ahmen offizielle Schnittstellen nach, etwa MetaMask-Eingabeaufforderungen für Sicherheitsupdates, um Benutzer dazu zu verleiten, Startphrasen preiszugeben.

3. Social Engineering auf Discord- und Telegram-Kanälen führt dazu, dass Opfer böswillige Transaktionen unterzeichnen, die als Mint- oder Claim-Aktionen getarnt sind.

4. Gefälschte Airdrops nutzen die Snapshot-Logik aus und verleiten Benutzer unter dem Vorwand, kostenlose Token zu erhalten, dazu, Wallets zu verbinden und gefährliche Verträge zu genehmigen.

5. Durch die Entführung von Browsererweiterungen werden während der DApp-Interaktion betrügerische Skripte eingeschleust, die Transaktionsparameter vor der Übermittlung ändern.

Echte Diebstahlmuster

1. Im Dezember 2025 wurden in einer einzigen koordinierten Phishing-Kampagne, die sich an OpenSea-Benutzer richtete, über 254 NFTs im Wert von 1,7 Millionen US-Dollar gestohlen.

2. Ein Bored Ape Yacht Club NFT #3738 wurde am Aprilscherz 2026 kompromittiert, nachdem der Besitzer eine gefälschte Mint-Site besucht hatte, die eine offizielle Projektdomäne nachahmte.

3. Der MoonManNFT-Vorfall führte dazu, dass fast 400 NFTs aus Wallets abgezogen wurden, die einen scheinbar harmlosen Free-Mint-Vertrag genehmigten.

4. In der Ukraine ansässige Angreifer setzten gefälschte „MetaMask Security Center“-Domänen mit gültigen Let's Encrypt-Zertifikaten ein, um Anmeldeinformationen über mehrere Gerichtsbarkeiten hinweg zu sammeln.

5. PeckShield berichtete über einen Anstieg API-basierter Marktplatz-Exploits, bei denen Frontend-Verzögerungen die Manipulation von Preis- oder Eigentumsfeldern vor der Blockchain-Bestätigung ermöglichten.

Schwachstellen auf Infrastrukturebene

1. Die zentrale Speicherung von NFT-Metadaten auf HTTP-Servern führt zu Single Points of Failure – wenn der Server offline geht oder kompromittiert wird, verschwindet die visuelle Darstellung.

2. IPFS-Inhaltskennungen (CIDs) können geändert werden, wenn Pinning-Dienste falsch konfiguriert sind, was zu einer Bildersetzung ohne Erkennung auf Blockchain-Ebene führt.

3. Arweave-basierte Assets sind auf dauerhafte Speichergarantien angewiesen – Abrufendpunkte können jedoch unter DNS-Poisoning oder TLS-Stripping-Angriffen leiden.

4. On-Chain-Verträge für generative Kunst enthalten manchmal nicht verifizierte externe Aufrufe, die eine Remote-Codeausführung durch manipulierte Eingaben ermöglichen.

5. Die Standards ERC-721 und ERC-1155 erzwingen keine URI-Unveränderlichkeit. Entwickler können die Standorte der zugrunde liegenden Assets nach der Bereitstellung ohne Zustimmung des Benutzers ändern.

Wallet-spezifische Angriffsvektoren

1. Hot-Wallet-Erweiterungen wie MetaMask bleiben dem injizierten JavaScript ausgesetzt, selbst wenn sie nicht verwendet werden – Malvertising auf Nachrichtenseiten löst stille Signaturanfragen aus.

2. Die QR-Code-Scanfunktion der mobilen Geldbörse wurde missbraucht, um Genehmigungstransaktionen automatisch einzureichen, wenn Kameraberechtigungen erteilt wurden.

3. Ledger- und Trezor-Geräte erfordern eine manuelle Bestätigung für jede Transaktion – aber über inoffizielle Kanäle bereitgestellte Firmware-Updates haben Hintertüren eingeführt.

4. Multi-Signatur-Wallets sind mit Koordinationsrisiken konfrontiert; Kompromittierte Mitunterzeichnergeräte oder Social Engineering gegen Unterzeichner können den Schwellenwertschutz umgehen.

5. WalletConnect-Sitzungen bleiben länger als nötig bestehen, sodass wiederverwendete Sitzungs-IDs nach der ersten Kopplung nicht autorisierte Übertragungen initiieren können.

Häufig gestellte Fragen

F: Eliminieren Hardware-Wallets alle NFT-Diebstahlrisiken? Nein. Hardware-Wallets schützen private Schlüssel, können jedoch nicht verhindern, dass böswillige Transaktionssignaturen durch betrügerische Benutzeroberflächen oder kompromittierte dApp-Frontends ausgelöst werden.

F: Kann ich verdächtige Token-Genehmigungen erkennen, bevor sie Schaden anrichten? Ja. Mit Tools wie Revoke.cash und der Registerkarte „Token-Genehmigungen“ von Etherscan können Benutzer aktive Berechtigungen für bestimmte Verträge überprüfen und stornieren.

F: Ist es sicher, auf jedem NFT-Marktplatz auf „Wallet verbinden“ zu klicken? Nicht von Natur aus. Jede Verbindung gewährt Einblick in Ihr Wallet-Guthaben und kann automatische Genehmigungsanfragen auslösen, wenn die Site eingebettete Vertragsaufrufe verwendet.

F: Warum tauchen einige gestohlene NFTs Stunden nach dem Diebstahl wieder auf Sekundärmärkten auf? Denn Marktplätze wie Blur und LooksRare führen keine Eigentumsüberprüfung in Echtzeit zum Zeitpunkt der Angebotserstellung durch, sondern erst bei der Verkaufsausführung.