Was ist DNS-Spoofing?
Warum eine scheinbar richtige Internetadresse trotzdem auf ein falsches Ziel führen kann
Definition
DNS-Spoofing ist ein Angriff, bei dem die Auflösung einer Internetadresse manipuliert wird, sodass Nutzer auf eine falsche Website oder einen falschen Dienst geleitet werden.
DNS-Spoofing (auch DNS Cache Poisoning) ist eine Angriffsform, bei der die Zuordnung zwischen Domainnamen und IP-Adressen manipuliert wird. Du tippst die richtige URL ein, landest aber auf einer gefälschten Seite. Im Krypto-Bereich ist DNS-Spoofing besonders gefährlich, weil DeFi-Protokolle über Web-Frontends bedient werden: Wer die Domain kapern kann, leitet Nutzer auf geklonte dApps mit Drainer-Smart Contracts um, ohne die eigentlichen Protokolle auf der Blockchain zu kompromittieren.
Die größten DNS-Angriffe auf Krypto-Plattformen
| Datum | Ziel | Methode | Schaden |
|---|---|---|---|
| April 2018 | MyEtherWallet | BGP-Hijack auf AWS Route 53 | ca. 150.000 USD in ETH |
| März 2021 | PancakeSwap, Cream Finance | DNS-Hijack über GoDaddy | Seed-Phrase-Phishing |
| August 2022 | Curve Finance | Nameserver kompromittiert | 612.724 USD (605.000 USDC + 6.700 DAI) |
| Februar 2022 | KLAYswap | BGP-Hijack mit gültigem Zertifikat | 1,9 Mio. USD |
| Juli 2024 | Compound, Celer, 120+ Protokolle | Squarespace-Registry-Angriff | Inferno Drainer Kit |
Off-Chain-Angriffe (inkl. DNS-Hijacking) machten 2024 insgesamt 56,5 % aller DeFi-Breaches und 80,5 % der gestohlenen Gelder aus. Das zeigt: Die Smart Contracts selbst sind oft sicher, die Schwachstelle liegt im Web2-Frontend.
Squarespace-Angriff 2024: 220 DeFi-Protokolle bedroht
Im Juli 2024 ereignete sich der bisher größte DNS-Angriff auf die Krypto-Branche. Nach der erzwungenen Migration von Google Domains zu Squarespace wurde die Zwei-Faktor-Authentifizierung entfernt. Alle migrierten Domains waren plötzlich verwundbar. Über 220 DeFi-Protokolle waren potenziell betroffen, darunter Compound Finance, dYdX, Polymarket, LooksRare und Aptos. Die Angreifer manipulierten DNS-A-Records und leiteten Nutzer auf geklonte dApps mit dem Inferno-Draining-Kit um. Celer Network konnte den Angriff durch ein eigenes Monitoring-System rechtzeitig abwehren. Der Vorfall zeigte, dass ein einzelner Registry-Anbieter zum Single Point of Failure für hunderte Protokolle werden kann.
BGP-Hijacking vs. DNS-Spoofing
DNS-Spoofing manipuliert die Namensauflösung: Deine Anfrage an "curve.fi" wird auf eine falsche IP-Adresse umgeleitet. BGP-Hijacking greift tiefer an und manipuliert die Internet-Routing-Tabellen selbst, sodass gesamter Traffic umgeleitet wird. Der MyEtherWallet-Angriff 2018 nutzte BGP-Hijacking auf Amazon-Route-53-Ebene, der KLAYswap-Angriff 2022 kombinierte BGP-Hijacking mit einem gültigen SSL-Zertifikat. Beide Vektoren werden zunehmend kombiniert ("Hybrid DNS Attacks"). Im Jahr 2025 wurde die Schwachstelle CVE-2025-40778 im BIND-9-DNS-Resolver entdeckt, die DNS-Record-Fälschung mit nur 1 bis 2 Paketen erlaubt.
DNSSEC und Schutzmaßnahmen
DNSSEC (Domain Name System Security Extensions) schützt die Integrität von DNS-Antworten durch kryptografische Signaturen. Die Adoption bleibt aber lückenhaft: Global validieren nur 35,4 % der DNS-Resolver DNSSEC-Signaturen, in der EU sind es 49,4 % (Q3 2025). Bei .com- und .net-Domains liegt die Signierungsrate auf Second-Level-Ebene bei nur 4 bis 5 %. Skandinavische Länder (.se, .no, .dk) führen mit 70 bis 75 %. ENS (Ethereum Name Service) unterstützt den Import von DNS-Domains (.com, .xyz, .art) via DNSSEC und verbindet so Web2-Domains mit Web3-Infrastruktur. Im Februar 2026 entschied sich ENS Labs, ENSv2 ausschließlich auf dem Ethereum Mainnet zu deployen, nachdem die Gas-Kosten um 99 % gesunken waren.
