Phishing ist ein Social-Engineering-Angriff, bei dem jemand dazu gebracht wird, freiwillig Zugangsdaten preiszugeben oder eine Transaktion zu genehmigen, von der ein Angreifer profitiert, anstatt eine technische Schutzmaßnahme zu durchbrechen. Bei Krypto ist der Schaden ungewöhnlich endgültig: Sobald ein Betrüger eine Seed Phrase, einen Private Key oder eine signierte Wallet-Genehmigung besitzt, können Guthaben innerhalb von Sekunden abgezogen werden, und es gibt keine Bank, die eine Rückbuchung veranlassen kann.
Klassisches Krypto-Phishing setzt auf eine geklonte Login-Seite einer Exchange, eine gefälschte Website zum "Synchronisieren" einer Wallet oder zum Einlösen eines Airdrops, oder eine gefälschte Support-Nachricht, die einen Nutzer auffordert, seine Wiederherstellungswörter einzutippen. Neuere Varianten verzichten ganz auf den Diebstahl von Zugangsdaten: Eine betrügerische dezentrale App zeigt eine "Approve"-Transaktion, die routinemäßig wirkt, dem Angreifer aber in Wirklichkeit unbegrenzte Ausgabenrechte über ein Token einräumt, ein Risiko, das viele Wallets heute vor der Bestätigung einer Signatur zu erkennen versuchen. Eine verwandte Taktik namens Address Poisoning verschickt eine nahezu wertlose Überweisung von einer ähnlich aussehenden Adresse, sodass sie im Transaktionsverlauf des Opfers erscheint; kopiert das Opfer beim nächsten Versand eine Adresse, greift es möglicherweise versehentlich zur Version des Betrügers.
Sicherheitsforscher verzeichneten 2025 und bis 2026 Verluste in Höhe von Hunderten Millionen Dollar durch Phishing-Kits und automatisierte Wallet Drainer, die größtenteils über gefälschte Browser-Erweiterungen, nachgeahmte Support-Konten in sozialen Netzwerken und auf die sichtbare On-Chain-Aktivität eines Opfers zugeschnittene Nachrichten verbreitet wurden. Die Aktivierung von 2FA, das Setzen von Lesezeichen für offizielle Seiten statt auf Links zu klicken, das Überprüfen vollständiger Adressen statt gekürzten zu vertrauen, sowie das grundsätzliche Verbot, eine Seed Phrase auf einer Website einzugeben, bleiben die Standardschutzmaßnahmen.