Alle Artikel
Wallet-SicherheitSmart ContractsBEP20

Token-Freigaben (Token Approval): Wie Wallets leergeräumt werden und wie man Berechtigungen widerruft

Ein praktischer Leitfaden zum Verständnis von Token-Freigaben (Token Approval), zur Funktionsweise von Drainer-Contracts, die Wallets leerräumen, und zu den Schritten, mit denen man Freigaben auf Netzwerken wie BEP20 sicher überprüft und widerruft.

Paperino-Team5 Min. Lesezeit

Haben Sie schon einmal Ihre Wallet mit einem Klick auf "Approve" mit einer dezentralen App (dApp) verbunden und die Sache danach komplett vergessen? Dieser flüchtige Moment kann jahrelang offen bleiben – und er ist einer der häufigsten Wege, über die Wallets heute leergeräumt werden. In diesem Leitfaden erklären wir, was eine "Token-Freigabe" (Token Approval) eigentlich ist, wie Betrüger sie ausnutzen und – vor allem – wie Sie Ihre Freigaben selbst Schritt für Schritt überprüfen und widerrufen.

Was bedeutet eine Token-Freigabe (Token Approval)?

Coins wie USDT im BEP20-Netzwerk sind Tokens, die sich nicht von selbst bewegen. Wenn Sie sie in einer dezentralen Anwendung nutzen möchten – etwa für einen Swap, zur Bereitstellung von Liquidität oder in einem beliebigen Smart Contract –, benötigt dieser Contract eine vorherige Erlaubnis, Tokens aus Ihrer Wallet abzuziehen. Diese Erlaubnis heißt "Allowance", und Sie erteilen sie über eine "Approve"-Transaktion.

Das Problem: Viele Apps fragen standardmäßig eine unbegrenzte (Unlimited) Freigabe an – also im Grunde: "Erlaube diesem Contract, jederzeit eine beliebige Menge dieses Tokens abzuziehen, ohne zeitliches Ende." Sie unterschreiben nur einmal, aber die Tür bleibt offen, bis Sie sie selbst schließen.

Das Signieren von "Approve" bewegt in diesem Moment noch kein Geld – es übergibt dem Contract jedoch einen dauerhaften Schlüssel. Die Gefahr liegt nicht im aktuellen Betrag, sondern in der Berechtigung, die danach offen bleibt.

Wie Drainer-Contracts Wallets leerräumen

Drainer-Contracts (Approval Drainers) "hacken" Ihre Wallet nicht im eigentlichen Sinne – sie bringen Sie dazu, die Freigabe selbst zu unterschreiben. Das typische Szenario läuft so ab:

  1. Sie landen auf einer gefälschten Website, die einer bekannten Plattform ähnelt, oder werden von einer Nachricht mit einer "Belohnung" oder einem "kostenlosen Airdrop" gelockt.
  2. Die Website fordert eine Verbindung mit Ihrer Wallet an und zeigt dann ein Signaturfenster, das routinemäßig aussieht.
  3. In Wahrheit erteilen Sie damit eine unbegrenzte Freigabe für einen Token, den Sie besitzen (etwa USDT oder einen Netzwerk-Token).
  4. Sichtbar passiert nichts, sodass Sie denken, es sei fehlgeschlagen, und die Seite verlassen.
  5. Stunden oder Tage später ruft der Angreifer die transferFrom-Funktion auf und zieht Ihr Guthaben auf einen Schlag oder schrittweise ab.

Am tückischsten sind Permit- und Permit2-Signaturen: eine "Off-Chain"-Signatur, die keine Gas-Gebühren kostet und nicht als Transaktion erscheint, aber trotzdem vollen Zugriff gewährt. Deshalb kann die Anfrage völlig harmlos wirken.

Keine seriöse Plattform verlangt, dass Sie "zum Erhalt einer Belohnung" unterschreiben oder ein Konto durch eine Token-Freigabe reaktivieren. Jede Aufforderung zu einer Signatur im Austausch für kostenloses Geld ist ein nahezu sicheres Warnsignal.

Warnzeichen vor dem Unterschreiben

  • Die Website erreichte Sie über eine private Nachricht, eine bezahlte Anzeige oder einen "Support"-Account, der Sie zuerst kontaktiert hat.
  • Das Wallet-Fenster zeigt Approve oder Permit für einen Token, den Sie gerade gar nicht tauschen wollen.
  • Die angeforderte Freigabe ist unbegrenzt, obwohl Sie nur einen kleinen Betrag benötigen.
  • Der begünstigte Contract ist eine unbekannte, nicht verifizierte Adresse und erscheint in keinem Block-Explorer als bekannter Contract.
  • Es herrscht Dringlichkeit und Zeitdruck: "Das Angebot endet in wenigen Minuten."

