Glossar
Seed-Generator-Betrug
Aktualisiert 12. Juni 2026
Seed-Generator-Betrug ist eine Angriffsmethode, bei der gefälschte Tools oder Websites vorgeben, gültige Seed-Phrasen für Krypto-Wallets zu erzeugen, die generierten Wörterfolgen jedoch gleichzeitig still an Server der Angreifer übermitteln – noch bevor das Opfer sein Wallet überhaupt befüllt hat.
Warum die Seed-Phrase das eigentliche Angriffsziel ist
Eine Seed-Phrase besteht aus 12 bis 24 zufälligen Wörtern nach dem BIP-39-Standard und ist deutlich mehr als ein Backup-Code: Sie ist der kryptografische Ursprung aller privaten Schlüssel eines Wallets. Wer eine Seed-Phrase kennt, kontrolliert sämtliche darin enthaltenen Assets – ohne Login, ohne Zwei-Faktor-Authentifizierung, ohne jede weitere Hürde. Dieses Prinzip macht die Phrase zum lukrativsten Angriffsziel überhaupt: Ein einziger gestohlener Datensatz reicht aus, um ein Wallet vollständig und unwiderruflich zu leeren. Eine technische Rückbuchung ist nicht möglich.
Seriöse Non-Custodial Wallets erzeugen Seed-Phrasen ausschließlich lokal und offline; jede Anwendung, die diesen Vorgang ins Internet verlagert oder eine bereits bestehende Phrase abfragt, ist grundsätzlich als unsicher einzustufen.
Zwei typische Angriffsmuster
Gefälschte Generator-Tools: Betrüger betreiben Websites oder Apps, die optisch seriösen Wallet-Generatoren nachempfunden sind. Das Tool liefert dem Nutzer eine scheinbar reguläre Seed-Phrase, sendet dieselbe Phrase jedoch im Hintergrund an einen Angreifer-Server. Sobald das Opfer Guthaben auf das Wallet transferiert, wird es automatisiert und innerhalb von Sekunden abgezogen.
Rotten Seed Phrase Attack: Eine verwandte Variante verbreitet sich über Social-Media-Kommentare oder Messaging-Dienste: Betrüger posten öffentlich eine Seed-Phrase, hinter der ein scheinbar gefülltes Wallet steckt. Neugierige, die versuchen, die Funds abzuziehen, importieren die Phrase in ihr eigenes Wallet – und exponieren dabei entweder eigene Wallet-Daten oder zahlen Transaktionsgebühren in einen Honeypot-Token, den ausschließlich die Angreifer kontrollieren.
Schutz durch lokale Schlüsselerzeugung
Der einzig wirksame Schutz ist struktureller Natur: Seed-Phrasen dürfen ausschließlich von lokal installierten, quelloffenen Wallets oder zertifizierten Hardware Wallets erzeugt werden. Eine Phrase, die einmal online übertragen, fotografiert, in eine Cloud gespeichert oder in ein nicht vertrauenswürdiges Tool eingegeben wurde, ist als kompromittiert zu behandeln. Neue Wallets sollten bevorzugt auf Air-Gapped Geräten initialisiert werden, die zu keinem Zeitpunkt mit dem Internet verbunden waren.