Was bedeutet der CoinMarketCap-Leak für Ihre Krypto-Sicherheit und Ihre Rechte?
Am 24. April 2026 wurde bekannt, dass Angreifer Daten von 40 bis 50 Millionen echter Nutzerkonten sowie 50 bis 60 Millionen Bot-Accounts der Plattform CoinMarketCap in Untergrundforen des Darknets zum Kauf anboten. Der Datensatz enthält Nicknames, Follower-Zahlen, gefolgte Krypto-Analysten und weitere Metadaten. Diese Informationen reichen aus, um hochpräzises Spear-Phishing zu betreiben, das Wallets binnen Minuten leert. Als Betroffener haben Sie sowohl zivilrechtliche als auch datenschutzrechtliche Ansprüche, die Sie aktiv durchsetzen können.
CoinMarketCap ist die weltweit meistbesuchte Krypto-Datenplattform mit über 300 Millionen monatlichen Besuchern. Seit 2018 gehört sie zum Börsengiganten Binance. Nach Berichten von IT-daily.net und Cybernews boten Kriminelle die kompromittierten Datensätze in einschlägigen Untergrundforen öffentlich an. Cybersecurity-Experten hoben ihr Alarmierungsniveau unmittelbar nach Bekanntwerden auf die höchste Stufe.
Warum sind Metadaten gefährlicher als Passwörter?
Was den CoinMarketCap-Leak von gewöhnlichen Datenpannen unterscheidet, ist die operative Verwertbarkeit der abgezogenen Informationen. Angreifer erhalten durch den Datensatz nicht nur E-Mail-Adressen, sondern detaillierte Profildaten: Welchen Krypto-Analysten folgen Sie? Welchen Token-Projekten haben Sie Watchlist-Einträge gewidmet? Welche Netzwerke verfolgen Sie mit besonderer Intensität? Diese Metadaten bilden den Rohstoff für Spear-Phishing-Kampagnen, die Sie persönlich und themenspezifisch ansprechen — statt generische Massen-Spam-Nachrichten zu versenden. Eine gefälschte E-Mail, die vorgibt, von einem Analysten zu stammen, dem Sie tatsächlich bei CoinMarketCap folgen, wirkt für die meisten Empfänger täuschend echt.
Welches Schadenspotenzial entfaltet ein Drainer-Script in der Praxis?
Das eigentliche Schadenspotenzial entfaltet sich, wenn solche Spear-Phishing-Mails Drainer-Scripts enthalten oder auf präparierte Websites führen. Verbinden Sie dort Ihre Wallet, transferieren diese Scripts automatisiert alle Vermögenswerte auf Täter-Adressen — irreversibel und binnen Sekunden. Beim Fake-Ledger-App-Vorfall vom April 2026 verloren Nutzer durch eine gefälschte Hardware-Wallet-Anwendung nachweislich 9,5 Millionen US-Dollar innerhalb weniger Wochen. Ein einziger betrügerischer Klick aktivierte das Drainer-Script. Die CoinMarketCap-Datenmenge übersteigt die Opferbasis dieses Vorfalls um ein Vielfaches.
Der FBI-Report 2025 zeigt: Krypto-Betrug verursachte im Vorjahr weltweit einen Schaden von 11 Milliarden US-Dollar. Laut Chainalysis-Daten 2026 hat KI-gestützte Identitätstäuschung um 1.400 Prozent zugenommen. Phishing-Angriffe werden dadurch noch schwerer erkennbar. Besonders kritisch sind zudem die Zwei-Faktor-Authentifizierungs-Lücken bei den 50 bis 60 Millionen Bot-Accounts im geleakten Datensatz. Übernehmen Angreifer Bot-Account-Zugänge, können sie Marktmanipulationen betreiben: Sie erzeugen koordinierte Kaufsignale oder steuern Watchlist-Bewegungen künstlich. Für echte Nutzer entsteht so ein doppeltes Risiko — direkte Wallet-Plünderung via Drainer-Link und indirekter finanzieller Schaden durch manipulierte Marktinformationen.
