Approve, Allowance, Revoke: Wie Sie Ihre Wallet nicht zum Geldautomaten machen
Haftungsausschluss: Dieses Material dient nur zu Informationszwecken und ist keine Anlageberatung.
Wenn Token jemals ohne eine Bestätigung Ihre Wallet verlassen haben, dann war es in 9 von 10 Fällen kein Blockchain-Hack — sondern eine alte Erlaubnis, die Sie irgendwann einem Smart Contract gegeben haben. Im Jahr 2026 ist dies eine der häufigsten Ursachen dafür, dass Privatanwender Mittel verlieren: Drainer, Phishing-Seiten, gefälschte Eligibility-Checks — das gesamte Ökosystem dreht sich um Signaturen und Token-Berechtigungen.
Wir erklären, was Approve/Allowance bedeutet, warum unbegrenzte Genehmigungen gefährlich sind, wie Revoke funktioniert und was zu tun ist, wenn Sie bereits auf die falsche Schaltfläche geklickt haben.
Wichtige Begriffe
Approve: die Erlaubnis, die Sie einem Smart Contract geben, Ihre Token auszugeben.
Allowance: die Größe dieser Erlaubnis (wie viel er ausgeben darf).
Revoke: das Widerrufen dieser Erlaubnis (normalerweise durch Setzen der Allowance auf null).
Sie genehmigen nicht „Ihre Wallet“. Sie genehmigen eine bestimmte Contract-Adresse — und oft für einen sehr großen Betrag (manchmal effektiv unbegrenzt).
Wie Diebstahl durch Approve normalerweise abläuft
Ein klassischer Ablauf sieht so aus:
- Sie landen auf einer Seite: „airdrop / claim / check eligibility / mint / verify wallet“.
- Sie verbinden Ihre Wallet.
- Die Seite bittet Sie, eine „harmless“ Aktion durchzuführen — meistens eine Approve.
- Sie bestätigen diese.
- Danach kann der Contract (oder wer auch immer ihn kontrolliert) Ihre Token transferieren, ohne Sie erneut zu fragen, bis die Allowance widerrufen oder aufgebraucht ist.
Deshalb fühlt es sich an, als wären Token ohne Signatur genommen worden. Die Signatur fand statt — nur früher.
Warum unbegrenzte Approvals das größte Warnsignal sind
Viele Interfaces setzen standardmäßig auf max/unlimited, damit Sie nicht bei jedem Swap oder jeder Interaktion Gas zahlen müssen.
Vorteil: weniger Reibung.
Nachteile: ein Fehler kann dazu führen, dass jemand Ihre Token bis auf null leert.
Eine praktische Regel:
- Für einmalige Aktionen genehmigen Sie einen genauen Betrag (oder eine kleine Obergrenze).
- Unbegrenzte Genehmigungen sollten so behandelt werden, als würden Sie einem Unternehmen Ihre Karte ohne Limit geben.
Extra-Risiko 2026: Permit/Permit2 und gaslose Signaturen
Hier werden viele Nutzer erwischt.
Es gibt zwei verschiedene Realitäten:
1) Klassisches ERC-20 approve
Dies ist eine On-Chain-Transaktion. Sie zahlen Gas. Die Genehmigung ist in Explorern und in Revoke-Tools sichtbar.
2) Permit / Permit2 (gaslose Berechtigungen per Signatur)
Hier unterschreiben Sie eine Nachricht, und die Möglichkeit, Token auszugeben, kann über einen anderen Mechanismus aktiviert werden (manchmal ohne dass Sie zum Zeitpunkt der Signatur eine separate Approval-Transaktion senden).
Für den Nutzer ist es schlimmer: „nur eine Signatur“ → Token weg.
Wenn eine Seite Sie bittet, zum Verifizieren oder zur Eligibility-Prüfung zu signieren, behandeln Sie das als hohes Risiko. Bei vielen realen Betrügereien ist das die gesamte Attacke.
Wie Sie prüfen, welche Contracts Berechtigungen haben
Wählen Sie eine der folgenden Methoden.
Option A: Revoke-Tools
Öffnen Sie einen Token-Approval-Checker, verbinden Sie Ihre Wallet, wählen Sie das Netzwerk und prüfen Sie die Genehmigungen.
Worauf Sie achten sollten:
- unbekannte Contract-Namen/Domains;
- sehr große Allowances;
- Allowances für Stablecoins (USDT/USDC/DAI) — ein Favorit von Drainern;
- NFT-Genehmigungen (oft in einem separaten Reiter angezeigt).
Option B: Blockchain-Explorer (Etherscan und Äquivalente)
Gut, wenn Sie Adressen manuell verifizieren möchten.
Worauf Sie achten sollten:
- Approve-Transaktionen;
- die Contract-Adresse, die die Allowance erhalten hat;
- Token-Approval-Listen (falls die Explorer-UI sie anbietet).
Option C: Ihre Wallet-Oberfläche
Einige Wallets zeigen Genehmigungen an, aber spezialisierte Tools sind meist schneller und klarer.
Wie Sie sicher widerrufen (Revoke)
Schritt 1: Das richtige Netzwerk identifizieren
Genehmigungen gelten pro Netzwerk: Ethereum, Arbitrum, Base, BNB Chain etc.
Wenn Sie während eines Claims auf einer Kette genehmigt haben — müssen Sie auf genau dieser Kette widerrufen.
Schritt 2: Genehmigungen aufrufen und nach Risiko priorisieren
Beginnen Sie mit Stablecoins (USDT/USDC/DAI), großen liquiden Tokens (wrapped ETH, Hauptwerte), dann alles andere.
Schritt 3: Unbegrenzte und unbekannte Genehmigungen entfernen
Nutzen Sie Revoke/Set allowance to 0.
Dies ist in der Regel eine On-Chain-Transaktion, daher fallen Gasgebühren an.
Schritt 4: Nach ein paar Minuten erneut prüfen
Einige Oberflächen cachen Ergebnisse. Bestätigen Sie, dass die Allowance jetzt 0 ist.
Was tun, wenn Token bereits abgezogen wurden
Behandeln Sie es wie einen Brandfall.
1) Bewegen Sie verbleibende Assets sofort auf eine neue Adresse — unverzüglich
- idealerweise erstellen Sie diese in einem sauberen Browser-Profil oder auf einem anderen Gerät;
- verbinden Sie die kompromittierte Wallet nicht mit irgendwelchen "Recovery"- oder "Check"-Seiten.
2) Widerrufen Sie Genehmigungen für die kompromittierte Adresse
Das holt gestohlene Mittel nicht zurück, kann aber weitere Transfers der noch vorhandenen Mittel stoppen.
3) Prüfen Sie Genehmigungen über alle Netzwerke hinweg
Betrüge sind oft Multi-Chain. Viele Leute säubern Ethereum und vergessen Base/Arbitrum.
4) Trennen Sie „Risk-Aktivitäten“ von Ihrer Haupt-Wallet
Wenn diese Adresse für Airdrops/Mini-Apps genutzt wurde, verwenden Sie sie nicht weiter als Ihre primäre Wallet.
Fazit
Approve ist ein nützliches Prinzip — und zugleich der Hauptgrund, warum Wallets am häufigsten als Geldautomat für Angreifer dienen. Im Jahr 2026 gewinnen diejenigen, die grundlegende Hygiene betreiben: Genehmigungen begrenzen, regelmäßig widerrufen und Adressen nach Rolle trennen.