Vorsicht ist die Mutter der Porzellankiste, heißt es so schön. Wenn du dich im Krypto-Space sicher bewegen willst, kannst du gar nicht vorsichtig genug sein. Meine Mentoring-Gruppe »Future of Finance« zählt inzwischen fast 500 Teilnehmer, und mein Büro bekommt immer wieder verzweifelte Mails einzelner Mitglieder, die ständigen und sehr konkreten Warnungen zum Trotz Betrügern auf den Leim gegangen sind (siehe das nächste Kapitel »Die 5 fiesesten Scams«). Meine Mitarbeiter und ich haben schon Stunden damit verbracht, den Schaden zu begrenzen, aber nicht immer können wir helfen. Hier deshalb die schlimmsten Fehler, die du begehen kannst.
1. Deine Seed-Phrase preisgeben
Einfach gesagt: Die »Seed-Phrase« ist der Schlüssel zu deiner Wallet, zur digitalen Geldbörse, mit der du auf deine Assets auf der Blockchain zugreifst. Die Seed-Phrase wird auch als »Secret Recovery Phrase« oder »Backup-Schlüssel« bezeichnet, denn damit kannst du jederzeit den aktuellen Inhalt deiner Krypto-Wallet wieder herstellen. Dieser Fall kann eintreten, wenn beispielsweise der Computer, auf dem du deine digitalen Assets verwaltest, den Geist aufgibt. Das Problem: Zugriff auf deine Wallet hat jeder, der im Besitz deiner Seed-Phrase ist. Und wer sich die ergaunert, hat mit absoluter Sicherheit Böses im Sinn. Er oder sie wird deine Wallet ausräumen.
Konkret handelt es sich beim Seed um eine willkürliche Folge von 12 (bei der MetaMask) oder auch 24 Wörtern (beim Ledger), die dir vom Anbieter mitgeteilt wird, sobald du deine Wallet einrichtest. Dahinter verbirgt sich eine lange Zahlen- und Buchstabenfolge (der »Private Key«), die die gleiche Funktion erfüllt, aber bei der Eingabe natürlich fehleranfälliger ist als eine Reihe von Wörtern, die du in der richtigen Reihenfolge eingibst. Bei der Einrichtung der Wallet wirst du einmalig aufgefordert, die zuvor mitgeteilte Sicherungsphrase einzugeben. Danach geht es nur noch darum, die Seed für den Notfall sicher aufzubewahren. Und da jede elektronische Form der Aufbewahrung – auch ein Handyfoto! – ein potenzielles Schlupfloch für Hacker ist, notierst du dir das Ganze am besten handschriftlich mit Bleistift auf einem Stück Papier, das du sicher aufbewahrst. Um es vor Wasser zu schützen, kannst du das Papier laminieren. Für den Fall, dass ein Feuer ausbricht, solltest du einen zweiten Ablageort wählen. Das könnte auch ein Bankschließfach sein.
Jeder, der dich um deine Seed-Phrase bittet, hat Böses im Sinn. Diese Regel gilt OHNE AUSNAHME. Dabei tarnen Betrüger sich sehr geschickt: Sie maskieren sich als »MetaMask«-Support, geben sich als Promis aus der NFT-Szene aus, sie kaufen den obersten Platz bei Google und tun so, als wären sie die MetaMask-Website. Sogar, wenn du schon ausgetrickst wurdest, findest du auf der Suche nach Hilfe Menschen, die dich freundlich bis zu deinem Private Key lotsen, um dir im wahrsten Sinne des Wortes auch noch das allerletzte Hemd auszuziehen. Lass dich nicht in Versuchung führen, NIEMALS. Es gibt keinen MetaMask-Support per Direct Message oder Telefon, der deine Seed-Phrase braucht, um dir weiterzuhelfen, nicht mal der echte MetaMask Support würde je nach ihr fragen. Idealerweise hast du selbst keinen schnellen Zugriff auf deine Seed-Phrase. Wenn es etwas dauert, weil du erst die Metallkiste unterm Apfelbaum im Schrebergarten am anderen Stadtende ausgraben musst, schaltet sich dein Großhirn hoffentlich noch rechtzeitig ein, bevor du in Versuchung gerätst.
PS: Dasselbe gilt natürlich für den Private Key, die Zahlen- und Buchstabenfolge, die sich hinter der Wortfolge verbirgt.
2. Auf Links klicken, ohne sie vorher zu checken
Eigentlich weiß man das als gemeiner Internet-Nutzer ja: Auf irgendwelche Links aus trüben Quellen zu klicken ist gefährlich. Dahinter lauern Trolle und Trojaner, fiese Hacker und findige Betrüger. Trotzdem passiert so etwas immer wieder. Die häufigsten Gründe:
Nutzer klicken in der Liste von Google-Treffern auf Fake-Anzeigen und Fake-Accounts, die sich vom Original nur durch kleine Details unterscheiden, durch eine andere Endung beispielsweise oder einen Buchstabendreher. Und schon landest du statt auf der Originalseite von OpenSea bei einem nordkoreanischen Hacker-Kollektiv.
Nutzer klicken in Discord-Channeln oder auf Twitter leichtsinnig in Links, die dort reinkopiert werden.
Nutzer klicken auf ein Bild, hinter dem ein Link steckt.
