Glossar
Seed-Phishing
Aktualisiert 12. Juni 2026
Seed-Phishing ist eine Form des Social Engineering, bei der Angreifer gezielt versuchen, Nutzer zur Preisgabe oder Eingabe ihrer Seed-Phrase (Recovery Phrase) zu verleiten, um danach vollständige und unwiderrufliche Kontrolle über das betroffene Wallet zu erlangen.
Funktionsweise und typische Angriffswege
Der Begriff kombiniert die kryptospezifische Angriffsfläche – die Seed-Phrase als zentrales Sicherungsmittel eines Non-Custodial Wallet – mit klassischen Phishing-Techniken. Angreifer setzen dabei auf drei etablierte Vektoren:
Gefälschte E-Mails und Webseiten: Die PoisonSeed-Kampagne, aufgedeckt von Sicherheitsforschern, versandte täuschend echte E-Mails an Kunden bekannter Krypto-Unternehmen. Die Nachrichten forderten Empfänger auf, ihre Seed-Phrase auf einer nachgeahmten Support-Seite einzugeben, angeblich zur Verifizierung oder Kontosicherung.
Manipulierte Hardware-Wallet-Verpackungen: Täter verschicken Hardware-Wallets mit bereits vorausgefüllten, von ihnen kontrollierten Seed-Phrasen. Wer diese Phrase verwendet, richtet ein Wallet ein, auf das der Angreifer jederzeit Zugriff hat. Ein legitimer Hardware Wallet-Hersteller liefert niemals eine vorgedruckte Seed-Phrase mit.
Rotten Seed Phrase Attack: Eine seit 2025 verstärkt beobachtete Variante. Angreifer posten in Foren oder Kommentarbereichen – häufig über frisch erstellte Accounts – öffentlich eine echte, von ihnen kontrollierte Seed-Phrase. Sie geben vor, Hilfe beim Transferieren von Guthaben zu benötigen. Wer die Phrase importiert und eigene Mittel einzahlt, um etwa Transaktionsgebühren zu decken, verliert diese sofort: Das Wallet leitet alle eingehenden Beträge automatisch an die Täter weiter. Die vorgespiegelte Dringlichkeit und Hilfsbereitschaft sind kalkuliertes Social Engineering.
Konsequenzen und Schutzmaßnahmen
Hat ein Angreifer die Seed-Phrase, ist der Schaden in der Regel nicht reparierbar. Die Phrase gewährt vollständigen Zugriff auf sämtliche Assets – unabhängig von Passwörtern, PINs oder Gerätesicherheit. Transaktionen auf der Blockchain sind irreversibel.
Konkrete Schutzmaßnahmen: Seed-Phrasen ausschließlich offline und physisch sichern, niemals in digitale Formulare eingeben, niemals per E-Mail, Chat oder Screenshot weitergeben. Eine legitime Wallet-Anwendung oder ein Support-Team fragt niemals nach der Recovery Phrase. Wer eine Fake Wallet oder eine manipulierte App verwendet, ist besonders exponiert, weil die Phrase beim Setup direkt abgegriffen werden kann.
Die Seed-Phrase ist konzeptionell der private Hauptschlüssel eines selbstverwalteten Wallets – ihre Geheimhaltung ist die einzige Absicherung, die zählt.