22 Prozent der betroffenen Konten entfallen laut Quellenberichten auf Nutzer in den USA. Große Nutzergruppen finden sich zudem in Indien und Indonesien. Da CoinMarketCap global und ohne Sprachbarriere genutzt wird, sind deutschsprachige Anleger gleichermaßen betroffen.
📣 Telegram-Kanal der Fachanwältin
Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.
Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.
Wie funktioniert das Spear-Phishing nach dem CoinMarketCap-Datenleck genau?
Spear-Phishing nach dem CoinMarketCap-Leak nutzt personalisierte Profildaten — Follower-Netzwerke, Watchlist-Einträge und Aktivitätsmuster — um Nachrichten zu erstellen, die scheinbar von vertrauten Analysten oder Projektteams stammen. Drainer-Scripts in eingebetteten Links transferieren bei Wallet-Verbindung alle Assets automatisch und irreversibel innerhalb von Sekunden auf Täter-Adressen.
Der technische Ablauf eines gezielten Drainer-Angriffs
Der Angreifer importiert zunächst den gekauften CoinMarketCap-Datensatz. Dann filtert er Nutzer nach Follower-Profilen und identifiziert hochwertige Ziele — also Konten, die Analysten mit großem Portfolio-Fokus auf bestimmte Token folgen. Anschließend generiert er eine täuschend echte E-Mail, in der Betreff und Absendername auf den tatsächlich verfolgten Analysten abgestimmt sind. Die Nachricht enthält einen Link zu einer gefälschten Projektseite oder einem präparierten „Portfolio-Tool“. Verbinden Sie dort eine Ethereum-, Solana- oder andere Wallet, löst das Tool sofort ein Drainer-Script aus.
Was diese Angriffsform besonders gefährlich macht, ist die fehlende Anomalie-Erkennung durch gängige Spam-Filter. Die Nachricht ist individuell, enthält keine generischen Phishing-Merkmale und spricht Sie mit kontextrelevanten Informationen an, die nur aus Ihrem tatsächlichen CoinMarketCap-Profil stammen können. KI-gestützte Phishing-Angriffe haben 2026 laut Chainalysis um 1.400 Prozent zugenommen — der CoinMarketCap-Datensatz liefert das Rohmaterial, das solche KI-Modelle für überzeugende Angriffsnachrichten benötigen. Erhalten Sie also demnächst eine E-Mail, die vorgibt, von einem Krypto-Influencer zu stammen, dem Sie tatsächlich bei CMC folgen, lassen Sie äußerste Vorsicht walten. Öffnen Sie niemals Links direkt aus solchen Nachrichten.
Welche Daten sind beim CoinMarketCap-Leak abgeflossen — und was fehlt?
Abgeflossen sind Nicknames, Follower-Listen, gefolgte Accounts und Nutzungsmetadaten von 40 bis 50 Millionen realer Konten sowie 50 bis 60 Millionen Bot-Accounts. Passwörter und Zahlungsdaten bestätigten sich nach aktuellem Stand nicht als betroffen. Die Metadaten allein reichen jedoch aus, um hochpräzise Spear-Phishing-Kampagnen zu starten, die direkt auf Wallet-Inhalte abzielen.
Wie verlagert sich das Risiko ohne Passwort-Leak?
Diese Differenzierung ist für Betroffene rechtlich wie praktisch bedeutsam. Wenn keine Passwörter abgeflossen sind, besteht zwar kein unmittelbares Risiko eines direkten Account-Einbruchs bei CoinMarketCap selbst. Das Gefährdungspotenzial verlagert sich jedoch auf externe Angriffskanäle: E-Mail, Telegram, Discord und soziale Netzwerke werden zum Einfallstor, sobald Angreifer wissen, was Sie bei CoinMarketCap verfolgen. Die Kenntnis Ihrer Interessen ist für einen gezielten Drainer-Angriff oft wertvoller als ein Passwort, das Sie ohnehin durch Zwei-Faktor-Authentifizierung gesichert hätten.
