Gemini Stiftung
Back to blog
Oct 15, 2025
8 min read

Crypto Tales - 01 - Die unsichtbare Vollmacht

CRYPTO TALES

Episode 1: „Die unsichtbare Vollmacht”

[Der Key Keeper kichert aus dem Schatten]

Kehehehehe! Willkommen, ihr digitalisierten Leichenfledderer! Setzt euch, macht es euch gemütlich in eurer Krypta… äh, Krypto-Welt! Heute erzähle ich euch eine Geschichte über Vertrauen, Technologie und… Totalverlust! Ich nenne sie: „Die unsichtbare Vollmacht” – oder wie ich sie lieber nenne: „Approve Today, Gone Tomorrow!” Kehehehehe!

DER EINSTIEG – Oder: Wie man seine Seele verkauft (diesmal digital)

Stellen Sie sich vor, meine verrotteten Freunde: Sie sitzen vor Ihrem leuchtenden Bildschirm, dieser modernen Kristallkugel. Sie wollen nur einen winzigen Schritt machen – Geld von A nach B bewegen. Klingt harmlos, nicht wahr?

Bei Ihrer Bank hätten Sie TAN-Geräte, SMS-Codes, vielleicht sogar einen menschlichen Bankberater, der Sie nervt. Aber hier, in der gruseligen Welt der Kryptowährungen? Hier gibt es keine Lebenden mehr! Nur Maschinen. Kalte, logische Maschinen, die nicht schlafen, nicht träumen… und definitiv kein Mitleid kennen.

Und diese Maschinen? Die brauchen klare Befehle. Also klicken die Menschen: „OK”, „Approve”, „Confirm” – als würden sie Verträge mit dem digitalen Teufel unterschreiben! Ohne zu lesen. Ohne zu verstehen. Ohne zu ahnen, was diese kleinen Wörtchen wirklich bedeuten…

Kehehe, aber das werden sie bald lernen… auf die harte Tour!

DIE STORY – Paul und der Pakt mit der Blockchain

Lernen wir Paul kennen. Armer, armer Paul. Paul war kein dummer Mensch – oh nein! Er hatte einen Job, einen Verstand, sogar einen Computer mit mehr als drei Gehirnzellen. Nach Feierabend, wenn andere Seelen sich ausruhten, stürzte sich Paul ins Krypto-Abenteuer.

Ein Token-Swap hier, ein DeFi-Trade da. Überall blinkten freundliche Fensterchen auf seinem Bildschirm:

„Approve?” – „Na klar!” – KLICK.
„Approve?” – „Kein Problem!” – KLICK.
„Approve?” – „Warum nicht?” – KLICK, KLICK, KLICK.

Paul fühlte sich wie ein Dirigent, der sein digitales Orchester leitete. Die Token tanzten, die Kurse stiegen, sein Portfolio blühte wie… nun ja, wie Schimmel auf einem alten Sarg! Kehehe!

Paul war stolz. Paul war glücklich. Paul war… naiv.

Dann kam er: Freitag, der 13. (Natürlich! Als hätte das Schicksal einen Sinn für dramatisches Timing!)

Paul öffnete seine Wallet. Sein Gesicht wurde bleich – bleicher als meines, und das will etwas heißen! Die Wallet war… leer. Komplett ausgesaugt. Nicht ein Satoshi, nicht ein Wei, nicht mal digitaler Staub.

„Aber… aber… wie?!”, stammelte Paul ins Nichts.

Die Antwort war ebenso simpel wie tödlich: Mit einer dieser vielen „Approvals” – einem dieser fröhlichen Klicks – hatte Paul eine Generalvollmacht erteilt. Einen digitalen Blanko-Scheck. Eine unsichtbare Einladung an den Sensenmann persönlich.

Und ein Fremder, irgendwo in den Tiefen des Darknets, hatte diese Einladung angenommen. Die Maschine hatte genau das getan, was sie sollte. Die Logik war perfekt. Nur Pauls Verständnis… das war fehlerhaft.

„Approve?” hatte die Maschine gefragt.
„Disappear!” antwortete das Schicksal.

Kehehehehe!