Wie Sie Ihre Freigaben überprüfen und widerrufen

Die gute Nachricht: Freigaben lassen sich jederzeit widerrufen, und der Vorgang ist einfach. Im Grunde senden Sie eine Transaktion, die das erlaubte Limit auf null zurücksetzt.

Praktische Schritte

  1. Öffnen Sie ein vertrauenswürdiges Revoke-Tool im Browser und tippen Sie die Adresse selbst ein – nicht über einen Link aus einer Nachricht.
  2. Verbinden Sie Ihre Wallet, oder – besser – fügen Sie nur Ihre öffentliche Adresse zur Ansicht ein, ohne eine Verbindung herzustellen, und führen Sie den Widerruf erst nach genauer Prüfung aus.
  3. Wählen Sie das richtige Netzwerk (z. B. BNB Smart Chain für BEP20-Tokens).
  4. Prüfen Sie die Liste der Freigaben: Jede Zeile zeigt Token, begünstigten Contract und erlaubtes Limit.
  5. Suchen Sie nach unbegrenzten Freigaben oder unbekannten Contracts und klicken Sie auf "Revoke".
  6. Unterschreiben Sie die Widerrufs-Transaktion, bezahlen Sie die geringe Gas-Gebühr und warten Sie auf die Bestätigung.

Jeder On-Chain-Widerruf kostet eine kleine Gas-Gebühr. Setzen Sie Prioritäten: Widerrufen Sie zuerst unbegrenzte Freigaben bei werthaltigen Tokens (USDT, Netzwerk-Tokens).

Methoden zur Überprüfung von Freigaben

MethodeFunktionsweiseHinweis
Spezialisiertes Revoke-ToolZeigt alle Freigaben und widerruft sie per KlickAm schnellsten; Website-Adresse genau prüfen
Block-ExplorerReiter "Token Approvals" im Netzwerk-ExplorerVertrauenswürdig, direkt aus den On-Chain-Daten
Die Wallet selbstManche Wallets bieten einen integrierten Freigabe-BereichPraktisch, falls in Ihrer Wallet verfügbar

Gewohnheiten, die Sie künftig schützen

  • Betrag begrenzen: Wählen Sie bei jedem "Approve" nur die tatsächlich benötigte Menge statt "unbegrenzt", sofern die App das zulässt.
  • Regelmäßig überprüfen: Kontrollieren Sie Ihre Freigaben alle paar Wochen und nach jeder Interaktion mit einer neuen Website.
  • Wallets trennen: eine kleine "Test-Wallet" für neue Websites und eine "Tresor-Wallet", die Sie mit keiner dApp verbinden.
  • Das Signaturfenster lesen: Verstehen Sie den Funktionsnamen und den begünstigten Contract, bevor Sie klicken – wenn Sie es nicht verstehen, unterschreiben Sie nicht.
  • Vorsicht bei gebührenfreien Signaturen: Eine Permit-Signatur mag kostenlos sein, gewährt aber trotzdem vollen Zugriff.

Dieser Inhalt dient ausschließlich der Sensibilisierung für Sicherheitsthemen und stellt keine Finanz-, Rechts- oder Glaubensberatung dar. Revoke-Tools und Netzwerknamen ändern sich, prüfen Sie deshalb stets selbst offizielle Quellen, bevor Sie Ihre Wallet verbinden oder unterschreiben. Die Verantwortung für den Schutz Ihrer privaten Schlüssel und Freigaben liegt allein bei Ihnen.

Fazit

Die Token-Freigabe ist ein notwendiges Werkzeug für dezentrale Anwendungen – aber zugleich die am häufigsten ausgenutzte Hintertür. Die Regel ist einfach: Geben Sie nur das frei, was Sie brauchen, und widerrufen Sie, was Sie nicht mehr nutzen. Machen Sie die Überprüfung Ihrer Freigaben zu einer regelmäßigen Gewohnheit, so wie das Aufräumen Ihrer Wallet – dann schließen Sie Betrügern ihre größte Hintertür, bevor sie überhaupt anklopfen. Bei Paperino glauben wir, dass Sicherheit mit Bewusstsein beginnt: Ein einziger Widerruf heute kann morgen Ihr gesamtes Guthaben schützen.

Bereit zum Überqueren?

Registriere dich, hol dir deine erste Ente und verdiene USDT.

Loslegen

Ähnliche Artikel

Wer wagt, gewinnt. Überquere mutig – die Belohnungen sind echt.