Hinzu kommt die Frage, welche Pflichten CoinMarketCap beziehungsweise die Muttergesellschaft Binance aus dem Vorfall erwachsen. Nach Art. 82 DSGVO haftet der Verantwortliche für Schäden aus einer Verletzung der Datenschutz-Grundverordnung, sofern er nicht nachweist, dass er nicht schuldhaft handelte. Dieses Haftungsregime gilt neben zivilrechtlichen BGB-Ansprüchen als eigenständige Anspruchsgrundlage — besonders relevant für europäische Nutzer, die einen konkreten Schaden durch Phishing-Folgen nachweisen können.
Was ist mit dem Datenleck rechtlich passiert — und wer haftet?
CoinMarketCap haftet als Verantwortlicher im datenschutzrechtlichen Sinn nach Art. 82 DSGVO für nachgewiesene Schäden aus dem Datenleck. Zivilrechtlich greifen § 823 Abs. 2 BGB in Verbindung mit einschlägigen Schutzgesetzen sowie § 826 BGB, wenn eine vorsätzliche sittenwidrige Schädigung vorliegt. Binance als Muttergesellschaft kann je nach Konzernstruktur in die Haftungskette einbezogen werden.
Welche Haftungsebenen treffen auf den CoinMarketCap-Fall zu?
Die Frage der Haftung hat mehrere Ebenen. Auf der datenschutzrechtlichen Ebene gilt: CoinMarketCap ist als globale Plattform, die Daten europäischer Nutzer verarbeitet, dem Anwendungsbereich der DSGVO unterworfen. Zeigt sich, dass unzureichende Sicherheitsmaßnahmen den Abfluss der Daten ermöglicht haben, steht Art. 82 DSGVO als Schadensersatzgrundlage zur Verfügung. Der Europäische Gerichtshof hat in mehreren Entscheidungen klargestellt, dass auch immaterielle Schäden ersatzfähig sind — also der Kontrollverlust über eigene Daten und das dadurch entstehende Risikobewusstsein.
Auf zivilrechtlicher Ebene kommt § 823 Abs. 2 BGB in Verbindung mit Schutzgesetzen in Betracht. Schutzgesetze in diesem Sinne sind unter anderem strafrechtliche Verbotsnormen wie § 263 StGB (Betrug) und § 263a StGB (Computerbetrug), wenn Täter die geleakten Daten für Betrugshandlungen nutzen. Darüber hinaus ist § 826 BGB einschlägig, wenn Plattformen oder intermediäre Akteure Kenntnis von Sicherheitsmängeln hatten und dennoch untätig blieben — ein Verhalten, das als vorsätzliche sittenwidrige Schädigung qualifiziert werden kann. Schließlich gewährt § 812 BGB Rückforderungsansprüche gegen diejenigen, die ohne rechtlichen Grund Vermögenswerte erlangt haben — also primär die Täter selbst, soweit sie identifizierbar sind.
Welche zivilrechtlichen Schritte empfehlen sich für Phishing-Opfer konkret?
Bei Wallet-Plünderung durch Phishing nach dem CoinMarketCap-Leak sichern Sie unverzüglich alle Transaktionsnachweise, Screenshots der Phishing-Kommunikation und Blockchain-Adressen der Täter. Danach empfiehlt sich eine spezialisierte rechtliche Prüfung, ob Ansprüche aus § 675u BGB, § 823 Abs. 2 BGB oder Art. 82 DSGVO gegen Plattformbetreiber oder beteiligte Zahlungsdienstleister bestehen.
Warum sind die ersten 72 Stunden nach einem Wallet-Drain entscheidend?
Die ersten 72 Stunden nach einem Wallet-Drain sind kritisch. In dieser Zeitspanne befinden sich die abgezogenen Kryptowerte häufig noch auf einer überschaubaren Anzahl von Zwischenadressen, bevor Täter sie über Mixer, Cross-Chain-Bridges oder Dezentralisierungs-Protokolle weiter aufspalten. Blockchain-Forensik und Krypto-Tracing bieten in diesem Zeitfenster die realistische Möglichkeit, Gelder zurückzuverfolgen und durch koordinierte Maßnahmen — etwa Freeze-Anfragen an Exchanges — zu blockieren.
