ZachXBT deckt ein Netzwerk zur Manipulation sozialer Medien auf: Gefälschte „Kriegsnachrichten“ werden genutzt, um massenhaft Traffic in Krypto-Betrügereien von Hunderttausenden zu lenken

Am 23. März 2026 deckte der On-Chain-Investigator ZachXBT einen koordinierten Cluster von Accounts auf X auf, der angeblich angstgetriebene „Eilmeldungen“ (einschließlich kriegsbezogener Panik-Inhalte) fabriziert, um Aufmerksamkeit zu ernten – und diese Aufmerksamkeit dann auf Krypto-Betrugsprojekte umzuleitet. Laut Berichten von BlockBeats umfasst das Netzwerk mehr als 10 Accounts, greift häufig auf gekaufte Accounts mit einer bestehenden Follower-Basis zurück und nutzt mehrere Hilfskonten, um Beiträge zur gegenseitigen Verstärkung für Millionen von Aufrufen und hohes Engagement zu verbreiten.

Dies ist nicht nur ein weiteres „Crypto-Twitter-Drama“. Es ist ein wiederholbarer, industrialisierter Spielplan, der Social Engineering, KI-generierte Identitäten und die stets verfügbare Liquidität von Token-Märkten kombiniert – und Aufmerksamkeit mit hoher Geschwindigkeit in gestohlene Gelder verwandelt.

Was ZachXBT angeblich entdeckt hat: Ein koordinierter Aufmerksamkeits-Trichter

Basierend auf der Offenlegung, wie von BlockBeats zusammengefasst, sehen die Kernelemente der Operation wie folgt aus:

• Account-Akquisition als Infrastruktur: Betreiber kaufen ältere X-Accounts mit Followern, um sie dann in „Nachrichten“- oder „Nachrichtendienst“-Personas umzubenennen.
• Panik-Inhalte als Wachstumsmaschine: Beiträge werden für maximale emotionale Reaktion optimiert (Kriegseskalation, „drohende Katastrophe“, „dringende Enthüllung“, „letzte Chance zu handeln“).
• Gegenseitige Verstärkung zur Manipulation der Verbreitung: Ein Netz kleinerer Accounts reposten und antworten schnell, um die Geschwindigkeit aufzublasen und Beiträge in algorithmische Empfehlungsschleifen zu treiben (ein klassisches Muster von koordiniertem, unauthentischem Verhalten).
• KI-generierte „Menschen“ als Glaubwürdigkeits-Hüllen: Das Netzwerk nutzt Berichten zufolge KI-generierte Profilfotos und erfundene persönliche Hintergründe, um legitim und unabhängig zu erscheinen.
• Der Konvertierungsschritt: Sobald die Aufmerksamkeit gefesselt ist, leiten die Accounts die Nutzer zu „Gelegenheiten“ – typischerweise risikoreichen Starts, Vorverkäufen, „exklusiven Whitelists“, gefälschten Airdrops oder Links, die zu Wallet-leerenden Seiten führen.

Mit anderen Worten, der Betrug findet nicht nur auf der Blockchain statt. Der On-Chain-Diebstahl ist lediglich der letzte Schritt einer Off-Chain-Manipulationspipeline.

Warum das im Kryptobereich so gut funktioniert (und weiterhin funktioniert)

Kryptomärkte haben einige eingebaute Eigenschaften, die diese Kampagnen ungewöhnlich effektiv machen:

1. Informationen bewegen sich schneller als die Verifizierung Echtzeit-Feeds belohnen Geschwindigkeit. Betrüger nutzen dies aus, indem sie zuerst posten und Korrekturen später (wenn überhaupt) eintreffen lassen.

2. Wallet-Interaktionen sind unumkehrbar Sobald ein Nutzer eine bösartige Transaktion signiert, können Gelder in Sekundenschnelle verschwunden sein – oft schnell über verschiedene Ökosysteme hinweg gebrugt oder getauscht.

3. Narrative schaffen sofortige „Call-to-Action“-Momente Kriegspanik oder die Rahmung einer „globalen Krise“ ist wirkungsvoll, da sie Menschen zu dringenden Entscheidungen drängt: „jetzt absichern“, „das jetzt kaufen“, „jetzt Gelder verschieben“.

4. KI macht Persona-Farmen billig KI-generierte Bilder und Texte senken die Kosten für die Erstellung glaubwürdiger Identitäten im großen Stil. Chainalysis hat auch hervorgehoben, wie Betrüger zunehmend KI-gestützte Identitätsdiebstähle und Social Engineering in modernen Krypto-Verbrechen nutzen. Siehe: Chainalysis — Crypto Scams 2026.

Der moderne Betrugs-Stack: Vom viralen Post zum Wallet-Drain

Ein typischer „Social-Media-Manipulations“-Trichter im Jahr 2026 folgt oft dieser Sequenz:

1. Auslöser-Thema: Geopolitischer Konflikt, Sanktionen, Gerüchte über Börsen, „geleakte“ behördliche Maßnahmen
2. Virales Framing: „BREAKING“, „unbestätigte Berichte“, „sofort handeln“, Doom-Posting
3. Vertrauensgerüst: KI-Headshots, falscher „Analysten“-Ton, Screenshots, erfundene Qualifikationen
4. Distribution-Hacking: koordinierte Reposts + Antwort-Schwärme + Zitat-Tweet- Brigaden
5. Monetarisierung:
   • gefälschte Presale-Adressen
   • Phishing-Links, die als Claim-Seiten getarnt sind
   • bösartige dApps, die unbegrenzte Genehmigungen anfordern
   • „Support“-Identitätsdiebstahl in DMs

Dies ist der Grund, warum „Krypto-Betrügereien“ heutzutage oft zuerst Marketingoperationen sind – und technische Angriffe erst danach.

Rote Flaggen: So erkennen Sie diese Netzwerke auf X, bevor sie Ihr Wallet erreichen

Wenn Sie sich nur an eines erinnern: Panik ist ein Produkt. Behandeln Sie es wie eine Anzeige, bis das Gegenteil bewiesen ist.

Praktische Warnzeichen:

• Umetikettierte Accounts: plötzliche Änderungen des Benutzernamens, der Biografie, des Posting-Stils oder der Sprache
• Übermäßiger Einsatz von Dringlichkeit: „nur noch Minuten“, „letzte Chance“, „bevor es zu spät ist“
• Engagement wirkt „zu synchronisiert“: dieselbe kleine Gruppe von Accounts pusht jeden Beitrag innerhalb von Sekunden
• Keine überprüfbaren Quellen: keine Primärdokumente, keine seriösen Medien, nur Screenshots von Screenshots
• Druck außerhalb der Plattform: „DM für Details“, „trete Telegram bei, um Alpha zu erhalten“, „verifizieren, um zu beanspruchen“
• Finanzieller CTA mit Angst verbunden: „Krieg kommt – kaufe diesen Token zur Absicherung“

Wenn Sie diese Muster sehen, gehen Sie davon aus, dass das Ziel nicht darin besteht, Sie zu informieren – sondern Sie zu bewegen.

Eine Sicherheitscheckliste für Nutzer 2026 (die tatsächlich widerspiegelt, wie Menschen betrogen werden)

Sicherheitsratschläge scheitern oft, weil sie zu allgemein sind. Hier ist eine Checkliste, die widerspiegelt, wie soziale Manipulation zu Verlusten führt.