Erkennung und Unterbindung von Approval Phishing: Compliance- und Ermittlungs-Playbook
On-Chain-Betrug hat 2025 mindestens 14 Milliarden US-Dollar eingebracht, wobei Approval Phishing im Zentrum vieler Anlagebetrugsfälle steht. Der Mechanismus ist täuschend einfach: Ein Opfer klickt auf „Approval“ in der Annahme, eine Routine-Transaktion durchzuführen, aber die Autorisierung gibt einem böswilligen Akteur die vollständige Kontrolle über sein Wallet. Was diese Typologie für Compliance-Teams besonders gefährlich macht, ist, dass Betrüger systematisch Wallets, Spender-Verträge und Auszahlungswege über mehrere Opfer hinweg wiederverwenden – ein einzelner identifizierter Fall ist fast immer der Einstieg in ein viel größeres Netzwerk.
Die Chainalysis-Ermittler Seth DuBois und Renato Bastos haben kürzlich einen Live-Fall von Approval Phishing in der Webinar-Reihe Chain of Thought des Unternehmens durchgespielt und dabei Social-Engineering-Indikatoren, On-Chain-Mechaniken und das Unterbindungs-Playbook hinter zwei großen Strafverfolgungsoperationen behandelt. Das Folgende stützt sich auf diese Sitzung, um Compliance-Beauftragten, Prüfern und Teams für digitale Vermögenswerte einen strukturierten Überblick über die Bedrohung und eine wiederholbare Reaktion zu geben.
Die Zahlen hinter der Typologie
Umfang und Rentabilität im Jahr 2025
Daten von Chainalysis zeigen, dass On-Chain-Betrug im Jahr 2025 mindestens 14 Milliarden US-Dollar generierte, wobei diese Zahl voraussichtlich auf 17 Milliarden US-Dollar steigen wird, wenn weitere illegale Adressen zugeordnet werden. Zwei Datenpunkte sind für Risikobewertungen besonders relevant: Die durchschnittliche Zahlung an eine einzelne Betrugsadresse stieg im Jahresvergleich um 253 %, was darauf hindeutet, dass Betrüger selektiver und geduldiger gegenüber einzelnen Zielen werden. KI-gestützter Betrug war 4,5-mal profitabler als Betrug ohne KI – eine Lücke, die die Kosten für Social Engineering drastisch senkt.
Anlagebetrug blieb die dominierende Kategorie, und Approval Phishing ist die On-Chain-Ausführungsebene für viele dieser Fälle. Unternehmen, die auf Krypto-Buchhaltungssoftware zur Überwachung von Kunden- oder Gegenparteiströmen angewiesen sind, müssen verstehen, dass die Approval-Transaktion selbst völlig routinemäßig aussehen kann, bis der Abfluss stattfindet.
Wie Approval Phishing funktioniert
Der Social-Engineering-Aufbau
Dem technischen Exploit geht in der Regel eine anhaltende Social-Engineering-Kampagne voraus. Chainalysis-Ermittler stellen fest, dass die menschlichen Signale über Fälle hinweg konsistent sind und jeder einzelne ein Punkt ist, an dem ein Compliance-Experte, ein Betrugsbekämpfungsteam oder eine regulierte Börse eingreifen kann, bevor der On-Chain-Angriff stattfindet.
Vier Muster treten wiederholt auf:
- Opfer wiederholen einstudierte, allgemeine Phrasen über „persönliche Nutzung“ oder „Wertspeicherung“, können die zugrunde liegende Anlage aber nicht im Detail erklären.
- Opfer werden von regulierten Börsen weg in Self-Custody-Wallets geleitet, wobei das Börsenkonto nur als Durchlauf für Gelder dient.
- Ein angeblicher Berater kontrolliert jeden Schritt, verlangt Echtzeit-Screenshots und drängt auf schnelle Ausführung, um psychologischen Druck aufrechtzuerhalten.
- Plötzliche große Überweisungen treffen von Kunden ein, die zuvor keine Aktivitäten mit digitalen Vermögenswerten hatten.
Jedes dieser Signale allein rechtfertigt eine verstärkte Due Diligence. Alle vier zusammen sind ein nahezu sicherer Indikator für eine aktive Viktimisierung.