Parallel zur forensischen Sicherung empfiehlt sich die Prüfung von Ansprüchen gegen Intermediäre. Hat ein Drittanbieter — beispielsweise eine Krypto-Exchange, über die gestohlene Werte weiterflossen — Sorgfaltspflichten verletzt, greifen Schadensersatzansprüche aus § 280 BGB wegen Pflichtverletzung oder aus § 675u BGB, wenn es sich um nicht autorisierte Zahlungsvorgänge handelt. Wichtig ist dabei die Abgrenzung zu § 675v BGB, der das Mitverschulden des Nutzers regelt. Angreifer berufen sich häufig darauf, dass Sie durch einen Klick „zugestimmt“ hätten. Diese Argumentation greift jedoch nicht, wenn der Klick durch Täuschung erzwungen wurde — was bei Spear-Phishing-Angriffen regelmäßig der Fall ist.
Welche weiteren Normen stärken Ihre Rechtsposition?
Sofern die hinter dem Phishing stehende Plattform in Deutschland ohne behördliche Erlaubnis operierte, sind § 32 KWG und § 54 KWG relevant. Diese Normen begründen zwar nicht unmittelbar Schadensersatzansprüche, liefern aber Argumente für die Bewertung des Gesamtunrechts und können Rückforderungsansprüche nach § 812 BGB stützen. Schließlich kann die Normkette § 73 StGB i.V.m. § 111e StPO zur Sicherung von Vermögenswerten führen. Staatsanwaltschaften erwirken dabei im Rahmen von Ermittlungsverfahren Vermögensarreste — ein Mechanismus, der Geschädigte mittelbar begünstigt, ohne dass Sie selbst ein Strafverfahren aktiv vorantreiben.
Einen umfassenden Überblick über behördliche Ermittlungsmaßnahmen und Europol-Operationen gegen Krypto-Betrug finden Sie in unserem Pillar-Artikel zum Thema. Außerdem zeigt der aktuelle Bericht zum LG-Bamberg-Urteil gegen eine Bitcoin-Bande, wie deutsche Gerichte Krypto-Betrug strafrechtlich und zivilrechtlich bewerten.
Sie haben durch eine betrügerische Plattform Geld verloren? Schildern Sie uns Ihren Fall — unsere Fachanwältin für Bank- und Kapitalmarktrecht prüft Ihre Handlungsoptionen. Schreiben Sie an kryptoschaden@rexus-recht.de oder nutzen Sie das Kontaktformular auf kryptoschaden.de.
Wie schützen Sie Ihre Wallet konkret vor Drainer-Scripts?
Drainer-Scripts aktivieren sich, sobald Sie eine Wallet mit einer präparierten Website verbinden und eine Transaktion signieren. Sie schützen sich, indem Sie Wallet-Verbindungen niemals über Links aus E-Mails oder Direktnachrichten herstellen. Prüfen Sie stets die exakte URL in der Browser-Adresszeile. Verifizieren Sie Transaktionen vor der Signatur auf Inhalt und Zieladresse.
Hardware-Wallets und die Grenzen technischer Schutzmaßnahmen
Die wichtigste Schutzmaßnahme ist die konsequente Trennung Ihrer Signierprozesse von Ihrer täglichen Internetnutzung. Hardware-Wallets wie Ledger oder Trezor zeigen die tatsächliche Transaktion auf einem manipulationssicheren Display an — aber nur, wenn Sie die Gerätesoftware aus offiziellen Quellen beziehen. Der Fake-Ledger-App-Vorfall vom April 2026 hat gezeigt, dass selbst App-Store-Einträge gefälscht sein können. 9,5 Millionen US-Dollar Schaden entstanden allein durch diese eine gefälschte Anwendung, bevor sie aus den Stores entfernt wurde.
Für Nutzer, die CoinMarketCap aktiv genutzt haben, empfiehlt sich unmittelbar nach Bekanntwerden des Leaks ein strukturiertes Vorgehen. Ändern Sie das CoinMarketCap-Passwort und prüfen Sie, ob dasselbe Passwort auf anderen Plattformen in Gebrauch ist. Aktivieren Sie für alle Krypto-Plattformen Zwei-Faktor-Authentifizierung via Hardware-Token statt SMS. Schalten Sie in Ihren E-Mail-Einstellungen eine erhöhte Spam-Filterung für Absender mit Krypto-Bezug ein. Prüfen Sie regelmäßig mit Blockchain-Explorern, ob Ihre Wallet-Adressen unbekannte ausgehende Transaktionen aufweisen. Diese präventiven Maßnahmen reduzieren das Risiko erheblich. Vollständig eliminieren Sie es jedoch nicht, solange Ihre CoinMarketCap-Profildaten im Darknet kursieren.
