Drainer-Signaturen auf Perp-DEXs: Wie sie funktionieren und wie du sie erkennst

6. Mai 2026

Drainer-Angriffe gehören inzwischen zu den verlustreichsten Angriffsmustern im DeFi-Ökosystem. Aktuelle Untersuchungen von Chainalysis zeigen, dass sich Drainer-as-a-Service stark professionalisiert hat: Angreifer können fertige Toolkits abonnieren und damit gezielte Signature-Scams gegen Nutzer von Perpetual-DEXs starten.

Wenn du aktiv auf Plattformen wie Hyperliquid, dYdX oder GMX tradest, ist das Verständnis von Drainer-Signaturen ein wichtiger erster Schritt, um deine Assets besser zu schützen.

Was ist ein Drainer-Signature-Angriff?

Bei einem Drainer-Signature-Angriff wirst du durch Social Engineering oder Phishing dazu gebracht, eine Signatur zu bestätigen, die harmlos aussieht, tatsächlich aber eine Asset-Übertragung oder eine gefährliche Berechtigung autorisiert.

Anders als beim Diebstahl eines Private Keys nutzt ein Drainer legitime Autorisierungsmechanismen aus dem Ethereum-Ökosystem aus, darunter:

  • ERC-20 Approve: erlaubt einer Drittadresse, eine bestimmte Menge eines Tokens zu bewegen
  • EIP-2612 Permit: ermöglicht Token-Freigaben per Offchain-Signatur, ohne separate Onchain-Approve-Transaktion
  • EIP-712 strukturierte Datensignaturen: werden für verschiedene Arten strukturierter Autorisierungen genutzt
  • EIP-4337 Account Abstraction: kann Batch-Operationen und komplexere Autorisierungen ermöglichen

Diese Mechanismen sind im normalen DApp-Alltag sinnvoll und notwendig. Drainer missbrauchen jedoch ihre technische Komplexität, indem sie bösartige Berechtigungen wie normale DApp-Interaktionen aussehen lassen.

Besondere Risiken bei Perpetual-DEXs

Häufige Interaktionen schaffen riskante Gewohnheiten

Perp-Trader interagieren sehr oft mit DEX-Kontrakten: Position eröffnen, nachlegen, Margin anpassen, Funding abholen oder Orders verwalten. Viele dieser Aktionen erfordern Signaturen. Wer sehr häufig bestätigt, gewöhnt sich schnell daran, Signatur-Popups routinemäßig abzunicken — genau das nutzen Angreifer aus.

Große USDC-Approvals sind ein Hauptziel

Auf Perp-DEXs wie Hyperliquid müssen Nutzer oft größere USDC-Beträge für bestimmte Kontrakte freigeben. Ein Drainer kann auf einer Phishing-Seite eine ähnlich aussehende Approval-Anfrage anzeigen, aber die Zieladresse gegen eine vom Angreifer kontrollierte Adresse austauschen.

Wenn du nur „USDC freigeben“ siehst und nicht prüfst, welcher Contract die Freigabe erhält, kann im schlimmsten Fall ein großer Teil deiner Funds gefährdet sein.

Warum Permit-Signaturen besonders gefährlich sind

EIP-2612 Permit erlaubt eine Token-Freigabe per Offchain-Signatur statt über eine normale Onchain-Approve-Transaktion. Das bedeutet:

  • Die Signatur selbst erzeugt keine Onchain-Transaktion und kostet kein Gas.
  • In deiner Wallet-Historie erscheint zunächst keine offensichtliche „Approval“-Aktivität.
  • Der Angreifer kann die Signatur später selbst onchain einreichen und damit die Freigabe aktivieren.
  • Aus Nutzersicht ist oft erst dann sichtbar, dass etwas schiefgelaufen ist, wenn die Tokens bereits bewegt wurden.

Permit-Signaturen sehen für viele Nutzer ähnlich aus wie normale Login-Signaturen, etwa „Sign-In With Ethereum“. Deshalb gehören sie zu den schwerer erkennbaren Drainer-Methoden.

