Ein Trader hat ungefähr 1 Million US-Dollar verloren, nachdem ein Phishing-Angriff die eigene Komfortfunktion von Uniswap gegen ihn ausgenutzt hat. Kein Protokoll wurde gehackt. Keine Schwachstelle wurde im traditionellen Sinne ausgenutzt. Der Trader hat einfach eine Nachricht signiert, die er nicht hätte signieren dürfen – und das hat gereicht.
Summary
Wichtigste Erkenntnisse
- Ein Trader verlor etwa 1 Million US-Dollar, nachdem er dazu verleitet wurde, eine bösartige Uniswap-Permit2-Nachricht zu signieren, die den Angreifern vollständigen Zugriff auf sein Wallet gewährte.
- Ein weiteres Opfer verlor 196.000 US-Dollar bei einem ähnlichen Angriff mit dem $VIRTUAL-Token.
- Approval-Phishing hat seit 2021 über 1 Milliarde US-Dollar an gemeldeten Verlusten verursacht und zeigt keine Anzeichen einer Verlangsamung.
- Chainalysis meldete 14 Milliarden US-Dollar an gesamten Onchain-Betrugsverlusten im Jahr 2025, gegenüber 12 Milliarden US-Dollar im Jahr 2024; CertiK verzeichnete allein im Januar 2026 370 Millionen US-Dollar durch Phishing.
- Tools wie Revoke.cash ermöglichen es Nutzern, Token-Genehmigungen – einschließlich Permit2-Berechtigungen – zu prüfen und zu widerrufen, und gehören damit zu den derzeit wirksamsten verfügbaren Schutzmaßnahmen.
Massiver Verlust von 1 Million US-Dollar legt Uniswap-Permit2-Phishing-Risiko offen
Der Uniswap-Permit2-Phishing-Angriff, der das Portfolio eines Traders ausgelöscht hat, erinnert daran, wie schnell ein einzelner Fehltritt in DeFi katastrophale Folgen haben kann. Permit2 ist ein Token-Genehmigungsvertrag, den Uniswap eingeführt hat, um DeFi nahtloser zu machen. Anstatt für jeden Token und jedes Protokoll eine separate Onchain-Transaktion zu benötigen, ermöglicht Permit2 mit einer einzigen Offchain-Signatur die Genehmigung mehrerer Token-Interaktionen auf einmal. Von Haus aus bequem – und nach derselben Logik ausnutzbar.
Wie Permit2 Token-Genehmigungen vereinfacht und gleichzeitig die Sicherheitsrisiken erhöht
Traditionelle ERC-20-Genehmigungen schaffen natürliche Kontrollpunkte. Jeder Token, jede Protokollinteraktion erfordert eine eigene Onchain-Transaktion und gibt den Nutzern wiederholt Gelegenheit, ihre Entscheidung zu überdenken. Permit2 entfernt diese Kontrollpunkte vollständig und ersetzt sie durch eine einzige signierte Nachricht. Dieser Effizienzgewinn ist real – aber ebenso die zusätzliche Angriffsfläche, die dadurch entsteht.
Eine einzige kompromittierte Signatur kann einem bösartigen Vertrag Zugriff auf das gesamte Portfolio eines Nutzers verschaffen. Es gibt keine zweite Aufforderung. Kein Bestätigungsbildschirm. Keine Warnung. Einmal signiert, bewegen sich die Gelder leise und unwiderruflich.
Phishing-Seiten geben sich inzwischen routinemäßig als legitime DeFi-Oberflächen aus – Airdrop-Claim-Seiten, NFT-Minting-Portale, vertraut aussehende Swap-Oberflächen – alle darauf ausgelegt, genau im richtigen Moment eine überzeugende Permit2-Signaturanfrage einzublenden.
Fälle aus der Praxis: Phishing-Verluste von 1 Million und 196.000 US-Dollar
Der Verlust von 1 Million US-Dollar ist auffällig, aber kein Einzelfall. Ein weiteres Opfer, das den $VIRTUAL-Token hielt, verlor etwa 196.000 US-Dollar durch exakt denselben Mechanismus. Anderes Wallet, anderer Token, gleiches Ergebnis: eine falsche Signatur und ein Totalverlust.
Beiden Vorfällen ist gemeinsam, dass es keinerlei technischen Einbruch auf Seiten von Uniswap gab. Das Protokoll funktionierte genau wie vorgesehen. Die Angriffsfläche war kein Bug – sie war das Nutzerverhalten, das durch Täuschung manipuliert wurde.
Diese Unterscheidung ist enorm wichtig. Sie bedeutet, dass Protokoll-Audits und Smart-Contract-Sicherheitsprüfungen gegen diese Art von Bedrohung kaum Schutz bieten. Die Schwachstelle liegt zwischen Bildschirm und Signatur.
Wachsende Onchain-Betrugsepidemie verdeutlicht anhaltendes Approval-Phishing
Diese beiden Vorfälle sind keine Ausreißer – sie sind Datenpunkte in einem viel größeren Muster. Approval-Phishing hat sich still und leise eine verheerende Bilanz aufgebaut, und die breiteren Zahlen spiegeln ein Problem wider, das weiter skaliert.
Berichte zu Krypto-Kriminalität zeigen Milliardenverluste durch Phishing und Betrug
Laut dem Crypto Crime Report 2026 von Chainalysis haben Onchain-Betrugsmaschen im Jahr 2025 mindestens 14 Milliarden US-Dollar an Verlusten verursacht, gegenüber 12 Milliarden US-Dollar im Jahr 2024. Das ist ein Anstieg von 2 Milliarden US-Dollar im Jahresvergleich, der teilweise durch die anhaltende Nutzung von Social-Engineering-Taktiken getrieben wird, die keine Firewall blockieren kann.
CertiKs Daten schärfen das Bild weiter. Allein im Januar 2026 entfielen 370 Millionen US-Dollar an gesamten Krypto-Verlusten auf Phishing und Social Engineering – eine außergewöhnliche Summe für nur einen Monat. Ein einzelner Vorfall in diesem Zeitraum trug 284 Millionen US-Dollar zu dieser Gesamtsumme bei.
Seit 2021 ist Approval-Phishing für über 1 Milliarde US-Dollar an gemeldeten Verlusten verantwortlich. Der kumulative Schaden ist stetig gewachsen, weitgehend außerhalb des Rampenlichts, während die Aufmerksamkeit auf spektakulärere Exploits gerichtet war.
Gegensätzliche Trends: Rückgang der Wallet-Drainer-Verluste versus anhaltendes Approval-Phishing
Es gibt eine bemerkenswerte Divergenz, die man verstehen sollte. Wallet-Drainer-bezogene Verluste gingen 2025 um 83 % zurück und fielen auf etwa 84 Millionen US-Dollar – ein echtes Zeichen dafür, dass gezielte Infrastrukturabschaltungen und Branchenkooperationen bei diesem spezifischen Angriffsvektor Wirkung zeigen.
Approval-Phishing basiert jedoch auf völlig anderer Infrastruktur. Drainer-Skripte stützen sich auf bereitstellbare bösartige Verträge, die Sicherheitsfirmen und Börsen identifizieren, markieren und auf schwarze Listen setzen können. Approval-Phishing hingegen nutzt legitime Protokollmechanismen und das Vertrauen der Nutzer aus. Die Abschaltung einer Phishing-Seite neutralisiert die Technik nicht.
Diese Divergenz birgt das reale Risiko einer Fehlinterpretation von Fortschritt. Der Rückgang der Drainer-Verluste sieht wie ein Erfolg aus – und ist es auch –, könnte aber das anhaltende Wachstum einer Bedrohung verschleiern, die sich mit rein technischen Mitteln deutlich schwerer eindämmen lässt.
Operation Atlantic: Strafverfolgung friert 12 Millionen US-Dollar an Phishing-Geldern ein
Operation Atlantic, durchgeführt im April 2026, führte zum Einfrieren von etwa 12 Millionen US-Dollar, die mit Approval-Phishing-Schemata in Verbindung stehen. Strafverfolgungsmaßnahmen in dieser Größenordnung sind bedeutsam, aber 12 Millionen US-Dollar vor dem Hintergrund von 14 Milliarden US-Dollar jährlicher Onchain-Betrugsverluste verdeutlichen die Lücke zwischen dem, was Regulierer derzeit zurückholen können, und der Geschwindigkeit, mit der sich Verluste anhäufen.