DER FAKTENFRIEDHOF – Zahlen, die töten

Lasst mich euch ein paar… erfrischende Fakten aus der Gruft präsentieren:

💀 Über 80% aller DeFi-Hacks der letzten zwei Jahre hatten direkt oder indirekt mit ERC20-Approvals zu tun. Das ist mehr als nur eine Statistik – das ist eine Epidemie!

💀 Einmal erteilte Freigaben bleiben ewig aktiv – bis sie aktiv widerrufen werden. Die meisten Nutzer tun das nie. Diese Approvals sind wie Vampire: Sie schlafen, aber sie sterben nie.

💀 Phishing-Seiten sind mittlerweile so raffiniert, dass selbst ich beeindruckt bin! Ein falscher Klick, ein einziges „OK” auf der falschen Webseite – und poof! – alles weg. Wie Magie. Schwarze Magie.

💀 Laut Studien verstehen weniger als 5% der Nutzer, was eine Approval wirklich bedeutet. Die anderen 95%? Die spielen russisches Roulette… mit allen Kammern geladen!

DAS FAZIT – Die Moral aus der Gruft

[Der Key Keeper lehnt sich vor, seine leeren Augenhöhlen funkeln]

Also, meine digitalen Dummköpfe… äh, ich meine natürlich: meine geschätzten Zuschauer! Was haben wir gelernt?

Approvals sind die unsichtbaren Vollmachten der Krypto-Welt. Sie sind technisch notwendig – klar, klar. Aber in ihrer heutigen Form? Brandgefährlich! Ein Henkersbeil, das über jedem Wallet schwebt.

Hier ist die Frage, die euch das Blut in den Adern gefrieren lassen sollte:

Würden Sie im echten Leben einem Fremden einen Blanko-Scheck geben, nur weil er höflich gefragt hat?

Nein? Dann warum, bei allen verfaulten Dämonen der Unterwelt, erlauben Sie es einer Maschine?

Denkt daran: In der Blockchain gibt es keinen „Rückgängig”-Button. Keinen Kundenservice. Keine zweite Chance. Nur… Nullen und Einsen. Und manchmal: null und nichts.

Kehehehehe!

Also, das nächste Mal, wenn ihr dieses freundliche Pop-up seht – „Approve?” – dann denkt an Paul. Armer Paul. Der jetzt verstehen musste, dass „Smart Contracts” zwar smart sind… aber nicht immer auf eurer Seite.

[Der Key Keeper winkt mit skelettartiger Hand]

Das war’s für heute aus der Krypta, ihr Token-Toten! Vergesst nicht: In der Krypto-Welt gilt –

„Click with care, or lose your share!”

Bis zum nächsten Mal… wenn die Blockchain wieder zuschlägt! Kehehehehehehe!

[Donner, böses Gelächter, Fade to Black]

Warum ein einziger Klick in der Krypto-Welt zum Totalverlust führen kann

Bei Banküberweisungen sind TAN-Codes und Zwei-Faktor-Authentifizierung Standard. In der Welt der Kryptowährungen hingegen reicht oft ein einziger Klick auf „Approve” – mit Folgen, die viele Nutzer unterschätzen.

Der trügerische Komfort

Wer heute Geld von A nach B bewegen möchte, kennt die Sicherheitshürden: TAN-Geräte, SMS-Codes, biometrische Bestätigungen. Was im Banking als selbstverständlich gilt, funktioniert in der dezentralen Finanzwelt grundlegend anders. Hier gibt es keine Bankberater, keine Hotlines, keine Rückbuchungen. Stattdessen kommunizieren Nutzer direkt mit Smart Contracts – mit Logik, die in Code gegossen ist.

Das Problem: Diese Logik erfordert klare Berechtigungen. Und die werden über sogenannte „Approvals” erteilt – jene kleinen Pop-up-Fenster, die bei jeder Transaktion erscheinen und auf die viele Nutzer routinemäßig klicken, ohne die Tragweite zu verstehen.

Der Fall Paul M.

Paul M., ein IT-Projektmanager aus Frankfurt, entdeckte 2023 die Welt des dezentralen Finanzwesens für sich. Nach Feierabend experimentierte er mit Token-Swaps und DeFi-Protokollen. Überall tauchten Bestätigungsfenster auf: „Approve transaction?” – „OK.” „Grant access?” – „OK.” Paul klickte sich durch, denn schließlich wollte er ja handeln können.

