Marktkapitalisierung: $2.1375T 2.39%
Volumen (24h): $85.2211B -0.40%
Angst- und Gier-Index:

25 - Furcht

  • Marktkapitalisierung: $2.1375T 2.39%
  • Volumen (24h): $85.2211B -0.40%
  • Angst- und Gier-Index:
  • Marktkapitalisierung: $2.1375T 2.39%
Kryptos
Themen
Cryptospedia
Nachricht
Cryptostopics
Videos
Top Cryptospedia

Sprache auswählen

Sprache auswählen

Währung wählen

Kryptos
Themen
Cryptospedia
Nachricht
Cryptostopics
Videos

Was ist Wallet Drainer-Malware und wie funktioniert sie?

Wallet drainer malware targets crypto wallets by injecting malicious JS into sites/extensions, hijacking `ethereum.request()`, spoofing UIs, and replacing clipboard addresses—evading detection via in-memory execution and obfuscation.

Jun 23, 2026 at 02:39 pm

Definition und Kernmechanismus

1. Wallet-Drainer-Malware ist eine spezielle Klasse von Crimeware, die ausschließlich für den Angriff auf Kryptowährungs-Wallet-Schnittstellen, private Schlüsseleingaben und Sitzungstoken in Webbrowsern und Desktop-Anwendungen entwickelt wurde.

2. Es funktioniert, indem es bösartiges JavaScript in kompromittierte Websites oder Browsererweiterungen einschleust und so das Abfangen von Inhalten der Zwischenablage in Echtzeit bei Kopier- und Einfügevorgängen mit Wallet-Adressen ermöglicht.

3. Die Malware überwacht aktive Browser-Registerkarten auf bekannte Wallet-Domänenmuster – wie etwa metamask.io, phantom.app oder trustwallet.com – und löst die Ausführung der Nutzlast nur dann aus, wenn diese Domänen erkannt werden.

4. Sobald es aktiviert ist, überlagert es gefälschte Transaktionsbestätigungsmodalitäten, die legitime Wallet-Benutzeroberflächen nachahmen, und verleitet Benutzer dazu, Überweisungen an von Angreifern kontrollierte Adressen zu genehmigen, ohne dass sichtbare Anzeichen einer Manipulation vorliegen.

5. Im Gegensatz zu generischen Trojanern bleiben Wallet-Drainer nicht auf dem Hostsystem bestehen; Sie werden vollständig im Speicher ausgeführt und verschwinden beim Schließen des Browsers, wobei sie nur minimale forensische Spuren hinterlassen.

Infektionsvektoren in Krypto-Ökosystemen

1. Kompromittierte NPM-Pakete dienen häufig als Bereitstellungsmechanismen – Entwickler installieren unwissentlich bösartige Abhängigkeiten, die sich in Build-Prozesse einklinken und Drainer-Skripte in Produktions-Frontend-Bundles einschleusen.

2. Gefälschte Wallet-Browsererweiterungen, die über inoffizielle Chrome Web Store-Spiegel oder Telegram-Kanäle verbreitet werden, enthalten verschleierten Code, der erst aktiviert wird, nachdem MetaMask-Injection in Webseiten erkannt wurde.

3. Phishing-Sites, die sich als DEX-Schnittstellen (Decentralized Exchange) ausgeben – wie gefälschte Uniswap- oder PancakeSwap-Landingpages – laden die Drainer-Logik, bevor sie funktionale UI-Elemente darstellen.

4. Schädliche GitHub-Repositories mit der Bezeichnung „Smart Contract Audit Tools“ oder „Gas Optimizer Utilities“ fordern Benutzer dazu auf, Wallets zur „Analyse“ anzuschließen und dann sofort unbefugte Übertragungen einzuleiten.

5. Drive-by-Downloads treten auf, wenn Benutzer gehackte Krypto-Nachrichtenportale oder Forenthreads besuchen, in denen eingeschleuste Iframes Remote-Drainer-Payloads von Bulletproof-Hosting-Anbietern laden.

Technisches Verhalten während der Ausführung

1. Die Malware kapert den API-Aufruf ethereum.request() , fängt alle Transaktionsanfragen ab, bevor sie die Wallet-Erweiterung des Benutzers erreichen, und ersetzt Zieladressen durch vom Angreifer kontrollierte Adressen.

2. Es ändert das DOM, um ursprüngliche Wallet-Popups zu unterdrücken, indem deren Anzeigeeigenschaft auf „Keine“ gesetzt wird, während gleichzeitig geklonte UI-Elemente gerendert werden, die identisch aussehen, Genehmigungen aber an andere Stellen weiterleiten.

3. Die Überwachung der Zwischenablage wird über document.addEventListener('copy', ...) implementiert, wobei jede kopierte Zeichenfolge erfasst und Ethereum- oder Solana-Adressen in Echtzeit durch Äquivalente im Besitz des Angreifers ersetzt werden.

4. Der Diebstahl von Sitzungstoken zielt auf Einträge im Browser-lokalen Speicher ab, die den Wallet-Verbindungsstatus enthalten, und ermöglicht es Angreifern, authentifizierte Sitzungen über mehrere dApps hinweg ohne erneute Genehmigung wiederzuverwenden.

5. Einige Varianten stellen WebSocket-Verbindungen zu Command-and-Control-Servern bereit, die auf Tor-versteckten Diensten gehostet werden, und erhalten während der Sitzung dynamische Adresslisten und Konfigurationsaktualisierungen.

Defensive Gegenmaßnahmen

1. Installieren Sie niemals Browsererweiterungen außerhalb offizieller Stores – überprüfen Sie die Namen der Herausgeber, die Anzahl der Bewertungen und die Aktualisierungshäufigkeit, bevor Sie Berechtigungen wie „Websitedaten lesen und ändern“ erteilen.

2. Deaktivieren Sie die Auto-Connect-Funktionen in Wallet-Erweiterungen und genehmigen Sie jede dApp-Verbindung manuell, anstatt dauerhaften Zugriff über Domänen hinweg zuzulassen.

3. Verwenden Sie Hardware-Wallets mit bildschirmbasierter Transaktionsüberprüfung – Malware kann nicht verändern, was physisch auf dem Display des Geräts angezeigt wird.

4. Überwachen Sie ausgehende Transaktionen mit Blockchain-Explorern wie Etherscan oder Solscan unmittelbar nach der Unterzeichnung und überprüfen Sie vor der Blockbestätigung sowohl die Empfängeradresse als auch den Wert.

5. Nutzen Sie Browser-Sandboxing-Tools wie Firefox-Multi-Account-Container, um Wallet-Interaktionen von allgemeinen Surfaktivitäten zu isolieren.

Häufig gestellte Fragen

F: Kann sich Wallet-Drainer-Malware auf mobile Geldbörsen auswirken? Ja. Es wurde beobachtet, dass Android-APKs, die sich als Wallet-Updater oder Blockchain-Explorer ausgeben, Overlay-Berechtigungen installieren, um Transaktionsbestätigungen auf Geräten mit veralteten Betriebssystemversionen abzufangen.

F: Verhindert die Verwendung eines VPN Wallet-Drainer-Angriffe? Nein. Wallet-Entleerer arbeiten auf der Anwendungsebene innerhalb der Browser- oder Erweiterungsumgebung. Die von VPNs bereitgestellte Verschlüsselung auf Netzwerkebene beeinträchtigt nicht die DOM-Manipulation oder Clipboard-Hooks.

F: Sind Open-Source-Wallet-Projekte immun gegen die Drainer-Integration? Nein. Später stellte sich heraus, dass mehrere geprüfte GitHub-Repositorys kompromittierte CI/CD-Pipelines enthielten, die bei automatisierten Builds Drainer-Logik einfügten, ohne die Sichtbarkeit des Quellcodes zu verändern.

F: Kann Antivirensoftware Wallet-Drainer-Skripte erkennen? Selten. Die meisten Drainer vermeiden eine signaturbasierte Erkennung, indem sie polymorphe Verschleierung, Domänengenerierungsalgorithmen und Zero-Day-Ausnutzungstechniken verwenden, die heuristische Analyse-Engines umgehen.

Haftungsausschluss:info@kdj.com

Die bereitgestellten Informationen stellen keine Handelsberatung dar. kdj.com übernimmt keine Verantwortung für Investitionen, die auf der Grundlage der in diesem Artikel bereitgestellten Informationen getätigt werden. Kryptowährungen sind sehr volatil und es wird dringend empfohlen, nach gründlicher Recherche mit Vorsicht zu investieren!

Wenn Sie glauben, dass der auf dieser Website verwendete Inhalt Ihr Urheberrecht verletzt, kontaktieren Sie uns bitte umgehend (info@kdj.com) und wir werden ihn umgehend löschen.

Verwandtes Wissen

Alle Artikel ansehen

User not found or password invalid

Your input is correct