Ein als „verified“ gelistetes Steam-Spiel namens Block Blasters hat einem Streamer mit einer Krebsdiagnose während eines Charity-Streams Kryptowährungen im Wert von rund 32.000 US-Dollar entwendet. Der Titel war knapp zwei Monate auf Steam verfügbar und erhielt am 30. August ein Update, das einen Krypto-Drainer einschleuste. Der Vorfall wurde live sichtbar, als der lettische Streamer RastalandTV Spenden für seine Behandlung sammelte und kurz darauf sein Wallet geleert wurde. Inzwischen ist das Spiel aus dem Store verschwunden. Der Fall wirft Fragen nach Steams Prüfprozessen und nach grundlegender Wallet-Hygiene auf.
Was bekannt ist: Block Blasters wurde vom Konto eines Entwicklers namens „Genesis Interactive“ veröffentlicht und zunächst als harmloser 2D-Plattformer wahrgenommen. SteamDB protokolliert, dass der Depot-Build am 30. August aktualisiert wurde, bevor am 21. September letztmals Änderungen einflossen. In dieser Phase wurde laut Analysen der bösartige Code nachgeladen. Der Angriff funktionierte über ein Dropper-Skript, das die Umgebung prüfte, Zugangsdaten und weitere Informationen abgriff und an eine Kommandostruktur weiterleitete. Forscher beobachteten ergänzend eine Python-Backdoor und ein StealC-Payload im Einsatz.
So lief der Diebstahl ab: Der Drainer zielte darauf ab, Krypto-Assets direkt zu transferieren, sobald er Anhaltspunkte auf Wallets und Authentifizierungsdaten fand. Sicherheitsquellen gehen davon aus, dass die Täter Personen in sozialen Netzwerken ansprachen und gezielt zum Download des Spiels einluden. Im Fall von RastalandTV passierte der Abfluss während einer Livesendung. Parallel zu diesem Einzelereignis nennen On-Chain-Ermittler eine deutlich größere Schadenssumme im Kollektiv. Demnach wurden über die Kampagne bereits rund 150.000 US-Dollar von hunderten Steam-Konten gestohlen. Andere Beobachter sprechen von noch mehr betroffenen Accounts. Valve hat das Spiel entfernt. Eine Stellungnahme lag zum Zeitpunkt der Veröffentlichung nicht vor.
Reaktionen der Community: In Foren und Community-Hubs tauchten rasch Warnungen vor Block Blasters auf, inklusive Hinweisen auf ein verdächtiges Batch-Skript, das Sicherheitssoftware deaktivieren und nach Wallet-Dateien suchen soll. Auf X und in einschlägigen Diskussionsforen dokumentierten Nutzer den zeitlichen Ablauf vom ersten Alarm bis zur Entfernung des Titels aus dem Store. Deutschsprachige Medien griffen den Fall ebenfalls auf und verweisen auf die Chronologie der Updates sowie die live dokumentierte Spendenaktion.
Einordnung: In den vergangenen Monaten gab es mehrere Fälle von Malware-Titeln auf Steam. Das unterstreicht eine strukturelle Herausforderung für Plattformen mit niedriger Veröffentlichungsbarriere. Selbst wenn Valve nach Hinweisen reagiert und Inhalte entfernt, bleibt für Nutzer eine relevante Restgefahr zwischen Updates, Reviews und vermeintlichen „Verifizierungen“. Gerade wenn ein Spiel erst wenige Bewertungen hat, kostenlos ist und über externe DMs beworben wird, sollten Alarmglocken schrillen. Die vorliegenden Indizien deuten zudem auf eine gezielte Auswahl potenziell lohnender Opfer hin, etwa Content-Creator mit Krypto-Vermögen oder laufenden Fundraisern.
Was Betroffene jetzt tun sollten: Wer Block Blasters installiert hat, sollte umgehend alle Steam-Passwörter und -Tokens zurücksetzen und gegebenenfalls kompromittierte Systeme neu aufsetzen. Private Keys und Seed Phrases gehören niemals auf Gaming-PCs. Hardware-Wallets reduzieren das Risiko, weil Signaturen lokal auf dem Gerät erfolgen. Für Hot-Wallets empfiehlt sich eine Trennung nach Zweck, geringe Guthaben, enge Berechtigungen und aktuelle Betriebssysteme. Auch ein gesondertes Nutzerprofil ohne Adminrechte für Spiele kann Angriffsflächen verkleinern.
Silberstreif im Einzelfall: Inmitten der Aufregung meldeten Unterstützer aus der Krypto-Szene, dass sie den Verlust des Streamers kurzfristig ausgleichen. Das ändert nichts am Schaden für weitere Opfer und an der Notwendigkeit sauberer Prüfprozesse bei Plattformen, zeigt aber, wie schnell Communitys im Ernstfall reagieren können.
Fazit: Der Fall Block Blasters ist mehr als eine tragische Ausnahme. Er zeigt, wie geschickt Angreifer die Vertrauenskette aus Store-Listung, „Verifizierung“, Community-Bewertungen und Social-Media-Kontakt ausnutzen. Für Valve bleibt die Aufgabe, Erkennungsmechanismen weiter zu schärfen und auf Meldungen noch schneller zu reagieren. Für Spieler gilt, dass Convenience beim Download niemals wichtiger ist als die Basishygiene im Umgang mit Identitäten und Wallets. Für Creator und Spendenaktionen empfiehlt sich eine strikte Trennung von Streaming-Setup und Finanz-Infrastruktur, damit ein Spielfehler nicht zum finanziellen Game Over wird.
Wichtige Eckdaten auf einen Blick
- Spiel/Entwickler: Block Blasters von „Genesis Interactive“, inzwischen von Steam entfernt.
- Zeitleiste: Veröffentlichung 30. Juli, Drainer-Update am 30. August, Entfernung um den 21./22. September.
- Opferzahlen: Einzelschaden beim Streamer ca. 32.000 US-Dollar, mutmaßlich 150.000 US-Dollar Gesamtschaden bei hunderten Konten.
- Technik: Dropper-Skript mit Datendiebstahl, beobachtete Backdoor und StealC-Infostealer, zeitweise deaktivierte C2-Infrastruktur.
- Reaktion: Community-Warnungen, Entfernung aus dem Store, laufende Medienberichte auch im deutschsprachigen Raum.
Quellen
- BleepingComputer: Verified Steam game steals streamer’s cancer treatment donations
- SteamDB: Block Blasters – Depot-Historie und Manifeste
- Golem.de: Malware bringt Krebspatienten um lebensrettende Spenden
- VX-Underground auf X: Entfernung von Block Blasters und Analysehinweise
- ZachXBT auf X: Opferzahlen, C2-Takedown und technische Details
Über den Autor