Wann verjähren Ansprüche nach einem Krypto-Phishing-Angriff?
Die reguläre Verjährungsfrist für deliktische Schadensersatzansprüche aus § 823 BGB beträgt drei Jahre ab Kenntnis des Schadens und der Person des Schädigers. Bei Ansprüchen aus Art. 82 DSGVO gilt ebenfalls eine dreijährige Frist. Handeln Sie frühzeitig — jede verzögerte Beweissicherung verkürzt Ihre Durchsetzungschancen erheblich.
Ab wann beginnt die Verjährungsuhr konkret zu laufen?
Die Verjährungsproblematik unterschätzen Betroffene im Krypto-Kontext häufig. Manche begreifen erst Monate nach einem Wallet-Drain, dass ein gezielter Phishing-Angriff ursächlich war. Für die dreijährige Verjährungsfrist nach § 823 Abs. 2 BGB beginnt die Frist im Moment Ihrer Kenntnisnahme. Das heißt: Sie haben Schaden und handelnde Person identifiziert oder hätten dies tun können. Bei Ansprüchen aus § 286 BGB (Verzug) kommt es auf die Fälligkeit des Anspruchs und eine Mahnung an. Stellen Sie also fest, dass Ihre Wallet nach dem CoinMarketCap-Leak durch einen Phishing-Angriff geplündert wurde, beginnt die Verjährungsuhr unmittelbar zu laufen.
Besondere Bedeutung hat in diesem Zusammenhang die Beweissicherung. Blockchain-Transaktionen sind unveränderlich auf der Chain gespeichert. Für eine rechtliche Verwertbarkeit ist es jedoch erforderlich, diese Daten professionell aufzubereiten und in Verbindung mit den Phishing-Kommunikationsnachweisen zu dokumentieren. Spezialisierte Kanzleien mit Expertise in Bankhaftung und Krypto-Betrug kennen die forensischen Standards, die für eine erfolgreiche Klage oder außergerichtliche Einigung erforderlich sind.
Welche Rolle spielt die DSGVO bei Ansprüchen gegen CoinMarketCap?
Art. 82 DSGVO verpflichtet den Verantwortlichen, bei nachgewiesener Datenschutzverletzung Schadensersatz zu leisten, sofern er sich nicht exkulpieren kann. Europäische Nutzer können diese Norm eigenständig neben zivilrechtlichen BGB-Ansprüchen geltend machen — ein wichtiger zusätzlicher Hebel, wenn BGB-Ansprüche gegen einen außereuropäischen Konzern prozessual schwierig durchsetzbar sind.
Welchen Schutz bietet Ihnen die DSGVO konkret als EU-Nutzer?
Als EU-Bürger genießen Sie den Schutz der Datenschutz-Grundverordnung unabhängig davon, wo der Plattformbetreiber seinen Sitz hat — solange dieser Daten von EU-Bürgern verarbeitet. CoinMarketCap richtet sein Angebot ausdrücklich an europäische Nutzer und unterhält eine entsprechende Datenschutzinfrastruktur. Art. 82 DSGVO schafft einen direkten Schadensersatzanspruch gegen den Verantwortlichen. Dieser Anspruch beschränkt sich nicht auf konkrete finanzielle Verluste: Bereits der Kontrollverlust über persönliche Daten und das dadurch ausgelöste Bedrohungsgefühl kann nach der Rechtsprechung des EuGH als immaterieller Schaden kompensiert werden.
