Cyvers entdeckte den Angriff mit seinem Echtzeit-Blockchain-Überwachungssystem und fand heraus, dass das Opfer mit Hilfe von Nullwert-Transfers ins Visier genommen wurde.
Nullwert-Transfers bezeichnen eine Technik, bei der Angreifer gefälschte Transaktionen an die Wallet eines Opfers senden, um dessen Transaktionshistorie mit einer ähnlichen Adresse zu kontaminieren. Sobald die Angriffsvektoren platziert wurden, verbleibt die vergiftete Adresse in der Historie des Opfers und wartet auf den Moment, in dem dieses für eine schnelle Transaktion kopiert und einfügt, anstatt jede Zeichenfolge der Wallet-Adresse manuell einzugeben oder zu prüfen.
In der Regel verlieren Opfer aufgrund der Unumkehrbarkeit von Blockchain-Transfers alle an dieser Überweisung beteiligten Vermögenswerte.
600.000 $ Verlust reiht sich in Lawine von Address Poisoning-Angriffen 2026 ein
Der Vorfall über 600.000 $ ist einer von vielen. Address Poisoning-Angriffe haben sowohl in ihrer Häufigkeit als auch in ihrem Ausmaß rasant zugenommen und allein dieses Jahr bereits mehrere prominente Verluste verursacht, die ein alarmierendes Bild der aktuellen Bedrohungen für die Branche zeichnen.
Im Dezember 2025 verlor ein Krypto-Händler 50 Millionen $ in USDT, nachdem er eine gefälschte Adresse aus seiner Historie kopiert hatte – der zweithöchste jemals registrierte Address Poisoning-Verlust. Offenbar hatte das Opfer die Gelder von Binance abgehoben, eine Testtransaktion über 50 $ an die richtige Adresse gesendet und dann Minuten später für eine vollständige 50-Millionen-Dollar-Überweisung die vergiftete Adresse kopiert.
Der Angreifer wandelte die gestohlenen USDT dann in DAI-Token und anschließend innerhalb von 30 Minuten in etwa 16.690 ETH um, wobei der Großteil über Tornado Cash geschleust wurde, um die Spur zu verwischen. Das Opfer bot ein Kopfgeld von 1 Million $ für die Rückgabe von 98 % der Gelder und drohte mit strafrechtlichen Schritten, falls die Bedingungen nicht erfüllt werden.
Auch der Januar 2026 war keine Ausnahme. Am 16. Januar verlor ein Opfer 514.000 $ in USDT, nachdem es eine Testtransaktion über 5.000 $ an eine vergiftete Adresse mit der Endung „f3e6F“ gesendet hatte, die fast identisch mit der beabsichtigten Empfängeradresse mit der Endung „D3E6F“ war, bevor es Minuten später die volle Überweisung durchführte.
Zwei Wochen später verlor ein weiteres Opfer 12,25 Millionen $, nachdem es 4.556 ETH an eine vom Angreifer kontrollierte Adresse gesendet hatte, die aus einer kontaminierten Transaktionshistorie kopiert wurde. ScamSniffer, der diesen Vorfall meldete, stellte fest, dass die beiden Adressen in den sichtbaren Zeichen praktisch identisch waren, wobei der einzige Unterschied in den ausgeblendeten mittleren Abschnitten lag, die von den meisten Wallets abgekürzt werden.
Das Opfer dieses Monats reiht sich nun in eine Verlustserie ein, die Nutzer in weniger als drei Monaten Millionen von Dollar gekostet hat – hauptsächlich aufgrund raffinierterer Angriffe und einer Nutzerschaft, die weiterhin auf abgekürzte Adressanzeigen und Copy-Paste-Gewohnheiten bei routinemäßigen Transaktionen setzt.
Über eine Million Poisoning-Versuche täglich auf Ethereum
Laut Berichten von Cyvers-Spezialisten werden allein im Ethereum-Netzwerk jeden Tag über eine Million Address Poisoning-Versuche unternommen.
Eine weitere Studie identifizierte mindestens sieben verschiedene Angreifergruppen, die aktiv Address Poisoning-Kampagnen auf Ethereum durchführen, wobei einige Gruppen ihre gefälschten Adressen gleichzeitig auf Ethereum und der Binance Smart Chain wiederverwenden.
Die Studie bestätigte, dass Angreifer es bevorzugen, Wallets mit hohem Wert und häufiger Transaktionshistorie anzugreifen, und dass sie in der Regel statistische Analysen der USDT- und USDC-Salden durchführen, um die potenziell profitabelsten Opfer zu identifizieren, bevor sie ihre gefälschten Transaktionen abschicken.
„Immer mehr Nutzer und Institutionen nutzen automatisierte Tools für Krypto-Transaktionen, von denen einige möglicherweise keine eingebauten Prüfmechanismen zur Erkennung vergifteter Adressen haben“, erklärte der CEO von Cyvers. Er ergänzte, dass „die zunehmende Raffinesse der Angreifer und das Fehlen von Sicherheitsmaßnahmen vor der Transaktion“ die Hauptgründe für den Anstieg seien.
Auch Branchenakteure haben begonnen, sich zu äußern. Einige forderten nach dem Verlust von 50 Millionen $ im Dezember öffentlich, dass Wallet-Entwickler vergiftete Adressen standardmäßig blockieren sollten.
Wie Cryptopolitan am 24. Dezember 2025 berichtete, schlug CZ einen Fahrplan vor, um Krypto-Nutzer vor betrügerischen Transaktionen zu schützen.
„Unsere Branche sollte in der Lage sein, diese Art von Poison-Angriffen vollständig zu beseitigen und unsere Nutzer zu schützen“, schrieb CZ auf der sozialen Plattform von Binance. „Alle Wallets sollten einfach prüfen, ob eine Empfangsadresse eine ‚Poison-Adresse‘ ist, und den Nutzer blockieren.“
Andere Wallet-Anbieter untersuchen nun Risikoanalysen vor der Ausführung, bei denen eine Transaktion simuliert wird, bevor sie signiert wird, und den Nutzern genau angezeigt wird, wohin ihre Gelder gehen, bevor sie um Bestätigung gebeten werden.
Einige Forscher befürworteten auch das Whitelisting häufig genutzter Adressen direkt in den Wallet-Einstellungen, um die Abhängigkeit von Transaktionshistorien vollständig zu eliminieren.