Schutz vor Permit2-Approval-Phishing-Angriffen
Die Natur dieser Bedrohung bedeutet, dass wirksame Abwehrmaßnahmen auf Nutzerebene stattfinden müssen. Protokollseitige Anpassungen können die Angriffsfläche verringern, aber sie können nicht verhindern, dass ein Nutzer auf einer Seite, die exakt wie das Original aussieht, eine bösartige Nachricht signiert.
Tools und Best Practices zur Minderung von Approval-Phishing-Risiken
Der praktischste Schritt ist die regelmäßige Nutzung von Wallet-Revocation-Tools. Revoke.cash ermöglicht es Nutzern, ausstehende Token-Genehmigungen zu prüfen und zu widerrufen, einschließlich Permit2-Berechtigungen. Eine Revocation-Prüfung nach der Interaktion mit einem neuen oder unbekannten Protokoll verkleinert das Schadensfenster erheblich – wenn eine schädliche Genehmigung durchrutscht, verringert frühes Erkennen die Exponierung.
Die Überprüfung von Vertragsadressen vor jeder Signatur ist unverzichtbar. Phishing-Seiten sind so gestaltet, dass sie visuell nicht von legitimen Plattformen zu unterscheiden sind. Die im Genehmigungs-Prompt eingebettete Vertragsadresse ist der Ort, an dem die Wahrheit liegt, und die zusätzlichen zehn Sekunden zur Überprüfung lohnen sich.
Eine kurze Checkliste der wichtigsten Schutzgewohnheiten:
- Überprüfen Sie die Vertragsadresse in jeder Signaturanfrage vor der Bestätigung anhand bekannter legitimer Adressen.
- Führen Sie regelmäßige Prüfungen mit Revoke.cash oder vergleichbaren Tools durch, um unnötige oder unbekannte Genehmigungen zu widerrufen.
- Betrachten Sie jede unerwartete Permit2-Signaturanfrage – insbesondere auf Airdrop- oder Minting-Seiten – als Warnsignal, bis sie verifiziert ist.
Grenzen und Vorteile von Hardware-Wallets bei der Verhinderung von Phishing-Verlusten
Hardware-Wallets fügen eine physische Bestätigungsebene hinzu, die Software-Wallets nicht bieten, und diese Ebene hat echten Wert. Doch Hardware-Wallets sind keine vollständige Lösung gegen Approval-Phishing. Wenn ein Nutzer ein Hardware-Wallet mit einer bösartigen Seite verbindet und dann manuell eine Permit2-Signaturanfrage bestätigt, wird das physische Gerät Teil des Angriffs statt ein Schutz dagegen.
Die zentrale Erkenntnis ist, dass Approval-Phishing den Entscheidungsprozess angreift, nicht die Sicherheitsarchitektur. Jedes Tool, das vom Nutzer die Genehmigung einer Transaktion verlangt, kann zur Waffe werden, wenn der Nutzer davon überzeugt werden kann, dass die Transaktion legitim ist. Das ist ein schwierigeres Problem als das Patchen eines Smart Contracts – und der Grund, warum Aufklärung und Wachsamkeit derzeit die dauerhaftesten verfügbaren Schutzmaßnahmen sind.
FAQ
Was ist Uniswaps Permit2 und warum birgt es ein Phishing-Risiko?
Permit2 ermöglicht es Nutzern, eine einzige Offchain-Nachricht zu signieren, um mehrere Token-Interaktionen gleichzeitig zu genehmigen. Während dies die Nutzung von DeFi vereinfacht, bedeutet es auch, dass eine einzige bösartige Signatur einem Angreifer breiten, unmittelbaren Zugriff auf das gesamte Wallet eines Nutzers gewähren kann – ohne zusätzliche Bestätigungsschritte.
Wie haben Phishing-Angreifer Permit2 in jüngsten Vorfällen ausgenutzt?
Angreifer haben Seiten erstellt, die legitime DeFi-Plattformen imitieren, und Nutzer dazu gebracht, Permit2-Nachrichten zu signieren. Da Permit2 keine Onchain-Warnung oder keinen Bestätigungsbildschirm erzeugt, hatten die Opfer keinen Hinweis darauf, dass sie einem bösartigen Vertrag eine Berechtigung erteilten. Das Ergebnis waren sofortige, unautorisierte Mittelabflüsse – darunter ein Verlust von etwa 1 Million US-Dollar und ein weiterer Verlust von rund 196.000 US-Dollar im Zusammenhang mit dem $VIRTUAL-Token.
