Was sind Sweeping-Bots?

LeeMaimaiLeeMaimai
/14. Okt. 2025
Was sind Sweeping-Bots?

Schlüssel-Ergebnisse

• Sweeping-Bots nutzen Mempool-Überwachung und hohe Gebühren, um kompromittierte Wallets blitzschnell zu leeren.

• Haupt-Risiken sind geleakte Schlüssel, unbegrenzte Genehmigungen und Phishing-Angriffe.

• Regelmäßige Überprüfung und Widerruf von Token-Genehmigungen sind entscheidend für die Sicherheit.

• Private Transaktionsflüsse und Account-Abstraction-Wallets bieten besseren Schutz gegen Sweeping-Bots.

• Hardware-Wallets wie OneKey erhöhen die Sicherheit durch offline gespeicherte Schlüssel und klare Signierung.

Sweeping-Bots sind automatisierte Programme, die Blockchain-Aktivitäten überwachen und sofort Vermögenswerte von einer Zieladresse "wegschnappen", sobald dort Guthaben eingeht. Im Bereich der Kryptosicherheit werden sie meist von Angreifern eingesetzt, die bereits Zugang zu einem privaten Schlüssel oder übermäßigen Token-Berechtigungen eines Opfers haben. Die Bots setzen auf Geschwindigkeit, Automatisierung und Einsicht in den Mempool, um Gelder abzuziehen, bevor das Opfer reagieren kann.

In diesem Artikel erklären wir, wie Sweeping-Bots funktionieren, warum sie so effektiv sind, welche Angriffsmuster du kennen solltest und welche praktischen Schutzmaßnahmen du ergreifen kannst.

Wie Sweeping-Bots funktionieren

  • Überwachung des Mempools: Auf öffentlichen Blockchains wie Ethereum befinden sich ausstehende Transaktionen zunächst im öffentlichen Mempool, bevor sie in einen Block aufgenommen werden. Angreifer betreiben Bots, die kontinuierlich überwachen, ob Gelder an kompromittierte Wallets gesendet oder Berechtigungen zur Nutzung gesetzt werden. Entdecken sie ausbeutbare Aktivitäten, reichen sie sofort eine konkurrierende Transaktion mit höheren Gebühren ein, um dem Opfer zuvorzukommen. Weitere Infos zu Transaktionen und dem Mempool findest du in der Ethereum-Entwicklerdokumentation.

  • Anpassung von Priority Fees und Gaspreisen: Seit Ethereum EIP‑1559 eingeführt hat, enthalten Transaktionen ein Prioritätsentgelt (Tip), um Miner bzw. Block-Builder zu incentivieren. Sweeping-Bots erhöhen diese Gebühren dynamisch, um ehrliche Transaktionen zu überbieten oder fügen private Transaktionen gebündelt ein, um eine garantierte Aufnahme zu erreichen. EIP‑1559 im Überblick

  • MEV-Techniken: Einige Sweeping-Strategien überschneiden sich mit den Methoden zur maximal extrahierbaren Wertschöpfung (MEV, Maximal Extractable Value). Dabei werden Transaktionen umsortiert, eingefügt oder ersetzt, um Profit zu erzielen. Nicht alle MEV-Aktivitäten sind bösartig, doch Angreifer nutzen ähnliche Methoden – etwa das gezielte Front-Running von Genehmigungen oder Einzahlungen. Weiterführende Informationen zu MEV und Flashbots-Dokumentation

Kurz gesagt: Wenn ein Bot irgendeinen Zugang hat, um von deiner Adresse Gelder auszugeben – beispielsweise einen privaten Schlüssel, eine unbegrenzte Token-Freigabe oder eine unterzeichnete Genehmigung – wird er auf jeglichen Geldeingang warten und diesen sofort abziehen.

Häufige Angriffspfade von Sweeping-Bots

  • Kompromittierte Schlüssel und Seed-Phrasen: Wenn ein privater Schlüssel oder eine Seed-Phrase öffentlich bekannt wird, ist die Adresse für Angreifer "heiß". Jede spätere Einzahlung wird mit hoher Wahrscheinlichkeit innerhalb von Sekunden abgesaugt.

