Attack Vector: Die unsichtbare Gefahr
Wie Angreifer Schwachstellen nutzen
Definition
Ein Attack Vector (Angriffsvektor) ist der Weg, über den ein Angreifer in ein System eindringt. Im Krypto-Bereich reichen die Vektoren von Phishing und Social Engineering auf Nutzer-Ebene bis zu Smart-Contract-Exploits und Oracle-Manipulation auf Protokoll-Ebene.
Ein Attack Vector (Angriffsvektor) ist der Weg oder die Methode, über die ein Angreifer in ein System eindringt, um Schaden anzurichten, Daten zu stehlen oder Gelder zu entwenden. Im Krypto-Bereich sind Attack Vectors besonders kritisch, weil Blockchain-Transaktionen irreversibel sind: Gestohlene Coins sind in der Regel unwiederbringlich verloren. Das Verständnis der häufigsten Angriffsvektoren ist deshalb nicht nur für Entwickler relevant, sondern für jeden, der Kryptowährungen nutzt oder besitzt.
Die häufigsten Attack Vectors in Krypto
| Attack Vector | Ziel | Beispiel-Hack | Schaden | Schutzmaßnahme |
|---|---|---|---|---|
| Phishing | Nutzer (Private Keys) | Fake-Metamask-Websites | Variabel | URLs prüfen, Hardware-Wallet |
| Smart-Contract-Exploit | DeFi-Protokolle | Euler Finance (197 Mio. USD, 2023) | Millionen-Milliarden | Audits, Bug Bounties |
| 51%-Attacke | Blockchain-Konsensus | Ethereum Classic (2020) | ~5,6 Mio. USD | Hohe Hashrate/Stake |
| Flash-Loan-Attacke | DeFi-Preismechanismen | Pancake Bunny (45 Mio. USD, 2021) | Millionen | Oracle-Redundanz |
| Social Engineering | Team-Mitglieder | Ronin Bridge (625 Mio. USD, 2022) | Millionen-Milliarden | Multi-Sig, Schulungen |
| Reentrancy | Smart Contracts | The DAO Hack (60 Mio. USD, 2016) | Millionen | Checks-Effects-Interactions |
Angriffsvektoren auf Nutzer-Ebene
Die meisten Krypto-Verluste entstehen nicht durch ausgefeilte Hacks, sondern durch Angriffe auf den Menschen. Phishing ist mit Abstand der häufigste Angriffsvektor: Gefälschte Websites, die aussehen wie MetaMask, Uniswap oder Bitvavo, fordern dich auf, deine Seed Phrase einzugeben. Sobald du das tust, ist deine Wallet kompromittiert.
Wallet Drainer: Bösartige Smart Contracts, die du versehentlich genehmigst (Token Approval), können dein gesamtes Guthaben abziehen. Sie tarnen sich als NFT-Mints, Airdrops oder DeFi-Interaktionen. Schutzt: Vor jeder Signatur prüfen, was du genehmigst, und regelmäßig Token-Approvals über revoke.cash widerrufen.
SIM-Swap: Angreifer übernehmen deine Telefonnummer durch Social Engineering beim Mobilfunkanbieter. Wenn deine Börsen-Accounts per SMS-2FA gesichert sind, können sie sich einloggen und Coins abziehen. Schutz: Immer Authenticator-Apps (Google Authenticator, Authy) statt SMS-2FA verwenden.
Clipboard Hijacking: Malware auf deinem Computer ersetzt kopierte Krypto-Adressen durch die Adresse des Angreifers. Du denkst, du sendest an deine eigene Wallet, aber die Coins gehen an den Hacker. Schutz: Empfängeradresse nach dem Einfügen immer manuell prüfen, mindestens die ersten und letzten 6 Zeichen.
Angriffsvektoren auf Protokoll-Ebene
Smart-Contract-Exploits sind der teuerste Angriffsvektor im DeFi-Bereich. Fehler im Code ermöglichen es Angreifern, Gelder aus Protokollen abzuziehen. Die häufigsten Schwachstellen: Reentrancy-Bugs (The DAO, 2016), Logikfehler in der Preisberechnung (Euler Finance, 2023), und fehlerhafte Access Controls (Wormhole Bridge, 2022).
Oracle-Manipulation: DeFi-Protokolle nutzen Oracles wie Chainlink, um externe Preisdaten zu bekommen. Wenn ein Protokoll stattdessen einen einzigen DEX-Pool als Preisquelle nutzt, kann ein Angreifer per Flash Loan den Preis in diesem Pool manipulieren, das Protokoll zu falschen Trades zwingen und die Differenz einstreichen.