Parallel dazu ist die europäische MiCAR-Verordnung zu beachten. MiCAR statuiert für Krypto-Dienstleistungsanbieter in der EU erhöhte Sorgfaltspflichten. CoinMarketCap ist zwar primär eine Datenaggregationsplattform und kein Dienstleister im engeren Sinne des MiCAR-Regelwerks. Dennoch liefert das regulatorische Umfeld einen Interpretationsrahmen dafür, welche Sicherheitsstandards CoinMarketCap als Teil des Binance-Konzerns einhalten sollte. Bei zukünftigen Datenpannen stellt sich die Frage, ob ein Unternehmen mit dieser Reichweite seinen Pflichten nach Art. 5 und Art. 32 DSGVO — technisch-organisatorische Maßnahmen — ausreichend nachkam.
Welche Beweismittel sind bei einem Phishing-Angriff nach dem Leak entscheidend?
Entscheidende Beweismittel sind die originale Phishing-E-Mail im vollständigen Header-Format, Screenshots oder Exports der gefälschten Website, Blockchain-Transaktionsbelege mit Zeitstempel und Zieladresse sowie die Hash-Werte aller relevanten Transaktionen. Je früher Sie diese Daten sichern, desto belastbarer ist Ihre Rechtsposition.
Warum fehlen vielen Betroffenen die entscheidenden Beweise?
In der Praxis zeigt sich: Viele Betroffene sehen nach einem Wallet-Drain zwar die Transaktion in einem Blockchain-Explorer, können die Kommunikation, die zum Angriff führte, aber nicht mehr rekonstruieren. E-Mails wurden gelöscht, Browser-Tabs geschlossen, Chat-Nachrichten automatisch verschwunden. Sichern Sie daher im Ernstfall unverzüglich alle verfügbaren Kommunikationskanäle. Exportieren Sie E-Mail-Headers — diese zeigen den tatsächlichen Absende-Server. Screenshotten Sie Telegram- oder Discord-Nachrichten. Exportieren Sie den Browser-Verlauf. Diese Rohdaten ermöglichen es, die Phishing-Infrastruktur des Angreifers zu rekonstruieren — ein Baustein, der für zivilrechtliche wie behördliche Verfahren gleichermaßen relevant ist.
Blockchain-forensische Analyse kann darüber hinaus zeigen, ob die gestohlenen Werte über bekannte Mixer-Dienste flossen, die selbst unter Geldwäsche-Verdacht stehen. Ansprüche aus § 261 StGB (Geldwäsche) können in solchen Szenarien für die behördliche Einschätzung relevant werden. Ebenso lässt sich durch forensische Chain-Analyse nachweisen, ob gestohlene Werte auf einer regulierten Exchange landeten — was Freeze-Anfragen und Rückforderungsansprüche nach § 812 BGB gegen die Exchange als Dritten ermöglicht.
Wie erkenne ich, ob meine CoinMarketCap-Daten betroffen sind?
Dienste wie Have I Been Pwned ermöglichen es Ihnen, Ihre E-Mail-Adresse gegen bekannte Datenleck-Datenbanken zu prüfen. Darüber hinaus sollten Sie beobachten, ob Sie in den Wochen nach dem 24. April 2026 ungewöhnliche E-Mails mit CoinMarketCap-Bezug oder personalisierten Krypto-Angeboten erhalten — das ist ein starkes Indiz für eine Nutzung Ihrer Daten.
Was tun Sie, wenn Sie vermuten, im Datensatz zu sein?
Der CoinMarketCap-Datensatz ist nach Berichten von IT-daily.net und Cybernews in Untergrundforen öffentlich verfügbar. Die Daten verbreiteten sich damit mit hoher Wahrscheinlichkeit breit. Eine absolute Gewissheit darüber, ob Ihr spezifisches Konto im Datensatz enthalten ist, lässt sich derzeit ohne die Originalquelle nicht feststellen. Als pragmatische Maßnahme empfiehlt sich daher eine proaktive Haltung: Behandeln Sie jede E-Mail, die Krypto-bezogene Links enthält und einen Analysten oder ein Projekt anführt, dem Sie tatsächlich bei CoinMarketCap folgen, als potenziellen Phishing-Versuch — unabhängig davon, ob Sie offiziell als betroffen bestätigt wurden.