Nutzer klicken auf ein Google Doc (Online-Dokument), das ihnen ein potenzieller »Auftraggeber« schickt und in dem er angeblich weitere Infos aufgeschrieben hat. Das passiert oft Auftragskünstlern. Das Schlimme daran ist das sogenannte Social Engineering. Es wird teilweise über Wochen hinweg so ein starkes Vertrauen aufgebaut, dass das Opfer nicht mal mehr im Traum daran denkt, dass hinter einem Link Gefahr lauert.
Nutzer klicken in renommierten Discord-Channeln oder Twitter-Accounts, denen sie schon lange folgen, auf einen Link, nicht wissend, dass die Accounts soeben gehackt und gekapert wurden. Bis das entdeckt wird, sind schon oft viele hunderttausend Dollar flöten gegangen.
Achte immer darauf, dass du den Original-Link einer Website eingibst. Versieh häufig genutzte Adressen mit einem Lesezeichen. Recherchiere angegebene Websites nach und gib deren Adresse ein, statt einfach auf einen geposteten Link zu klicken. Betrügerische Links in Textform werden darüber hinaus enttarnt, wenn du mit dem Curser über den Link gehst, OHNE zu klicken. Dann erscheint die www-Adresse, auf die du tatsächlich geleitet würdest. Du solltest bei fragwürdigen Links auch immer den Link checken, zum Beispiel mithilfe von Seiten wie virustotal.com, wo du auch URLs scannen lassen kannst.
3. Coins an jemanden senden, den du nicht kennst, falsche Mintseiten, falsche Tokens
Einmalige Angebote gegen Vorkasse? Die lange »ausgeminteten« Bored Apes kann man plötzlich für 0,25 ETH noch mal minten? Auch da ist Vorsicht geboten. Je verlockender das Ganze klingt, desto verdächtiger ist es. Faustregel: Was zu schön klingt, um wahr zu sein, ist meistens weder schön noch wahr. Transferiere daher niemals Krypto-Geld an eine unbekannte Quelle, minte oder kaufe deine NFTs auf den Websites seriöser Projekte und auf anerkannten Plattformen (siehe das Kapitel »Die 5 empfehlenswertesten Marktplätze«). Auch bei DEXes (Dezentralisierten Börsen) solltest du bei einem Swap-Vorgang (Tausch) immer den Contract des Tokens überprüfen, in den du swappen möchtest. Oft steckt hinter dem Namen des Tokens, den du eigentlich bekommen möchtest, ein anderer Contract. Benutze Seiten wie CoinGecko(https://www.coingecko.com) und versichere dich, dass du mit dem richtigen Token interagierst, der die korrekte Contract-Adresse hat.
4. Unter Zeitdruck handeln
Die Blockchain verzeiht keine Fehler. Ein Klickfehler bei einer Order mit der MetaMask und schon verschwindet dein Geld auf Nimmerwiedersehen im Cyperspace. Dasselbe gilt für den unbedachten Versuch, Coins einer Krypto-Währung an die Adresse einer anderen Währung zu transferieren (z. B. Ether an eine Bitcoin-Adresse oder umgekehrt). Das Geld ist weg, unwiederbringlich, denn im Krypto-Bereich gibt es keine Hotline, die du dann anrufen könntest. Auch Schusseligkeit kann man sich hier nicht leisten. Hunderte von Millionen Kryptowährung sind beispielsweise verloren, weil ihre Besitzer den Schlüssel zu ihrer Wallet verlegt haben.224 Hektik vernebelt das Gehirn. Dazu zählt auch FOMO, die Angst, etwas zu verpassen. Nimm dir immer die Zeit, über ein Angebot nachzudenken und zusätzlich die Meinung verschiedener Experten zu recherchieren, bevor du unbedacht zuschlägst. Behalte im Hinterkopf, dass auch Experten irren können, und lass die Finger von einem Investment, wenn du kein gutes Gefühl hast – jedenfalls, wenn es um viel Geld geht. Im Krypto-Slang gibt es sogar einen eigenen Ausdruck für kopflose Investitionen: »to ape in«, frei übersetzt »handeln wie ein Affe«. Allerdings wird das nicht immer negativ benutzt und auch nicht immer negativ gesehen. Ich habe damals in meine zehn Bored Apes auch ziemlich reingeaped, ich wusste nichts über das Projekt. Mir haben einfach nur die Affen gefallen. Allerdings war der Mintpreis so niedrig, dass mein Risiko dabei gering war.
5. Geld investieren, dessen Verlust du dir nicht leisten kannst
Verzweifelte Spieler, die im Casino alles auf eine Karte setzen – im Spielfilm schon fast eine klassische Szene. Man grinst über solchen Wahnsinn. Zocken sollte man nur mit Geld, das man auch verlieren kann. Das gilt auch für NFTs, die ein hochspekulatives Investment sind und bleiben. Selbst Blue Chips können von heute auf morgen massiv an Wert verlieren, nicht anders als auf dem traditionellen Aktienmarkt. Ich sage nur Wirecard. Hinzu kommen die üblichen Kursschwankungen bei Kryptowährungen und bei NFTs, die man nur aussitzen kann, wenn man nicht von heute auf morgen Geld braucht. Wäre doch schade, wenn du ein interessantes Investment im »Dip« verkaufen müsstest, also wenn die Kurse gerade auf Talfahrt sind.
Den allergrößten Fehler in Bezug auf NFTs muss ich hier nicht mehr erwähnen, denn du machst ihn ganz offensichtlich nicht. Er lautet: sich nicht mit NFTs beschäftigen.