Pudgy World wird gefälscht! Malwarebytes warnt vor Phishing-Website, die Wallet-Passwörter stiehlt

Die Cybersicherheitsfirma Malwarebytes Labs hat am Dienstag eine dringende Warnung veröffentlicht, dass eine gefälschte Website mit der Domain „pudgypengu-gamegifts[.]live“ im Umlauf ist, die vorgibt, das im März 2023 gestartete Browser-Spiel Pudgy World zu sein, und versucht, die Passwörter von Kryptowallets zu stehlen.

Präzise Phishing-Methoden: Nachbildung von 11 Wallet-Interfaces

Der leitende Malware-Researcher Stefan Dasic von Malwarebytes erklärt in seinem Bericht die Logik hinter diesem Angriff im Detail. Einige Funktionen von Pudgy World, wie die Überprüfung des Eigentums an NFTs oder das Freischalten von Spielinhalten, erfordern, dass die Spieler ihre Kryptowallets verbinden. Die Angreifer nutzen genau diesen legitimen Schritt für ihre Täuschung aus:

„Die Phishing-Website nutzt genau diesen Ablauf. Wenn ein Besucher auf der gefälschten Seite seine Wallet auswählt, erscheint eine Oberfläche, die wie das echte Entsperr-Interface der Wallet aussieht. Für den Nutzer wirkt es völlig vertraut, als würde er die bekannte und vertrauenswürdige Wallet-Software verwenden.“

Dasic weist außerdem darauf hin, dass dieser Angriff technisch äußerst aufwendig ist – die Angreifer haben UI-Kopien für 11 verschiedene Wallets erstellt, sodass kaum eine Wallet-Software unberücksichtigt bleibt. Egal, ob Nutzer Ethereum, Solana oder Multi-Chain-Assets besitzen, sie erhalten eine hochrealistische, gefälschte Wallet-Entsperrseite. Er meint, die Herstellung von 11 Wallet-UI-Fälschungen sei „keine leichte Aufgabe“, was darauf hindeutet, dass hinter dem Angriff wahrscheinlich „ressourcenreiche Bedrohungsakteure“ stecken oder dass kommerzielle Phishing-Tools, die speziell für solche Angriffe entwickelt wurden, wiederverwendet wurden.

Markenhintergrund von Pudgy World und Sicherheitsrisiken

Pudgy World ist ein kostenloses Browser-Spiel, das auf der Pudgy Penguins NFT-Marke basiert. Spieler können eine virtuelle Welt erkunden, ihre Pinguin-Avatare anpassen und Aufgaben erfüllen. Seit der Übernahme durch CEO Luca Netz im Jahr 2022 hat sich Pudgy Penguins von einer reinen NFT-Sammlung zu einer breiteren Konsummarke entwickelt, die Einzelhandelsprodukte, Mobile Games und Web-Spiele umfasst.

Allerdings wurde Pudgy Penguins bereits zuvor Ziel ähnlicher Angriffe. Im Dezember 2024 warnte die Blockchain-Sicherheitsfirma Scam Sniffer, dass Angreifer gefälschte Google-Werbeanzeigen nutzten, um die Plattform zu imitieren und Nutzer zur Wallet-Verbindung zu verleiten. Forscher stellten fest, dass solche Angriffe häufig bei bedeutenden Ereignissen großer NFT-Projekte auftreten, da die Flut neuer Nutzer die Angriffsgelegenheit erhöht.

Schutzmaßnahmen: Wie man Opfer vermeidet

Malwarebytes empfiehlt Pudgy World-Nutzern folgende konkrete Schutzmaßnahmen:

• Nur über Lesezeichen die offizielle Website aufrufen: Vermeiden Sie den Zugriff auf das Spiel über Suchmaschinen oder Links in sozialen Medien.
• Vorsicht bei Wallet-Passwort-Hinweisen: Echte Wallet-Passwörter werden niemals in Webseiten angezeigt. Wenn eine Seite verlangt, das Wallet-Passwort im Browser einzugeben, sofort den Vorgang abbrechen.
• Keine Links in privaten Nachrichten oder sozialen Medien anklicken: Offizielle Links zu Kryptowährungsprojekten sollten nur von den offiziellen Twitter/X- oder Discord-Kanälen stammen.
• Sofortige Maßnahmen bei Eingabe von Zugangsdaten: Wenn Sie auf einer verdächtigen Website Ihre Wallet-Daten eingegeben haben, ändern Sie sofort Ihr Passwort. Bei Verdacht auf Wallet-Diebstahl sollten Sie Ihre Assets auf eine neue Wallet-Adresse übertragen.

Häufig gestellte Fragen

Wie kann ich sicherstellen, dass ich die echte Pudgy World-Website besuche und nicht eine gefälschte?

Vergleichen Sie die Domain genau mit der offiziellen Pudgy Penguins-Website (achten Sie auf zusätzliche Zeichen oder Bindestriche). Nutzen Sie nur die offiziellen Links, die direkt von den offiziellen Twitter/X- oder Discord-Kanälen stammen. Speichern Sie die offizielle Adresse in Ihren Lesezeichen, anstatt bei jeder Nutzung eine neue Suche durchzuführen.

Warum handeln die Angreifer direkt nach dem Start eines neuen Spiels?

Stefan Dasic von Malwarebytes erklärt, dass der Zeitpunkt des Angriffs bewusst gewählt ist – während der Markteinführung eines neuen Spiels ziehen viele Nutzer, die neu im Bereich Kryptowallets sind, an. Diese sind noch nicht mit den Sicherheitsrisiken vertraut und lassen ihre Wachsamkeit nach. Zudem steigt das Suchvolumen nach dem neuen Spiel, was es einfacher macht, gefälschte Websites in den Suchergebnissen zu platzieren.

Laut FBI-Daten belaufen sich die Verluste durch Phishing-Betrug im Jahr 2024 auf über 70 Millionen US-Dollar. Wie hoch ist das Risiko für Krypto-Nutzer?

Das FBI-Internet Crime Complaint Center (IC3) meldete im Jahr 2024 insgesamt 193.407 Fälle von Phishing und Betrug, mit einem Schaden von über 70 Millionen US-Dollar – ohne die vielen nicht gemeldeten Fälle. Kryptowährungsnutzer sind aufgrund der Anonymität und der Unwiderruflichkeit ihrer Assets einem höheren Risiko ausgesetzt: Sobald die Assets auf eine vom Angreifer kontrollierte Adresse übertragen wurden, gibt es kaum eine Möglichkeit, sie zurückzuholen.