Stellen Sie fest, dass Ihre Daten im Darknet gehandelt werden, haben Sie nach der DSGVO das Recht, von CoinMarketCap Auskunft über die verarbeiteten Daten (Art. 15 DSGVO), Löschung (Art. 17 DSGVO) sowie Schadensersatz nach Art. 82 DSGVO zu verlangen. Diese Rechte stehen Ihnen unabhängig von einem konkreten finanziellen Schaden zu. Sie können diese Ansprüche parallel zu zivilrechtlichen Ansprüchen geltend machen. Die Kanzlei Rexus-Recht unterstützt Sie dabei, diese Ansprüche strukturiert zu bündeln und gegenüber dem Plattformbetreiber durchzusetzen.
Häufige Fragen zum CoinMarketCap-Leak
Bin ich als CoinMarketCap-Nutzer automatisch Opfer eines Phishing-Angriffs?
Nein, der Datenleck bedeutet nicht, dass Sie bereits Opfer eines Angriffs sind. Das Abfließen Ihrer Profildaten erhöht jedoch das Risiko, dass Sie gezielt mit täuschend echten Spear-Phishing-Nachrichten kontaktiert werden. Solange Sie keine unbekannten Links aus E-Mails öffnen und keine Wallet-Verbindungen über zugesandte Links herstellen, bleibt Ihr Wallet-Vermögen zunächst sicher. Vigilanz und informiertes Vorgehen schützen Sie besser als Panik.
Was soll ich tun, wenn ich auf einen Phishing-Link geklickt habe?
Haben Sie auf einen verdächtigen Link geklickt, aber noch keine Transaktion in Ihrer Wallet signiert, besteht noch kein unmittelbarer Verlust. Trennen Sie sofort die Wallet vom Internet oder der entsprechenden dApp, prüfen Sie Ihre Wallet-Verbindungen und widerrufen Sie alle unbekannten Berechtigungen. Haben Sie bereits eine Transaktion signiert und Werte sind abgeflossen, sichern Sie alle Beweise unverzüglich und kontaktieren Sie umgehend einen spezialisierten Rechtsanwalt für eine Erstanalyse Ihres Falls.
Gegen wen richte ich zivilrechtliche Ansprüche — gegen die Täter oder CoinMarketCap?
Sie können beide Anspruchsgegner angehen. Gegen die Täter bestehen Ansprüche aus § 823 Abs. 2 BGB, § 826 BGB und § 812 BGB auf Rückgabe des Gestohlenen. Gegen CoinMarketCap als Verantwortliche im DSGVO-Sinne steht Ihnen Art. 82 DSGVO zur Verfügung, sofern Sie eine unzureichende Datensicherung nachweisen können. In der Praxis ist die Identifizierung der Täter schwierig, weshalb Ansprüche gegen Plattformbetreiber und beteiligte regulierte Intermediäre oft aussichtsreicher sind.
Welche Beweise brauche ich für eine Klage nach einem Wallet-Drain durch Phishing?
Sie benötigen die vollständige Phishing-E-Mail inklusive Header, Screenshots oder Exports der betrügerischen Website, die Blockchain-Transaktions-ID mit Zeitstempel und Zieladresse sowie einen forensisch aufbereiteten Wallet-Verlaufsreport. Zusätzlich ist eine professionelle Blockchain-Analyse hilfreich, die den Geldfluss vom ersten Drainer-Transfer bis zum aktuellen Stand der gestohlenen Werte nachvollzieht. Diese Beweissammlung ist die Grundlage für Schadensersatzansprüche und außergerichtliche Einigungen.
Wie lange habe ich Zeit, Ansprüche nach einem Krypto-Phishing-Angriff geltend zu machen?
Die regelmäßige Verjährungsfrist beträgt drei Jahre ab Kenntnis des Schadens und des Schädigers gemäß § 823 Abs. 2 BGB. Für Ansprüche aus Art. 82 DSGVO gilt ebenfalls eine dreijährige Frist. Warten Sie nicht, bis die Frist abläuft — je früher Sie handeln, desto größer ist die Chance, dass Blockchain-forensische Maßnahmen und Freeze-Anfragen an Exchanges noch fruchten. Frühzeitiges anwaltliches Handeln innerhalb der ersten Wochen nach einem Wallet-Drain sichert Ihre Rechtsposition am stärksten.
„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“
— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern