Selbst Wang Chun blieb nicht verschont: 50 Mio. USDT „Lehrgeld“ und warum Address Poisoning so oft gelingt

Ein Verlust von nahezu 50 Millionen USDT am 20. Dezember 2025 hat die Diskussion um einen der simpelsten, aber effektivsten Betrugsmaschen im Krypto-Bereich neu entfacht: Address Poisoning. On-Chain-Analysten auf X berichteten, dass ein Opfer eine vermeintlich richtige Adresse aus der Transaktionshistorie kopierte und 49.999.950 USDT an ein manipuliertes Wallet sandte — ein Fehler, den der Angreifer innerhalb weniger Minuten ausnutzte. Öffentliche Daten auf Etherscan zeigen, dass die Zieladresse inzwischen als Phishing-Adresse markiert wurde. Ermittler stellten fest, dass das Opfer zuvor Gelder von Binance abgehoben hatte, ehe der Fehlversand stattfand. Berichte großer Krypto-Medien bestätigen sowohl den Ablauf der Transaktionen als auch die Täuschung durch ähnlich aussehende Adressen. (etherscan.io)

Was genau passierte in dem Fall mit 50 Mio. USDT?

• Zunächst schickte das Opfer einen Testbetrag von 50 USDT an die korrekt lautende Adresse mit der Endung …F8b5.
• Ein Betrüger erzeugte rasch eine Adresse mit identischen Anfangs- und Endzeichen (eine sogenannte Vanity-Adresse) und „vergiftete“ daraufhin die Transaktionshistorie des Opfers durch eine minimale Testüberweisung.
• Wenige Minuten später kopierte das Opfer die gefälschte Adresse aus seinem Verlauf und überwies daraufhin die gesamten 49.999.950 USDT – direkt in das Wallet des Angreifers.
  Mehrere Zusammenfassungen des Vorfalls bestätigen diesen Ablauf und die beteiligten Adresspaare. (blockchain.news)

Anschließend versuchte der Angreifer, eine eventuelle Sperrung zu umgehen, indem er die USDT in andere Token tauschte und die Spur verwischte. Analysen zeigen, dass die Gelder zunächst in DAI, später in ETH gewechselt und anschließend über Tornado Cash weitergeleitet wurden — ein typisches Vorgehen, um Sperrmaßnahmen zu entgehen und die Rückverfolgung zu erschweren. (phemex.com)

Man kann den On-Chain-Verlauf direkt verfolgen: Wallet des Opfers 0xcB80784…0819 und Wallet des Angreifers 0xBaFF2F…08f8b5. (etherscan.io)

Warum Address Poisoning immer wieder funktioniert

Beim Address Poisoning wird keine Kryptografie geknackt – es wird schlicht menschliches Verhalten und die Nutzeroberfläche ausgenutzt:

• Die meisten Wallets zeigen Adressen verkürzt an, sodass Nutzer nur Anfangs- und Endzeichen kontrollieren. Betrüger generieren daher gezielt „Vanity“-Adressen mit diesen Zeichen und werfen minimale Beträge ins Spiel, um sich in die Historie des Opfers einzuschleichen. Beim nächsten Kopieren landet dann möglicherweise die gefälschte Adresse im Speicher. Erklärung siehe MetaMask Help Center. (support.metamask.io)
• Die Prüfziffer in Ethereum-Adressen (EIP‑55) erkennt Tippfehler, aber keine legitimen, jedoch ähnlich aussehenden Adressen. Wer EIP‑55 versteht, weiß: auch korrekte Prüfsummen helfen nicht gegen professionelle Täuschung. (eips.ethereum.org)

„Auch Profis geraten in die Falle“ – Wang Chuns warnendes Beispiel

F2Pool-Mitgründer Wang Chun teilte auf X mit, dass er 2024 einen privaten Schlüsselverlust vermutete – und diese Annahme testete, indem er 500 BTC an die mutmaßlich kompromittierte Adresse schickte. 490 BTC wurden entwendet, 10 BTC blieben zurück. Diese Offenlegung zeigt: Nicht nur Bugs im Protokoll, sondern immer wieder menschliche Fehler führen zu massiven Verlusten. Verschiedene Krypto-Nachrichtenseiten haben seine Aussagen und die betroffene Adresse aufgegriffen. (theblockbeats.info)

„Warum friert man USDT nicht einfach ein?“

Tatsächlich kann USDT auf Anweisung des Herausgebers eingefroren werden. Doch solche Maßnahmen erfolgen nicht in Echtzeit — und Angreifer wissen das. Studien in diesem Jahr zeigen, dass zwischen dem Diebstahl und der Einfriermöglichkeit oft ein Zeitfenster bleibt, das es Angreifern erlaubt, Gelder in nicht-einfrierbare Token wie DAI oder ETH zu tauschen oder durch Mixer zu schleusen. Genau das tun auch Address Poisoner. (cointelegraph.com)

Der übergeordnete Kontext 2025: Persönliche Wallets unter Druck

Ein Jahresrückblick von Chainalysis zeigt: Im Jahr 2025 wurden über 3,4 Milliarden Dollar durch Krypto-Diebstähle gestohlen — ein besonders starker Anstieg bei kompromittierten privaten Wallets, während DeFi-Angriffe vergleichsweise zurückgingen. Einige Großvorfälle erklären einen Großteil der Summe, doch auch „Kleinigkeiten“ wie Address Poisoning verursachen immer größere Schäden. (chainalysis.com)

Praxisleitfaden gegen Address Poisoning: erprobt, zuverlässig und umsetzbar

Nutzen Sie diese Checkliste für Transaktionen mit höheren Beträgen:

1. Überprüfen Sie die vollständige Adresse, nicht nur Anfang und Ende. Wenn Sie nicht jeden Buchstaben kontrollieren können, senden Sie nicht. MetaMask formuliert es klar: „Nie aus dem Transaktionsverlauf kopieren.“ (support.metamask.io)
2. Verwenden Sie ein Adressbuch bzw. eine Whitelist. Legen Sie verifizierte, benannte Kontakte für regelmäßige Empfänger an — und erlauben Sie Auszahlungen nur an diese.
3. Hardware-Bestätigung. Zeigen Sie das Ziel der Transaktion immer direkt auf Ihrer Hardware-Wallet an und bestätigen Sie dort. So umgehen Sie manipulierte Zwischenablagen oder korrumpierte Verlaufseinträge.
4. Verifizierung über externe Kanäle. Bei großen Beträgen sollte der Empfänger z. B. eine signierte Nachricht senden oder via sicherem Kanal (PGP, Signal) bestätigen.
5. Transaktionssimulation & Risikoprüfung. Nutzen Sie vertrauenswürdige Tools zur Vorabprüfung und zur Erkennung verdächtiger „to“-Adressen oder Fake-Berechtigungen.
6. ENS oder ähnliche Namensdienste können hilfreich sein — aber prüfen Sie trotzdem bei der Signatur, ob die Adresse zum zugewiesenen Kontakt passt.
7. SOPs für Teams & Institutionen. Duale Kontrolle bei Auszahlungen, Whitelistings und Screenshots der Hardware-Wallet bei jeder Freigabe.

Für OneKey-Nutzer

Wenn Sie OneKey verwenden, nutzen Sie folgende Schutzmechanismen:

• Kontrollieren Sie die Zieladresse stets auf dem OneKey-Display – so können Apps oder manipulierte Verlaufseinträge keine falsche Adresse einschleusen.
• Richten Sie im OneKey-Client Kontakte oder Whitelistings für regelmäßig genutzte Adressen ein – für größere Beträge sollten zusätzlich Mehrfach-Bestätigungen aktiviert werden.
• Halten Sie Firmware und App aktuell – die Open‑Source-Architektur von OneKey mit Attestierung hilft dabei, die Integrität Ihrer Software sicherzustellen.

Unverwundbar macht Sie das alles nicht — aber es erschwert einen Address-Poisoning-Angriff erheblich.

Fazit

Address Poisoning zeigt einmal mehr: Die größten Schwachstellen in der Krypto-Welt liegen oft nicht in der Technik, sondern im Verhalten der Nutzer. Der Fall mit 50 Mio. USDT beweist, wie ein einzelnes Copy&Paste eine ganze Existenz auslöschen kann. Wer größere Beträge bewegt, sollte misstrauisch denken: Behandeln Sie Adressen wie Bankverbindungen — prüfen Sie sie immer außerhalb des Systems und direkt auf Ihrer Hardware-Wallet.

Quellen: Rückblick des Vorfalls und On-Chain-Daten, Sicherheitstipps für Wallets sowie die Makrotrends 2025. Siehe Cointelegraph, Etherscan-Daten, MetaMasks Leitfaden zu Address Poisoning, EIP‑55, Chainalysis Bericht 2025 und chinesischsprachige Zusammenfassungen zu Wang Chun auf BlockBeats. (cointelegraph.com)

Wenn Sie noch keine Hardware-Wallet und klare Sicherheitsprozesse haben, ist jetzt der Zeitpunkt, beides zu etablieren. Für OneKey-Nutzer gilt: „Always verify on device“, speichern Sie vertrauenswürdige Kontakte und setzen Sie auf mehrstufige Prüfprozesse für Transaktionen — diese einfachen Maßnahmen neutralisieren das Kernprinzip von Address Poisoning effektiv.