Technische Anatomie einer Drainer-Signatur

Eine typische EIP-712-Drainer-Signatur kann etwa so aufgebaut sein:

Typ: EIP-712 strukturierte Datensignatur

Domain:
  name: [Name des imitierten Protokolls]
  version: 1
  chainId: 1 oder 42161 oder eine andere Ziel-Chain
  verifyingContract: [Drainer-Contract-Adresse, getarnt als DEX-Contract]

Message:
  owner: [Adresse des Opfers]
  spender: [Drainer-Contract-Adresse]
  value: [gesamtes oder fast gesamtes Token-Guthaben]
  deadline: [Zeitstempel in der Zukunft]
  nonce: [aktueller Nonce-Wert]

Wenn deine Wallet diese Felder lesbar darstellt, kannst du verdächtige Details erkennen — zum Beispiel, dass verifyingContract oder spender nicht zur offiziellen Contract-Adresse des Protokolls passen. Zeigt die Wallet dagegen nur rohe Hex-Daten an, ist eine Prüfung für normale Nutzer praktisch kaum möglich.

So erkennst du Drainer-Signaturen: praktische Checkliste

Bevor du eine Signatur bestätigst, prüfe mindestens diese Punkte:

  • verifyingContract-Adresse: Stimmt sie exakt mit der offiziellen Contract-Adresse des DEX überein — inklusive jedes einzelnen Zeichens?
  • spender-Adresse: Bei Permit-Signaturen sollte der Spender ein Contract sein, den du eindeutig kennst und dem du vertraust.
  • value-Feld: Wird mehr freigegeben, als für die aktuelle Aktion nötig ist? Besonders kritisch sind Beträge nahe deinem gesamten Token-Bestand.
  • deadline-Feld: Ist die Frist plausibel? Normale Aktionen laufen oft in Minuten ab, nicht erst nach Jahren.
  • Quelle der Anfrage: Hast du die Aktion aktiv auf der offiziellen Website gestartet, oder ist das Signaturfenster plötzlich aufgetaucht?

OneKeys Schutzmechanismen gegen Drainer

Die OneKey Wallet bietet mehrere Funktionen, die dir beim Erkennen riskanter Signaturen helfen können:

  • Visualisierung von EIP-712-Signaturen: Strukturierte Signaturdaten werden lesbar aufbereitet, inklusive wichtiger Felder wie owner, spender und value, statt nur rohe Hex-Daten zu zeigen.
  • Risikohinweise zu Contract-Adressen: Bekannte bösartige Adressen können markiert und mit Warnungen versehen werden.
  • Transaktionssimulation: Bei Onchain-Approvals kann vor dem Signieren simuliert werden, was die Transaktion bewirkt — zum Beispiel: „Du gibst X USDC für Adresse Y frei.“
  • Warnungen bei großen Freigaben: Wenn eine Anfrage einen ungewöhnlich großen Anteil deiner Holdings betrifft, können zusätzliche Hinweise erscheinen.
  • Open-Source-Verifikation: Die OneKey GitHub-Repositories ermöglichen Sicherheitsforschern, Schutzlogik und Implementierung unabhängig zu prüfen.

Eine Hardware Wallet spielt bei der Drainer-Abwehr eine wichtige Rolle. Angreifer können Signaturen nicht einfach automatisieren, ohne dass du sie auf dem Gerät physisch bestätigst. Außerdem kann der Inhalt auf dem Hardware-Display nicht durch Malware auf deinem Computer manipuliert werden.

Wichtig bleibt aber: Auch eine Hardware Wallet schützt dich nicht, wenn du Inhalte blind bestätigst, die du nicht verstehst.

Zusätzlich solltest du regelmäßig mit Tools wie Revoke.cash prüfen, welche alten Approvals du auf DEXs und anderen DApps hinterlassen hast. Nicht mehr benötigte Berechtigungen solltest du widerrufen, um die Angriffsfläche zu reduzieren.

Bekannte Hochrisiko-Angriffswege

Drainer tauchen häufig in Situationen auf, in denen Nutzer schnell reagieren oder einer vertraut wirkenden Oberfläche folgen sollen. Typische Beispiele sind:

  • gefälschte Perp-DEX-Frontends oder gesponserte Suchergebnisse
  • falsche Airdrop-, Points- oder Claim-Seiten
  • Discord- und Telegram-Links, die wie Support- oder Admin-Nachrichten wirken
  • Wallet-Popups nach dem Besuch einer nicht verifizierten Trading-Seite
  • vermeintliche „Account Migration“- oder „Security Update“-Aufforderungen

Gerade bei Perps ist besondere Vorsicht nötig, weil Trader oft unter Zeitdruck handeln. Ein paar Sekunden Prüfung sind trotzdem günstiger als eine irreversible Fehlbestätigung.

Häufige Fragen

Q1: Was ist der Unterschied zwischen Permit und normalem Approve?