Welche praktischen Schritte helfen beim Schutz vor Permit2-Approval-Phishing?
Nutzer sollten Vertragsadressen in jeder Signaturanfrage vor der Bestätigung überprüfen, regelmäßig Token-Genehmigungen mit Tools wie Revoke.cash prüfen und widerrufen und unerwartete Permit2-Anfragen mit Skepsis betrachten. Hardware-Wallets fügen eine zusätzliche Bestätigungsebene hinzu, schützen aber nicht davor, auf einer kompromittierten Seite eine bösartige Nachricht zu signieren.
Wie gravierend sind die finanziellen Auswirkungen von Approval-Phishing-Angriffen im Krypto-Bereich?
Approval-Phishing hat seit 2021 über 1 Milliarde US-Dollar an gemeldeten Verlusten verursacht. Es trug zu den 14 Milliarden US-Dollar an gesamten Onchain-Betrugsverlusten bei, die Chainalysis für 2025 verzeichnete, und CertiKs Daten zeigen, dass Phishing und Social Engineering allein im Januar 2026 Verluste von 370 Millionen US-Dollar verursachten. Trotz eines deutlichen Rückgangs der Wallet-Drainer-Verluste wächst Approval-Phishing weiter, da es auf andere, schwerer zu zerschlagende Infrastruktur setzt.
{„@context“:“https://schema.org“,“@type“:“FAQPage“,“mainEntity“:[{„@type“:“Question“,“name“:“Was ist Uniswaps Permit2 und warum birgt es ein Phishing-Risiko?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Permit2 ermöglicht es Nutzern, eine einzige Offchain-Nachricht zu signieren, um mehrere Token-Interaktionen gleichzeitig zu genehmigen. Während dies die Nutzung von DeFi vereinfacht, bedeutet es auch, dass eine einzige bösartige Signatur einem Angreifer breiten, unmittelbaren Zugriff auf das gesamte Wallet eines Nutzers gewähren kann – ohne zusätzliche Bestätigungsschritte.“}},{„@type“:“Question“,“name“:“Wie haben Phishing-Angreifer Permit2 in jüngsten Vorfällen ausgenutzt?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Angreifer haben Seiten erstellt, die legitime DeFi-Plattformen imitieren, und Nutzer dazu gebracht, Permit2-Nachrichten zu signieren. Da Permit2 keine Onchain-Warnung oder keinen Bestätigungsbildschirm erzeugt, hatten die Opfer keinen Hinweis darauf, dass sie einem bösartigen Vertrag eine Berechtigung erteilten. Das Ergebnis waren sofortige, unautorisierte Mittelabflüsse – darunter ein Verlust von etwa 1 Million US-Dollar und ein weiterer Verlust von rund 196.000 US-Dollar im Zusammenhang mit dem $VIRTUAL-Token.“}},{„@type“:“Question“,“name“:“Welche praktischen Schritte helfen beim Schutz vor Permit2-Approval-Phishing?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Nutzer sollten Vertragsadressen in jeder Signaturanfrage vor der Bestätigung überprüfen, regelmäßig Token-Genehmigungen mit Tools wie Revoke.cash prüfen und widerrufen und unerwartete Permit2-Anfragen mit Skepsis betrachten. Hardware-Wallets fügen eine zusätzliche Bestätigungsebene hinzu, schützen aber nicht davor, auf einer kompromittierten Seite eine bösartige Nachricht zu signieren.“}},{„@type“:“Question“,“name“:“Wie gravierend sind die finanziellen Auswirkungen von Approval-Phishing-Angriffen im Krypto-Bereich?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Approval-Phishing hat seit 2021 über 1 Milliarde US-Dollar an gemeldeten Verlusten verursacht. Es trug zu den 14 Milliarden US-Dollar an gesamten Onchain-Betrugsverlusten bei, die Chainalysis für 2025 verzeichnete, und CertiKs Daten zeigen, dass Phishing und Social Engineering allein im Januar 2026 Verluste von 370 Millionen US-Dollar verursachten. Trotz eines deutlichen Rückgangs der Wallet-Drainer-Verluste wächst Approval-Phishing weiter, da es auf andere, schwerer zu zerschlagende Infrastruktur setzt.“}}]}
Artikel mit Unterstützung künstlicher Intelligenz erstellt und von der Redaktion überprüft.