Die On-Chain-Mechanik
Sobald das Opfer auf „Approve“ klickt, hält der Betrüger eine dauerhafte Autorisierung, das Wallet zu jedem von ihm gewählten Zeitpunkt zu leeren. Er kann sofort handeln oder warten, bis das Opfer frische Gelder von einer Börse einzahlt. Wenn er dann handelt, werden gestohlene Kryptowährungen schnell durch eine Reihe von Wallets, über Brücken und in Einzahlungsadressen von Börsen geleitet, um in Fiat oder weniger nachverfolgbare Vermögenswerte umgewandelt zu werden.
Die Transaktionen sind irreversibel. Das ist jedoch nicht das Ende der Geschichte. Da Betrüger Gelder durch dieselben Konsolidierungs-Wallets leiten, dieselben Spender-Verträge wiederverwenden und an denselben Börsen-Einzahlungsadressen über viele Opfer hinweg auszahlen, generiert jeder Fall Intelligenz, die sofort auf den nächsten anwendbar ist. Wie Renato Bastos es ausdrückte: „Weil die Kriminellen die Infrastruktur wiederverwenden, wird die Typologie zu einer Abfrage, die Sie automatisieren können.“
Für Teams, die digitale Asset-Buchhaltungssoftware zur Abstimmung von On-Chain-Aktivitäten verwenden, ist das zu beobachtende Signal einfach: Die Adresse, die die Gelder ausgibt, ist nicht die Adresse, die sie besitzt. Diese Diskrepanz, abgeglichen mit bekannten Drain-Ziel-Wallets, ist der operative Auslöser für ein Eingreifen.
Wie koordinierte Unterbindung aussieht
Operation Spincaster
Im Jahr 2024 startete Chainalysis die Operation Spincaster, bei der Strafverfolgungsbehörden und private Teilnehmer aus sechs Ländern zusammenkamen. In mehreren Sprints wurden über 7.000 Hinweise verarbeitet, die den Ermittlern halfen, geschätzte Verluste von 162 Millionen US-Dollar zu unterbinden. Entscheidend ist, dass ein potenzielles Opfer vor dem Abfluss gewarnt wurde, sodass die Strafverfolgungsbehörden die Zustimmung des Betrügers widerrufen konnten, bevor sechsstellige Kryptobeträge verloren gingen. Folgeaktionen in Delta, Kanada, einer Stadt mit rund 100.000 Einwohnern, führten zur Einfrierung, Beschlagnahme und Rückgabe von Opfergeldern.
Operation Atlantic
Die Operation Atlantic, geleitet von der britischen National Crime Agency zusammen mit dem US Secret Service, der Ontario Provincial Police und der Ontario Securities Commission, mit Chainalysis als Lieferant von On-Chain-Intelligence, identifizierte über 20.000 Opfer im Vereinigten Königreich, Kanada und den USA. Die Operation fror über 12 Millionen US-Dollar an mutmaßlichen kriminellen Erlösen ein und verfolgte weitere 45 Millionen US-Dollar bis zu verwandten Systemen. Die Ermittler nutzten On-Chain-Daten, um gefährdete Wallets zu identifizieren und die Social-Engineering-Kette zu unterbrechen, bevor der technische Exploit abgeschlossen werden konnte.
Beide Operationen veranschaulichen das gleiche Prinzip: Da die kriminelle Infrastruktur wiederverwendet wird, schafft ihre einmalige Kartierung eine dauerhafte Erkennungsfähigkeit, die sich über Opfer, Gerichtsbarkeiten und Zeit erstreckt.
Diese Dynamik der Infrastrukturwiederverwendung ist direkt relevant für die Qualität und Due Diligence von Blockchain-Analysedaten: Der Beweiswert der On-Chain-Zuordnung hängt davon ab, wie zuverlässig eine Plattform Adressen Clustern und Entitäten zuordnet. Es lohnt sich auch, Approval Phishing im breiteren illegalen Ökosystem zu verorten; für den Kontext, wie groß angelegte Betrugsinfrastruktur funktioniert, siehe unsere Berichterstattung über das Huione Group und AML-Risiken auf illegalen Marktplätzen.
Vier-Punkte-Compliance-Reaktion
Aufbau von Erkennung in den laufenden Betrieb
Die Chainalysis-Sitzung destillierte die operative Reaktion in vier Schritte, die direkt in die Gestaltung von Compliance-Programmen übersetzt werden.