  • Gefährliche Genehmigungen bei ERC‑20 und NFTs:

    • Unbegrenzte Freigaben: Viele DeFi-Protokolle fordern unbegrenzte Genehmigungen, wodurch eine Drittpartei sämtliche Token verwalten darf. Angreifer nutzen dies, indem sie dich z. B. zur Genehmigung eines schädlichen Smart Contracts verleiten oder alte Genehmigungen reaktivieren.
    • setApprovalForAll bei NFTs: Eine einzige Signatur kann einen betrügerischen Marktplatz berechtigen, deine NFTs zu übertragen.
    • Permit-Signaturen (EIP‑2612): Off-Chain-Signaturen können eine Ausgabeberechtigung setzen. Unseriöse Webseiten fordern dich dazu auf, eine scheinbar harmlose Genehmigung zu unterzeichnen, die später missbraucht wird. EIP‑2612 (permit)

  • Phishing und Drainer-as-a-Service: Angreifer bauen täuschend echte dApps oder verschicken Airdrops, die Signaturen erfordern und dabei gefährliche Berechtigungen setzen. Oder sie animieren dich, deine Seed-Phrase in eine unsichere Wallet-App zu importieren – anschließend überwacht ein Sweeping-Bot die Adresse. Hinweise zur Erkennung findest du in CISAs Phishing-Leitfaden.

  • Address Poisoning: Angreifer senden 0-Wert-Transaktionen mit ähnlich aussehenden Adressen in deine Historie, in der Hoffnung, dass du später versehentlich die falsche Adresse verwendest. Das ist kein direkter Sweep-Angriff, wird aber oft zur Ablenkung vor einem Diebstahl genutzt. Allgemeine Infos zu Front-Running findest du hier.

Warum Sweeping-Bots so effektiv sind

  • Geschwindigkeit: Die Bots agieren rund um die Uhr und reichen Transaktionen sofort mit hohen Gebühren ein.
  • Transparenz: Mempool-Daten und Token-Genehmigungen sind öffentlich und leicht zugänglich.
  • Automatisierung: Angreifer haben organisierte Listen kompromittierter Adressen und leeren diese systematisch über verschiedene Netzwerke hinweg.
  • Geringer Widerstand: Ein einmal gesetzter Zugang – sei es durch Schlüssel oder Genehmigung – ermöglicht ständiges Ausnutzen.

Wichtige Entwicklungen 2025

  • Private Transaktionsflüsse & Schutz-RPCs: Immer mehr Wallets unterstützen private Transaktionen, die nicht im öffentlichen Mempool erscheinen. Das hilft gegen Front-Running, allerdings nutzen auch Angreifer diese Kanäle. Wer Mittel "retten" möchte, sollte verstehen, wie Flashbots und private Relays funktionieren. Flashbots-Dokumentation

  • Account Abstraction & Ausgabenkontrollen: Smart Wallets auf Basis von ERC‑4337 ermöglichen tägliche Limits, Session-Keys und fein abgestufte Genehmigungen. Selbst bei einem kompromittierten Gerät kann das Sweeping verhindert werden, da Genehmigungen auf Wallet-Ebene reguliert sind. ERC‑4337 im Überblick

  • Neue Signaturmuster: Vorschläge wie EIP‑7702 sollen die Sicherheit und Funktionalität von Accounts verbessern. Beobachte, wie neue Standards Auswirkungen auf Signaturen haben – und passe deine Sicherheitsgewohnheiten an. EIP‑7702

Wie du dich schützen kannst

  • Genehmigungen minimieren

    • Erteile möglichst nur präzise Freigaben – keine unbegrenzten!
    • Überprüfe regelmäßig deine Token-Genehmigungen:

  • Sicher unterschreiben

    • Lies dir vor der Genehmigung Details zu Empfänger und Höhe genau durch.
    • Unterzeichne keine „permit“-Nachrichten, außer du vertraust der dApp vollständig und verstehst Ablaufdatum, Nonce und Empfänger.
    • Deaktiviere nach Möglichkeit blindes Signieren, um Vertragsdaten einsehen zu können.

  • Private Transaktionsflüsse nutzen

    • Beim Umzug von Geldern aus gefährdeten Wallets solltest du den öffentlichen Mempool vermeiden, z. B. über einen privaten RPC oder Relayer. Flashbots-Doku

  • Risiken räumlich trennen

    • Verwahre langfristige Anlagen und aktive DeFi-Nutzung getrennt.
    • Nutze Smart Wallets mit täglichen Ausgabelimits oder Richtlinienkontrolle per Account Abstraction. ERC‑4337

  • Phishing erkennen & vermeiden

    • Überprüfe URLs, Smart Contracts und Berechtigungen genau.
    • Verwende Sicherheits-Erweiterungen und Listen vertrauenswürdiger Webseiten. Importiere niemals Seeds in unbekannte Apps. Leitfaden: Phishing erkennen

Was tun bei kompromittierter Adresse

Falls du vermutest, dass ein Sweeping-Bot deine Adresse überwacht:

  • Schicke keine Mittel direkt an die kompromittierte Wallet: Diese würden sofort abgesaugt.
  • Nutze private Transaktionsflüsse: Wenn möglich, sende eine gebündelte Transaktion (z. B. via Flashbots), die Einzahlung und Auszahlung gleichzeitig enthält – ohne im öffentlichen Mempool zu erscheinen. Dafür wird oft spezialisierte Software oder professionelle Unterstützung benötigt. Flashbots-Anleitung
  • Widerrufe riskante Genehmigungen zuerst: Wenn das Problem nicht beim Schlüssel, sondern bei den Freigaben liegt, könntest du diese zunächst über einen privaten RPC-Weg widerrufen. Danach kannst du sicherer Einzahlungen tätigen und abziehen. Token Approval Checker und Revoke.cash
  • Wechsle zu einer neuen Adresse: Erstelle eine neue Wallet, prüfe dein Systemumfeld und ziehe deine Mittel erst um, wenn du sicher bist, dass keine schädlichen Genehmigungen oder Signaturen bestehen.

Sind alle Sweeping-Bots böse?

Nicht jeder Bot, der Transaktionen „jagt“, handelt böswillig. Viele MEV-Bots führen Arbitrage oder Liquidationen durch, die zur Markteffizienz beitragen. Der Unterschied besteht darin, dass Angriffs-Bots gestohlene Schlüssel oder Missbrauch von Genehmigungen nutzen, um Werte ohne dein Einverständnis abzugreifen. Die technischen Grundlagen – Mempool-Überwachung, Prioritätsgebühren, Transaktionsreihenfolge – können sowohl für legitime als auch für kriminelle Zwecke verwendet werden. Sicherheit bedeutet daher nicht nur, wer deine Transaktionen sieht, sondern vor allem, wer in deinem Namen Mittel bewegen darf.

Hinweis zu Hardware-Wallets

Hardware-Wallets senken die Angriffsfläche erheblich, da private Schlüssel offline gespeichert werden und Signaturen eine physische Bestätigung brauchen. Wenn du eine Hardware-Wallet wie OneKey nutzt, profitierst du von:

  • Offline-Schlüssel und klare Signierung: Transaktionsdetails wie Spender und Betrag werden angezeigt, sodass du schädliche Genehmigungen erkennst.
  • Transparente Software & Multi-Chain-Support: Du kannst ERC‑20-Freigaben und NFT-Berechtigungen über mehrere Netzwerke hinweg verwalten – für eine gute Genehmigungshygiene.
  • Sichere Einrichtung & Passphrase-Funktion: Selbst wenn dein Computer kompromittiert ist, lassen sich Schlüssel bei korrekter Konfiguration nicht herauslesen.

Da Sweeping-Bots auf kompromittierte Schlüssel und leichtfertige Genehmigungen setzen, bist du mit einem sicheren, offline agierenden Signierer sowie bewusster Genehmigungskontrolle deutlich besser geschützt. Wenn du deine Infrastruktur absichern willst, solltest du über eine OneKey Hardware-Wallet und regelmäßige Überprüfungen deiner Freigaben nachdenken.

Wichtigste Erkenntnisse

  • Sweeping-Bots leeren blitzschnell kompromittierte oder überautorisierte Wallets mithilfe von Mempool-Überwachung und hohen Gebühren. Ethereum Transaktionen und EIP‑1559
  • Haupt-Risiken sind geleakte Schlüssel, unbegrenzte Genehmigungen, Permit-Signaturen und Phishing. Freigaben regelmäßig prüfen & widerrufen. Token Approval Checker und Revoke.cash
  • Private Transaktionsflüsse und Account-Abstraction-Wallets gewinnen 2025 an Bedeutung – für besseren Schutz & mehr Kontrolle. Flashbots-Doku und ERC‑4337 Übersicht
  • Hardware-Wallets wie OneKey in Verbindung mit sicherem Signieren und gesundem Freigabemanagement bieten starken Schutz gegen Sweeping-Bots im Alltag.

Schützen Sie Ihre Kryptojourney mit OneKey

View details for OneKeyOneKey

OneKey

Die fortschrittlichste Hardware-Wallet der Welt.

View details for App herunterladenApp herunterladen

App herunterladen

Betrugsalarme. Alle Coins unterstützt.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Krypto-Klarheit – Eine Anruf entfernt.

Weiterlesen