Schutz für Krypto-Nutzer
DNS over HTTPS (DoH) verschlüsselt DNS-Anfragen über HTTPS auf Port 443. Firefox aktivierte DoH standardmäßig, Chrome bietet es optional an. DNS over TLS (DoT) verschlüsselt auf Port 853 und erlaubt Netzwerk-Admins ein Monitoring. Cloudflare (1.1.1.1) und Google Public DNS unterstützen beide Protokolle. Für Krypto-Nutzer gelten zusätzliche Regeln: Bookmark die offiziellen URLs deiner DeFi-Protokolle, prüfe das SSL-Zertifikat vor jeder Wallet-Verbindung, nutze eine Hardware-Wallet mit Transaktions-Vorschau und bestätige große Transaktionen über einen zweiten Kanal (z. B. den offiziellen Discord). Die EU-Richtlinie NIS2 (Umsetzungsfrist Oktober 2026) verpflichtet DNS-Dienstanbieter und TLD-Registries zu verbindlichen Sicherheitsstandards. DORA ist seit Januar 2025 in Kraft und fordert digitale operationelle Resilienz für den Finanzsektor. Stand Juni 2025 haben erst 14 von 27 EU-Mitgliedstaaten NIS2 vollständig in nationales Recht umgesetzt. ENISA veröffentlichte im Juni 2025 technische Leitlinien zur Implementierung, die konkrete Anforderungen an DNS-Betreiber definieren. Für Krypto-Börsen innerhalb der EU bedeutet das: DNS-Infrastruktur muss dokumentiert, überwacht und gegen bekannte Angriffsvektoren abgesichert sein.
DNS-Spoofing greift nicht die Blockchain an, sondern das Web-Frontend davor. Dein Private Key ist nur sicher, wenn du ihn auf der echten Seite eingibst. Hardware-Wallets mit Transaktions-Vorschau schützen auch bei kompromittierten Frontends, weil du die Zieladresse auf dem Gerät selbst prüfen kannst.
Häufige Fragen zu DNS-Spoofing
Wie erkenne ich eine DNS-Spoofing-Attacke?
Achte auf ungewöhnliche SSL-Zertifikatswarnungen, leicht veränderte URLs und unerwartete Wallet-Genehmigungsanfragen. Wenn eine DeFi-Seite plötzlich nach deiner Seed Phrase fragt, ist das immer ein Warnsignal, kein legitimes Protokoll fragt danach.
Schützt ein VPN vor DNS-Spoofing?
Nur teilweise. Ein VPN verschlüsselt deinen Datenverkehr, nutzt aber oft eigene DNS-Server. Wenn diese kompromittiert werden, hilft das VPN nicht. Besser: DNS over HTTPS (DoH) mit Cloudflare oder Google DNS aktivieren und DNSSEC-Validierung einschalten.
Warum sind DeFi-Protokolle besonders anfällig?
Weil die Smart Contracts auf der Blockchain liegen, das Frontend aber auf normalen Web-Servern. Wer die Domain kontrolliert, kann eine gefälschte Oberfläche ausspielen, die Token-Approvals an Drainer-Adressen schickt. 2024 waren 56,5 % aller DeFi-Verluste auf solche Off-Chain-Angriffe zurückzuführen.
Verwandte Begriffe
Über die Autorin
Dr. Stephanie Morgenroth
Steffi ist promovierte Medizinerin, Krypto-Investorin seit 2021 und erreicht mit MissCrypto über 100.000 Menschen auf Social Media. Sie macht komplexe Themen wie Bitcoin, DeFi und Krypto-Steuern verständlich, ehrlich, unabhängig und ohne Hype.
Über Steffi →Risikohinweis: Meine Inhalte dienen ausschließlich zur Information und stellen keine Anlageberatung dar.
Diese Seite kann Affiliate-Links enthalten. Bei einem Kauf über diese Links erhalte ich eine Provision — du unterstützt meinen Kanal ohne Mehrkosten. Danke! ❤️