Crypto-Scams: So behaltet ihr euer Vermögen

Crypto boomt, NFTs sind der heiße Scheiß, Millionenwerte wechseln binnen Minuten ihre Besitzer. Und Scammer reiben sich die Hände. Je größer der Markt wird, je höher die involvierten Werte sind, desto interessanter wird es für Scammer, für die vor allem unbedarfte Nutzer leichte Opfer sind. Schließlich gibt es keine Sicherheitsschranken, keine Dritten, die bei einem Fehler einspringen können. Einlagensicherung? Eine nette Erfindung der Banken, findet man in der Cryptowelt nicht. Jeder ist seine eigene Bank. Jede erstellte Wallet kann direkt mit anderen handeln.

Abgesichert sind die Wallets beziehungsweise die einzelnen Blockchainadressen nur durch den sogenannten Private Key. Den bekommt man entweder als Datei oder – vor allem bei Software-Wallets beliebt – auch nur als Seedphrase bestehend aus 12 oder 24 Wörtern. Diese Wörter braucht man so gut wie nie, dennoch sind sie der wichtigste Teil einer Blockchainadresse, denn sie allein bieten vollen Zugriff auf die Adresse, so dass man auch von dieser Adresse Werte weg übertragen kann.

Ziel ist es also, die Wörter oder die Key-Datei sicher aufzubewahren. Am besten gar nicht digital, auf jeden Fall aber offline. Als Datei zum Beispiel auf einem USB-Stick, Wörter ganz oldschool auf einen Zettel schreiben. Diesen Zugang zu eurer Wallet werdet ihr nie irgendwo eingeben müssen, es sei denn, ihr stellt eure Wallet wieder an anderer Stelle her.

Scammer wollen natürlich diesen Zugang. Und leider sieht man in letzter Zeit vermehrt, dass sie auch erfolgreich sind. Selbst erfahrene Nutzer fallen auf Scams herein und verlieren Minuten sehr hohe Werte. Hält man sich an die Regel, Seedphrase oder PrivateKey nicht herauszugeben, ist man schon einmal viel sicherer unterwegs. Scammer geben sich oft als Support von irgendetwas aus und möchten für die Problemlösung den PrivateKey haben. Das wird von echtem Support niemals kommen. Niemals. Gebt ihr euren PrivateKey heraus, ist alles auf der Wallet weg, garantiert. Auch beliebt ist die Giveaway-Masche, bei der sich Scammer als bekannte Projekte ausgeben. Gibt es in dieser Form nicht, sollte man nicht drauf hereinfallen, falls doch, ist das ein klares Zeichen von zu viel Gier.

Dies weiß mittlerweile auch die Scammerbande und sie wird raffinierter. Eine recht erfolgreiche Masche ist, sich einfach als Unternehmen auszugeben, das Interesse an einer Zusammenarbeit hat. Nach ein paar Mails werden dann Dateien ausgetauscht – natürlich mit Malware. Mindestens die aktive Wallet ist dann weg, wenn man PrivateKeys oder ähnliche heikle Informationen auf demselben PC gespeichert hat wahrscheinlich auch mehr. Auch auf diese Masche sind einige Creators hereingefallen, es ist ja nicht so, dass sich die Scammer dumm anstellen.

Noch relativ neu ist eine Methode, die sich ebenfalls gegen Nutzer wendet, die auf Support angewiesen sind. Die Scammer bauen vertrauen auf, bekräftigen den Nutzer noch, niemals seine Seedphrase herauszugeben. Dann möchten sie zur Unterstützung Remote-Zugriff auf den betroffenen PC. Ehe der Nutzer sich versieht, wird der Mobile-Connect-Code von MetaMask gescannt und die Wallet leer geräumt. Auch hier las ich nun schon von mehreren „alten Hasen“, die auf diese Weise um Dinge erleichtert wurden, die schon weh tun.

Als relativ sicher gilt nach wie vor eine Hardware-Wallet. Der PrivateKey verlässt in diesem Fall nie das Gerät, die 24 Wörter werden bei Einrichtung aufgeschrieben, sie sind also nie „online“. Ich selbst nutze Hardware-Wallets von Ledger und SafePal, wobei Ledger schon eher die Marke ist, der ich mein Vertrauen schenke, so eine SafePal-Wallet hat mich schon einmal nach ein paar Tagen im Stich gelassen. Es gibt aber auch weitere, zum Beispiel von Trezor. Die Funktionsweise ist bei allen sehr ähnlich.

Allen gleich ist, dass man jede Transaktion mit der Hardware bestätigen muss. Das heißt, selbst wenn jemand Zugriff auf mein MetaMask-Plugin bekommt, kann er ohne Bestätigung der Hardware nichts machen. Definitiv eine gute Sache und die paar Euro für Hardware-Wallets machen sich schnell bezahlt. Allerdings ist die Nutzung einer Hardware-Wallet auch ein bisschen nervig, das möchte ich nicht verschweigen. Vor allem, wenn man viele Transaktionen durchführt.

Da man es nicht oft genug wiederholen kann:

Klingt ein Angebot zu gut, um wahr zu sein, ist es dies und euer Vermögen ist weg!

Gebt nie eure Seedphrase oder PrivateKey-Datei weiter, keiner außer ihr benötigt diese!

Speichert Seedhrases / PrivateKey-Dateien nie „online“ – nicht als Notiz, nicht als Screenshot, einfach gar nicht!

Klickt keine euch unbekannten Dateien an, auch wenn sie von vermeintlich vertrauenswürdigen Personen stammen!

Stimmt keinem Screensharing auf Geräten zu, die sensible Daten beherbergen. Müsst Ihr Screensharing aus anderem Grund zustimmen, loggt euch vorher aus MetaMask aus!

Nutzt nach Möglichkeit eine Hardware-Wallet – sicher ist sicher!