Sandwich Attacks: MEV-Bots scannen den Mempool nach großen Swaps. Sie platzieren eine Buy-Order vor deinem Trade (Front-Run), treiben den Preis hoch, und verkaufen direkt nach deinem Trade (Back-Run). Du zahlst einen schlechteren Preis, der Bot kassiert die Differenz. Schutz: Private Mempools (Flashbots Protect) oder niedrige Slippage-Tolerance.
Schutzmaßnahmen: Best Practices
Hardware-Wallet: Eine Hardware-Wallet wie Ledger oder Trezor schützt vor den meisten nutzer-seitigen Angriffsvektoren, weil der Private Key das Gerät nie verlässt. Selbst wenn dein Computer kompromittiert ist, können Coins nicht ohne physische Bestätigung am Gerät gesendet werden.
Multi-Sig: Für größere Beträge bietet eine Multi-Signature-Wallet zusätzliche Sicherheit: Mehrere Schlüssel müssen eine Transaktion genehmigen. DeFi-Protokoll-Treasuries nutzen typischerweise 3-von-5 oder 4-von-7 Multi-Sig-Setups.
Diversifikation der Verwahrung: Verteile deine Coins auf mehrere Wallets und Börsen. Wenn ein Angriffsvektor erfolgreich ist, verlierst du nur einen Teil, nicht alles. Eine sinnvolle Aufteilung: Hardware-Wallet für langfristige Bestände, Hot Wallet für aktive DeFi-Nutzung, Börse nur für kurzfristigen Handel.
Der größte Attack Vector bist du selbst. Über 80 % der Krypto-Verluste entstehen durch Phishing, falsche Approvals und gestohlene Seed Phrases, nicht durch ausgefeilte Protokoll-Hacks. Eine Hardware-Wallet, gesundes Misstrauen und regelmäßige Sicherheitschecks schützen vor den häufigsten Angriffen.
Häufige Fragen zu Attack Vectors
Was ist der häufigste Angriffsvektor bei Kryptowährungen?
Phishing ist der mit Abstand häufigste Angriffsvektor. Gefälschte Websites und Social-Media-Nachrichten verleiten Nutzer dazu, Seed Phrases einzugeben oder bösartige Smart Contracts zu genehmigen. Auf Protokoll-Ebene sind Smart-Contract-Exploits und Oracle-Manipulationen die teuersten Angriffsvektoren mit Einzelschäden in Hunderten Millionen Dollar.
Wie kann ich mich vor Krypto-Hacks schützen?
Die wichtigsten Schutzmaßnahmen: Hardware-Wallet für die Verwahrung nutzen, niemals Seed Phrases digital speichern oder online eingeben, Authenticator-Apps statt SMS-2FA verwenden, Token-Approvals regelmäßig über revoke.cash widerrufen, und Empfängeradressen immer manuell prüfen. Für DeFi-Nutzer: Nur auditierte Protokolle nutzen und Slippage-Toleranz niedrig halten.
Sind meine Coins auf einer Börse sicher vor Hacks?
Große Börsen wie Bitvavo, Kraken oder Coinbase investieren erheblich in Sicherheit und halten den Großteil der Kundengelder in Cold Storage. Das Risiko ist geringer als bei der eigenen Verwahrung ohne Hardware-Wallet, aber nicht null: Mt. Gox (2014), FTX (2022, Betrug) und andere Fälle zeigen, dass auch Börsen ausfallen können. Die sicherste Lösung ist eine Kombination aus Börse für aktiven Handel und Hardware-Wallet für langfristige Bestände.
Verwandte Begriffe
Wallet
Eine Wallet ist eine Software oder ein Gerät, das die kryptographischen Schlüssel für den Zugriff au...
Private Key
Ein Private Key ist eine geheime 256-Bit-Zahl, die die vollständige Kontrolle über Kryptowährungen a...
Seed Phrase
Eine Seed Phrase (auch Recovery Phrase oder Mnemonic Phrase) ist eine Reihe von 12 oder 24 zufällig ...
Über die Autorin
Dr. Stephanie Morgenroth
Steffi ist promovierte Medizinerin, Krypto-Investorin seit 2021 und erreicht mit MissCrypto über 100.000 Menschen auf Social Media. Sie macht komplexe Themen wie Bitcoin, DeFi und Krypto-Steuern verständlich, ehrlich, unabhängig und ohne Hype.
Über Steffi →Risikohinweis: Meine Inhalte dienen ausschließlich zur Information und stellen keine Anlageberatung dar.
Diese Seite kann Affiliate-Links enthalten. Bei einem Kauf über diese Links erhalte ich eine Provision — du unterstützt meinen Kanal ohne Mehrkosten. Danke! ❤️