Pudgy Penguins hat ein neues Spiel gestartet. Krypto-Betrüger haben eine gefälschte Version erstellt

Kurzfassung

• Eine gefälschte Website imitiert das neu gestartete Spiel Pudgy World.
• Der Angriff ahmt echte Krypto-Wallet-Oberflächen nach, um Passwörter zu stehlen.
• Phishing ist eine der wichtigsten Cyberkriminalitätsformen, mit über 193.000 FBI-Beschwerden im Jahr 2024.

Eine gefälschte Website, die Pudgy Penguins’ neu gestartetes Browser-Spiel Pudgy World imitiert, versucht, Kryptowallet-Passwörter zu stehlen, warnte das Cybersicherheitsunternehmen Malwarebytes Labs am Dienstag. In einem Bericht erklärte Malwarebytes, dass die Phishing-Aktion pudgypengu-gamegifts[.]live hochgradig überzeugende Nachbildungen von Krypto-Wallet-Oberflächen nutzt, um Nutzer zu täuschen. „Einige Funktionen sind mit digitalen Sammlerstücken und In-Game-Items verbunden, die in Kryptowallets gespeichert sind. Das bedeutet, dass das offizielle Spiel die Spieler manchmal auffordert, eine Krypto-Wallet zu verbinden, um Eigentum zu verifizieren oder zusätzliche Funktionen freizuschalten“, sagte Stefan Dasic, leitender Malware-Forscher und Berichtautor.

Eine Phishing-Seite, die das neu gestartete Pudgy World Browser-Spiel imitiert, stiehlt Krypto-Passwörter.https://t.co/9Z1CsYdFhu

— Malwarebytes (@Malwarebytes) 18. März 2026

„Die Phishing-Seite nutzt diesen Schritt aus: Wenn ein Besucher seine Wallet auf dieser gefälschten Seite auswählt, zeigt sie den Eindruck erweckenden Entsperrbildschirm dieser Wallet. Für den Nutzer sieht es aus wie die echte Krypto-Wallet-Software, die er bereits vertraut.“
Phishing bleibt eine der am weitesten verbreiteten Formen der Cyberkriminalität. Laut dem Internet Crime Complaint Center (IC3) des FBI wurden im Jahr 2024 193.407 Beschwerden über Phishing- und Spoofing-Betrügereien gemeldet, mit einem gemeldeten Schaden von über 70 Millionen US-Dollar. Es ist unklar, ob jemand Opfer dieser speziellen Seite wurde.
Was ist Pudgy World?
Die Warnung erfolgt eine Woche nach dem Start von Pudgy World, einem kostenlosen Browser-Spiel, das mit der NFT-Marke Pudgy Penguins verbunden ist. Das Spiel, das am 10. März live ging, ermöglicht es den Spielern, eine virtuelle Welt zu erkunden, Pinguin-Avatare anzupassen und Quests abzuschließen, wobei einige Funktionen die Verbindung von Kryptowallets erfordern.
Pudgy Penguins hat sich seit der Übernahme durch CEO Luca Netz im Jahr 2022 schnell entwickelt, von einer NFT-Sammlung zu einer breiteren Verbrauchermarke mit Einzelhandelsprodukten, einem Mobile Game und jetzt einem browserbasierten Spiel. Laut CoinGecko liegt der Floor-Preis bei 4,25 ETH (9.500 USD), deutlich unter 88,3 % des Höchststands von 36,33 ETH im Dezember 2024.

Dasic sagte, dass der Zeitpunkt der Kampagne absichtlich gewählt sei, um mit dem Start des Spiels und dem Zustrom neuer Nutzer zusammenzufallen, die mit den Sicherheitspraktiken bei Krypto-Wallets nicht vertraut sind.
„Die Zielgruppe der Wallets ist ebenfalls bedeutend. Die Kampagne lässt kaum eine Wallet-Blindstelle unberührt“, sagte er. „Egal, ob der Nutzer Ethereum, Solana oder Multi-Chain-Assets hält, es wartet eine überzeugende Fälschung auf ihn.“
„Das Erstellen von 11 wallet-spezifischen UI-Fälschungen ist keine triviale Aufgabe“, fügte Dasic hinzu, was darauf hindeutet, dass entweder ein „gut ausgestatteter Bedrohungsakteur“ dahintersteckt oder ein kommerzielles Phishing-Kit wiederverwendet wurde, das für diese Art von Angriff entwickelt wurde.
Solche Taktiken sind in Krypto-Betrugsmaschen üblich, bei denen Angreifer Domains registrieren, die echten ähnlich sind, oder Suchanzeigen manipulieren, um authentisch zu wirken. Zum Beispiel könnten Betrüger offizielle E-Mails versenden, die eine Domain mit „.qov“ anstelle von „.gov“ verwenden, in der Hoffnung, dass die Nutzer den kleinen Unterschied nicht bemerken.
Pudgy Penguins wurde bereits zuvor von Betrügern mit gefälschten Seiten ins Visier genommen. Im Dezember 2024 warnte die Blockchain-Sicherheitsfirma Scam Sniffer, dass Angreifer bösartige Google-Anzeigen nutzten, um Pudgy Penguins-Plattformen zu imitieren und Nutzer dazu zu verleiten, ihre Wallets zu verbinden.

Nutzer werden geraten, offizielle Seiten nur über vertrauenswürdige Lesezeichen aufzurufen, keine Links aus sozialen Medien oder Direktnachrichten zu klicken und zu beachten, dass legitime Wallet-Passwortaufforderungen nicht innerhalb von Webseiten erscheinen. Malwarebytes empfahl außerdem, Wallet-Passwörter sofort zu ändern, wenn Anmeldedaten auf einer verdächtigen Seite eingegeben wurden, und in Erwägung zu ziehen, Gelder auf eine neue Wallet zu übertragen, falls ein Kompromiss vermutet wird.

Pudgy Penguins wurde um eine Stellungnahme gebeten.