Approve ist eine Onchain-Transaktion, benötigt Gas und hinterlässt eine sichtbare Freigabe auf der Chain. Permit ist zunächst nur eine Offchain-Signatur. Sie kostet dich beim Signieren kein Gas und erscheint nicht wie eine von dir gesendete Transaktion in der Wallet-Historie. Die Gegenpartei kann sie später onchain einreichen. Für deine Asset-Sicherheit können beide Varianten gleich kritisch sein.

Q2: Was soll ich tun, wenn ich bereits eine verdächtige Signatur bestätigt habe?

Wenn es sich um ein Approve handelt, solltest du die Berechtigung sofort über Revoke.cash oder ein vergleichbares Tool widerrufen. Wenn es eine Permit-Signatur war, reicht ein Widerruf oft nicht aus, weil die Autorisierung bereits offchain signiert wurde. In diesem Fall kann es notwendig sein, die betroffenen Tokens sofort auf eine neue sichere Adresse zu übertragen. Zeit ist dabei entscheidend; oft bleiben nur wenige Minuten.

Q3: Kann ein Drainer trotz OneKey Hardware Wallet erfolgreich sein?

Eine Hardware Wallet erhöht die Hürde deutlich, weil jede Signatur physisch auf dem Gerät bestätigt werden muss und die Anzeige auf dem Gerät nicht durch Malware auf deinem Computer verändert werden kann. Wenn du aber eine gefährliche Signatur auf dem Gerät bestätigst, ohne sie zu verstehen, kann ein Angriff trotzdem erfolgreich sein. Der Schutz hängt also stark davon ab, ob du die angezeigten Informationen prüfst.

Q4: Was bedeutet Drainer-as-a-Service?

Drainer-as-a-Service beschreibt ein Geschäftsmodell, bei dem Drainer-Toolkits kommerzialisiert werden. Angreifer müssen die Infrastruktur nicht selbst entwickeln, sondern können fertige Kits abonnieren und teils gegen Umsatzbeteiligung einsetzen. Dadurch sinkt die technische Einstiegshürde, was zur Verbreitung solcher Angriffe beigetragen hat. Siehe dazu auch die Forschung von Chainalysis.

Q5: Schützen Perpetual-DEXs selbst vor Drainer-Angriffen?

Legitime Perp-DEXs können auf ihren offiziellen Frontends bekannte bösartige Adressen filtern oder Warnungen einbauen. Angreifer nutzen aber meist eigene Phishing-Seiten und umgehen damit genau diese Frontend-Schutzmechanismen. Wallet-seitiger Schutz, etwa Signatur-Parsing und Transaktionssimulation in OneKey, ist deshalb eine wichtige Schutzschicht, die auch außerhalb des offiziellen Frontends greifen kann.

Fazit: Sicherheit beginnt damit, jede Signatur zu verstehen

Drainer-Angriffe funktionieren vor allem deshalb, weil Nutzer Signaturen bestätigen, deren Inhalt sie nicht vollständig nachvollziehen. Gute Tools können dir helfen, Signaturen lesbarer zu machen und Risiken früher zu erkennen. Die letzte Entscheidung bleibt aber bei dir.

Wenn du auf Perp-DEXs aktiv bist, probiere die OneKey Wallet aus, nutze Signatur-Parsing und Transaktionssimulation bewusst und handle über OneKey Perps mit einer klareren Sicherheitsroutine. Lade OneKey herunter, richte deine Wallet sorgfältig ein und prüfe jede Signatur, bevor du sie bestätigst.

Risikohinweis: Dieser Artikel dient nur der Bildung und Information. Er ist keine Anlage-, Rechts- oder Sicherheitsberatung und keine Garantie für Schutz. Drainer-Methoden entwickeln sich ständig weiter, und Onchain-Assets sind nach einem Diebstahl in der Regel nicht wiederherstellbar. Handle nur, wenn du die Risiken verstehst. Krypto-Trading ist mit hohen Marktrisiken verbunden; Leverage-Trading kann zu Verlusten führen, die über dein eingesetztes Kapital hinausgehen.

Schützen Sie Ihre Kryptojourney mit OneKey

View details for OneKeyOneKey

OneKey

Die fortschrittlichste Hardware-Wallet der Welt.

View details for App herunterladenApp herunterladen

App herunterladen

Betrugsalarme. Alle Coins unterstützt.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Krypto-Klarheit – Eine Anruf entfernt.