MetaMask sicher herunterladen (und echt verifizieren)

Rund 90 % der Krypto-Diebstähle beginnen mit Phishing, und einer der einfachsten Angriffe ist zugleich einer der wirksamsten: eine gefälschte MetaMask. Betrüger kaufen "MetaMask Download"-Anzeigen, klonen die Website unter einer falsch geschriebenen Domain und veröffentlichen täuschend echte Erweiterungen. Die Fälschung verhält sich genau wie die echte Wallet – bis du deine geheime Wiederherstellungsphrase eingibst. In diesem Moment ist dein Guthaben weg.

Die gute Nachricht: Das lässt sich mechanisch vermeiden. Lade aus der einzigen offiziellen Quelle, bestätige, dass der Eintrag echt ist, und verifiziere die Datei selbst. So gehen alle drei Schritte.

Die einzigen offiziellen MetaMask-Quellen

Die Website

Es gibt genau eine offizielle Website: metamask.io/download. Tippe sie manuell ein oder öffne sie über ein gespeichertes Lesezeichen. Erreiche sie nicht über eine Suchanzeige, einen Link in einer E-Mail oder Nachricht oder ein nicht verifiziertes "MetaMask"-Suchergebnis – so landet man am häufigsten auf einem Klon. Prüfe vor dem Download das SSL-Schloss und lies die Domain Zeichen für Zeichen (Vorsicht vor Typosquats wie metarnask.io oder metamask-app.com).

Die Browser- und App-Stores

Von metamask.io bringt dich der Download-Button zum legitimen Eintrag im Chrome Web Store, bei Firefox Add-ons, Brave oder Edge. Auf dem Handy leitet er zur echten App-Store- oder Google-Play-Seite weiter. Die Stores sind moderiert, was zusätzlichen Schutz bietet – doch Fälschungen rutschen trotzdem durch, daher zählt der nächste Schritt.

So bestätigst du, dass die Erweiterung die echte MetaMask ist

Bevor du auf "Zum Browser hinzufügen" klickst, prüfe den Eintrag:

• Erweiterungs-ID. Die offizielle MetaMask-Chrome-Erweiterungs-ID lautet nkbihfbeogaeaoehlefnkodbefgpgknn. Sie steht in der Store-URL direkt nach /detail/. Lautet die ID anders, ist es nicht MetaMask.
• Entwicklername. Der Herausgeber muss "MetaMask" sein. Achte auf das Abzeichen für verifizierte Herausgeber.
• Nutzerzahl. Die echte Erweiterung hat über 10 Millionen Nutzer und Tausende Bewertungen. Ein Eintrag mit ein paar hundert Nutzern ist eine Fälschung.
• Symbol. Das Fuchs-Symbol muss exakt übereinstimmen – Fälschungen ändern oft leicht die Farben oder Proportionen.

So verifizierst du die heruntergeladene Datei

Bei Desktop-Builds und manuellen Installationen kannst du beweisen, dass die Datei nicht manipuliert wurde – ganz ohne Vertrauen.

Was eine Prüfsumme beweist

Eine SHA-256-Prüfsumme ist ein eindeutiger Fingerabdruck einer Datei. Ändere ein einziges Byte – etwa durch eingeschleuste Malware – und der gesamte Hash ändert sich. Stimmt also der Hash deines Downloads mit dem von den Entwicklern veröffentlichten überein, hast du genau die Datei, die sie ausgeliefert haben.

In 30 Sekunden verifizieren

1. Lade MetaMask aus der oben genannten offiziellen Quelle.
2. Öffne den SHA-256-Verifier von WalletGuard im Browser und ziehe deine Datei in das Feld. Der Hash wird lokal in deinem Browser berechnet – es wird nichts hochgeladen.
3. Vergleiche das Ergebnis mit dem von MetaMask veröffentlichten SHA-256-Wert, der auch auf unserer offiziellen MetaMask-Download-Seite steht.
4. Stimmen die Hashes überein → die Datei ist echt. Weichen sie ab → lösche sie und lade erneut aus der offiziellen Quelle.

Nach der Installation: schütze deine Wiederherstellungsphrase

Sicher herunterzuladen ist die halbe Miete. Die andere Hälfte: gib deine Schlüssel niemals an einen Angreifer.

• MetaMask fragt nie im normalen Betrieb nach deiner geheimen Wiederherstellungsphrase – nur, wenn du absichtlich eine Wallet auf einem neuen Gerät wiederherstellst. Jede Website, jedes Pop-up oder jeder "Support-Mitarbeiter", der danach fragt, bestiehlt dich.
• MetaMask hat keinen Telefon-Support. Jede Nummer, die sich als "MetaMask-Support" ausgibt, ist Betrug.
• Bewahre deine Wiederherstellungsphrase offline auf – nie in einem Screenshot, einer Cloud-Notiz oder E-Mail.

Häufige Fragen

Was ist die offizielle MetaMask-Download-URL?

Die einzige offizielle Quelle ist metamask.io/download, die zu den verifizierten Erweiterungs-Stores und den echten App-Store- und Google-Play-Einträgen verlinkt. Tippe sie manuell ein oder nutze ein Lesezeichen; lade MetaMask nie über Anzeigen oder E-Mail-Links.

Woran erkenne ich, ob eine MetaMask-Erweiterung echt ist?

Bestätige, dass der Entwickler "MetaMask" ist, der Eintrag über 10 Millionen Nutzer und Tausende Bewertungen hat, das Fuchs-Symbol korrekt ist und die Chrome-Erweiterungs-ID nkbihfbeogaeaoehlefnkodbefgpgknn lautet. Ein neuer Eintrag mit wenigen Bewertungen ist eine Fälschung.

Wie lautet die offizielle MetaMask-Chrome-Erweiterungs-ID?

Sie lautet nkbihfbeogaeaoehlefnkodbefgpgknn und ist in der Store-URL nach /detail/ sichtbar. Weicht die ID ab, installiere sie nicht.

Kann ich die MetaMask-Datei mit einer Prüfsumme verifizieren?

Ja: Bei Desktop- und manuellen Installationen berechnest du den SHA-256-Hash der Datei und vergleichst ihn mit dem von MetaMask veröffentlichten Wert. Der Verifier von WalletGuard macht das lokal in deinem Browser.

Ist die "Wallet Guard"-Erweiterung dasselbe wie WalletGuard.cc?

Nein. WalletGuard (walletguard.cc) ist ein unabhängiges Verzeichnis verifizierter Downloads und ein Prüfsummen-Tool im Browser. Es ist nicht die ehemalige "Wallet Guard"-Browser-Erweiterung von walletguard.app, die von Consensys übernommen und in MetaMask integriert wurde. Das sind verschiedene Produkte verschiedener Anbieter.

Fazit

Installiere von metamask.io/download, bestätige Erweiterungs-ID und Nutzerzahl, verifiziere die SHA-256-Prüfsumme und schütze deine Wiederherstellungsphrase. Vier Schritte, ein paar Minuten – und der Unterschied zwischen einer echten und einer leergeräumten Wallet.

In anderen Sprachen lesen: English · Español · Português · Français · Türkçe · 日本語