1. Integration der Typologie in die automatisierte Überwachung. Approval Phishing sollte nicht erst dann auftauchen, wenn ein Opfer eine Meldung einreicht. Die Diskrepanz zwischen Ausgeber und Eigentümer ist maschinell erkennbar. Die Integration in Transaktionsüberwachungsregeln bedeutet, dass das Risiko nahezu in Echtzeit gemeldet wird, nicht erst Wochen nach dem Abfluss.
2. Kartierung des gesamten Phishing-Clusters, nicht nur der präsentierten Adresse. Wenn eine gemeldete Adresse identifiziert wird, sollte die Reaktion sofort auf die Konsolidierungs-Wallets und Spender-Verträge umschwenken, die sie mit anderen Fällen teilt. Diese Erweiterung dehnt den Umfang von einem Opfer auf ein Netzwerk aus und ermöglicht proaktive Warnungen an andere gefährdete Kunden oder Gegenparteien.
3. Anbindung an Krypto-Bank-Koordinationskanäle. Der Auszahlungsschritt ist der am stärksten störbare Punkt. In den USA ermöglichen Informationsweitergaberegeln nach Section 314(b) Banken und Börsen, Informationen auszutauschen und Einfrierungen zu koordinieren, bevor Gelder in Fiat umgewandelt werden. Compliance-Teams sollten aktive 314(b)-Beziehungen haben und wissen, welche Börsenkontakte anzurufen sind. Ähnliche Koordinationsrahmen existieren im Vereinigten Königreich und in Kanada über bestehende Kanäle der Financial Intelligence Units.
4. Aufbau interner Expertise durch dokumentierte Playbooks. Erkennung wird wiederholbar, wenn Ermittler dokumentieren, was sie gefunden haben, wie sie es gefunden haben und wie die On-Chain-Signaturen aussahen. Jeder Fall vergrößert das institutionelle Wissen. Die Schulung von Betrugsbekämpfungs- und Compliance-Mitarbeitern zur Typologie und die regelmäßige Aktualisierung dieser Schulungen, wenn sich die Taktiken weiterentwickeln, verwandelt eine reaktive in eine proaktive Fähigkeit.
Rote Flaggen für kundennahe Teams
Wann bei einem Privat- oder Firmenkunden eingegriffen werden sollte
Seth DuBois skizzierte eine praktische Checkliste für kundennahe Mitarbeiter. Jedes der folgenden Punkte sollte eine Pause und ein Gespräch über das Wohlbefinden auslösen, bevor eine Transaktion verarbeitet wird:
- Der Kunde kann die Anlage, die er finanziert, nicht in einfachen Worten erklären.
- Eine andere Person ist am Telefon oder leitet die Handlungen des Kunden in Echtzeit.
- Es besteht Dringlichkeit: Der Kunde sagt, er müsse das Geld sofort senden, sonst verpasse er eine Gelegenheit.
- Das Ziel ist ein Self-Custody-Wallet, das der Kunde kürzlich auf Anweisung eines Beraters eingerichtet hat.
- Die Transaktion ist im Verhältnis zum historischen Profil des Kunden groß.
Diese Verhaltensweisen sind nicht krypto-spezifisch. Es sind die gleichen Nötigungs- und Drucksignale, die Teams zur Bekämpfung von Finanzkriminalität bei Überweisungsbetrug und autorisierten Push-Zahlungsbetrügereien zu erkennen gelernt haben. Der Kanal ist anders; das menschliche Muster ist es nicht. Für Firmen, die Krypto-Buchhaltungssoftware zur Verfolgung von Kundenströmen verwenden, rechtfertigt eine ungewöhnliche Transaktion, die dem obigen Profil entspricht, einen Anruf, bevor sie abgewickelt wird, nicht eine Überprüfung danach.
Auswirkungen auf das Compliance-Programm
Approval Phishing ist keine Nischen- oder exotische Bedrohung. Bei 14 Milliarden US-Dollar und steigend stellt es eine wesentliche Gefährdung für jedes Unternehmen dar, das mit digitalen Vermögensströmen in Berührung kommt: Börsen, Verwahrer, Banken mit kryptoaktiven Kunden und die Buchhaltungs- und Prüfungspraxen, die sie betreuen. Die gute Nachricht ist, dass dieselbe Wiederverwendung von Infrastruktur, die den Betrug skalierbar macht, ihn auch systematisch erkennbar macht.