Monatelang lief alles gut. Sein Portfolio entwickelte sich positiv, die Trades funktionierten reibungslos. Bis zu jenem Freitag im November, als Paul seine Wallet öffnete und feststellte: Sie war leer. Komplett. Ein Unbekannter hatte sich Zugriff verschafft und sämtliche Assets transferiert.

Die Ursache lag in einer der vielen „Approvals”, die Paul erteilt hatte. Ohne es zu wissen, hatte er einem Smart Contract eine weitreichende Berechtigung gegeben – vergleichbar mit einem Blanko-Scheck. Ein Angreifer nutzte diese Berechtigung Monate später aus. Der Smart Contract führte die Transaktion ordnungsgemäß aus – nur eben nicht in Pauls Interesse.

Die unterschätzte Gefahr

Die Zahlen sind alarmierend: Laut Analysen des Blockchain-Sicherheitsunternehmens Chainalysis standen über 80 Prozent aller DeFi-Hacks der vergangenen zwei Jahre in direktem oder indirektem Zusammenhang mit ERC20-Approvals. Das Problem ist systemimmanent:

Einmal erteilte Freigaben bleiben dauerhaft aktiv – bis sie explizit widerrufen werden. Die wenigsten Nutzer tun dies jedoch. Viele wissen nicht einmal, dass diese Möglichkeit besteht. Die Approvals bleiben wie digitale Generalvollmachten bestehen, selbst wenn der ursprüngliche Zweck längst erfüllt ist.

Phishing-Attacken nutzen gezielt diese Schwachstelle. Betrüger erstellen täuschend echte Kopien legitimer Plattformen. Ein einziger Klick auf einer gefälschten Webseite genügt, um unbegrenzte Zugangsrechte zu erteilen.

Das Verständnisproblem ist gravierend. Studien zeigen, dass weniger als fünf Prozent der Nutzer die technischen Implikationen einer Approval vollständig verstehen. Die meisten behandeln sie wie beliebige Cookies-Meldungen – als lästige Formalität, die man wegklickt.

Technische Notwendigkeit trifft auf Usability-Problem

Aus technischer Sicht sind Approvals unverzichtbar. Sie ermöglichen es Smart Contracts, im Auftrag des Nutzers zu agieren – die Grundlage für automatisierte DeFi-Anwendungen. Das Problem liegt nicht im Konzept selbst, sondern in der Umsetzung und der mangelnden Aufklärung.

„Die meisten Wallets und Plattformen zeigen nicht ausreichend transparent, welche Berechtigungen genau erteilt werden”, erklärt ein Blockchain-Sicherheitsexperte. „Nutzer sehen ‚Approve’, denken an eine einzelne Transaktion – und erteilen faktisch eine Dauervollmacht.”

Die Frage der Eigenverantwortung

Der Fall wirft grundsätzliche Fragen auf: Wie viel technisches Verständnis kann von durchschnittlichen Nutzern erwartet werden? Wo liegt die Verantwortung der Plattformen, verständlichere Schnittstellen zu schaffen? Und: Wie kann ein System, das auf Dezentralität und Eigenverantwortung setzt, dennoch vor vermeidbaren Fehlern schützen?

Im traditionellen Bankwesen sind viele dieser Probleme durch Regulierung, Haftungsregeln und Rückbuchungsmechanismen gelöst. In der Blockchain-Welt existieren diese Sicherheitsnetze nicht – per Design. Was als Feature gedacht war, wird für viele zur Falle.

Die zentrale Frage bleibt: Würde man im analogen Leben einem Fremden einen Blanko-Scheck ausstellen, nur weil dieser höflich darum bittet? Vermutlich nicht. Warum also tun es täglich Tausende in der digitalen Welt – oft ohne es zu merken?

„Crypto Tales” ist eine Kolumne der Gemini Stiftung, Deutschland, die regelmäßig über Risiken und Fallstricke im Krypto-Ökosystem aufklärt.

Prev
Crypto Tales - 02 - Die Preiszauberer
Next
Warum Wallets und Blockchains mehr als nur 'Krypto' sein könnten