Für Compliance-Programme sind die Prioritäten klar: Automatisieren Sie die Typologieerkennung, bauen Sie Cluster-Mapping in Ermittlungs-Workflows ein, aktivieren Sie Informationsweitergabekanäle, bevor ein Abfluss abgeschlossen ist, und stellen Sie sicher, dass Frontline-Mitarbeiter die Social-Engineering-Vorläufer erkennen können. Diese Schritte zusammen bewegen die Reaktion von reaktiv zu wirklich störend.
Für einen breiteren Überblick darüber, wie On-Chain-Intelligence in die Krypto-Compliance-Berichterstattung integriert wird, behandelt der Säulenabschnitt die Datenarchitektur und Berichtspflichten, die dieser Art von ständiger Fähigkeit zugrunde liegen.
Quelle: Chainalysis
FAQ
Bei einem Standard-Wallet-Kompromiss erlangt ein Angreifer Zugriff auf den privaten Schlüssel des Opfers. Beim Approval Phishing wird der Schlüssel des Opfers nie gestohlen. Stattdessen wird das Opfer dazu verleitet, eine Transaktion zu signieren, die einem böswilligen Vertrag das Recht einräumt, Gelder aus seinem Wallet auszugeben. Der Betrüger kann das Wallet dann jederzeit leeren, ohne dass das Opfer weiter interagieren muss. Der Exploit nutzt eine legitime Blockchain-Funktion, den Token-Approval-Mechanismus, in betrügerischer Weise.
Das primäre Signal ist eine Diskrepanz zwischen der Adresse, die die Gelder besitzt, und der Adresse, die die Ausgabe initiiert. Wenn eine Adresse, die keine Gelder direkt erhalten hat, beginnt, Token von einer anderen Adresse zu bewegen, wird der Approval-Mechanismus genutzt. Der Abgleich dieser Ausgeber-Adresse mit bekannten Drain-Ziel-Wallets oder zuvor gemeldeten Phishing-Clustern zeigt sofort, ob die Aktivität verdächtig ist. Die automatisierte Überwachung sollte auch große oder plötzliche Abflüsse aus Wallets kennzeichnen, die kürzlich eine Approval-Transaktion erhalten haben.
Section 314(b) des USA PATRIOT Act erlaubt Banken und anderen Finanzinstituten, Informationen über mutmaßliche Geldwäsche oder Terrorismusfinanzierung miteinander zu teilen, mit Haftungsschutz. Im Kontext von Approval Phishing bedeutet dies, dass eine Kryptobörse, die ein verdächtiges Drain-Wallet identifiziert, diese Informationen mit einer empfangenden Bank teilen kann, bevor die Auszahlung abgeschlossen ist, sodass die Bank die Gelder einfrieren kann. Aktive 314(b)-Beziehungen zwischen Börsen und Banken sind einer der effektivsten Unterbindungsmechanismen in den USA.
Das Audit oder die Due-Diligence-Prüfung sollte fragen, ob die Plattform eine automatisierte Erkennung für die Diskrepanz zwischen Ausgeber und Eigentümer hat, ob sie Cluster-Karten führt, die bekannte Phishing-Infrastruktur verknüpfen, ob sie aktive Informationsweitergabe-Vereinbarungen nach geltenden Regeln hat (314(b) in den USA, gleichwertige Kanäle im Vereinigten Königreich und Kanada) und ob die Mitarbeiter an vorderster Front darauf geschult sind, Social-Engineering-Vorläufer zu erkennen. Eine Plattform, die Phishing nur aus Opfermeldungen identifiziert, hat keine proaktive Fähigkeit und stellt ein höheres Restrisiko in einer Krypto-Compliance-Bewertung dar.
Nein. Sobald eine Drain-Transaktion on-chain bestätigt ist, kann sie auf Protokollebene nicht rückgängig gemacht werden. Gelder können jedoch möglicherweise eingefroren oder beschlagnahmt werden, wenn die Strafverfolgungsbehörden schnell genug am Auszahlungspunkt handeln, in der Regel einer Börsen-Einzahlungsadresse. Die Operationen Spincaster und Atlantic zeigen, dass die Koordination zwischen On-Chain-Intelligence-Anbietern, Börsen und Strafverfolgungsbehörden kriminelle Erlöse auch nach dem Abfluss einfrieren kann. Das Zeitfenster ist kurz, weshalb eine proaktive Erkennung vor dem Abfluss ein deutlich besseres Ergebnis ist als eine Untersuchung nach dem Abfluss.
