Cricktor

Fehler in wessen Smart Contract?

Ja, klar, ist 'ne fiese Erfahrung, die keiner machen möchte. Bedenke, daß man auch komplexe Passwörter vergessen kann (Krankheit, Unfall, Tod), besonders auch wenn die so gut und lang sind, daß ein Brute-force-Angriff praktisch chancenlos wäre. Ich bin zwar kein Informatiker, aber ich kann aus Erfahrung sprechen, daß man auch sicher geglaubte gute Passwörter, die man nicht dokumentiert hat, erfolgreich vergessen kann bzw. nicht mehr vollständig rekonstruiert bekommt (selber ausgetrickst). Meeh! Seed-Wörter ausdrucken ist u.U. gefährlich, da man diese letztlich digital verarbeitet zu einem Drucker sendet. Nicht viele haben hier volle Kontrolle über alle temp. Daten, die dabei anfallen und auf dem Rechner gespeichert werden. Besser vermeiden... (Battlecore, mach' du dein Ding, wenn du es so für richtig hältst...) Die sicherste Variante ist, die Mnemonic Seed Wörter nie digital auf Papier zu schreiben, ggf. mehrfach und alle Kopien sicher und redundant aufzubewahren, so daß Niemand davon Kenntnis erlangen kann. In Stahlplatte oder nichtrostende Unterlegscheiben stempeln kann man auch machen, um eine feuerresistente Ablageform zu haben. Kann jede/r machen, wie sie/er es für notwendig hält. Gibt nicht die einzig wahre Lösung. Das Assessment, was und wie du mit deiner Wallet und dem Private Key umgegangen bist, kannst nur du machen. Exodus ist zwar closed-source, jetzt aber auch nicht dafür bekannt, bösartig zu sein. Du hast dein Exodus von der offiziellen Exodus-Seite und auch verifiziert, daß es das Original ist? Die Mnemonic Seed Wörter hat dir Exodus beim Erstellen der Wallet generiert? Die Historie deiner Adresse zeigt nur regelmäßige Withdrawals von Hiveon auf deine Adresse, keine anderen Aktivitäten bis auf das letzte Abräumen deiner Ether. Sind die BTC denn noch da? Du schreibst "kleinen BTC Betrag": ist der evtl. trotzdem "groß" genug, daß den ein Dieb mitnehmen würde, wenn er könnte?

Deine ETH lagern ja nicht in deinen Wallets, sondern die sind stets "in der Blockchain". Deine Wallets verwalten nur die Private Keys, die man zum Bewegen der Coins benötigt. Es spielt also keine Rolle, ob dein Desktop oder dein Smartphone online waren oder nicht. Wenn ein Bösewicht deine Coins bewegt hat, dann hat er Zugang zu deinen Private Key(s) erlangt. Dies kann über verschiedenste Wege erfolgt sein, z.B. deine Walletdatei ist abhanden gekommen und war nicht oder nur durch ein unzureichendes Passwort geschützt; du hast deine Mnemonic Seed Wörter entgegen der Anleitung trotzdem irgendwie elektronisch gespeichert, z.B. in einer Datei oder ein Foto deiner aufgeschriebenen Seed-Wörter gemacht; du benutzt auch Metamask und hast dort auch deine Mining-Withdrawal-Adresse drin und hast dein Metamask mit einer bösartigen Seite verbunden und dieser Verbindung zuviele Rechte eingeräumt; du hast ein inoffizielles bösartiges Exodus benutzt und nicht verifiziert, ob es das echte ist; dein Smartphone ist gerootet und du hast da irgendeinen Scheiß drauf, der wichtige Daten klauen kann; ... Danke, daß du die Tx-ID genannt hast, dann kann man mal einen Blick werfen. Blöd ist natürlich, daß deine Adresse bereits vor 26 Tagen in die ETH-Adresse 0x80c8c297d4a0769abc84f44a6fa7a3b99dfa9ef8 geleert wurde. Letzte Transaktionen der Bösewicht-Adresse waren vor 13 Tagen. Der Polizei könntest du diese Adresse mitteilen, falls du das nicht ohnehin schon gemacht hast. Blöd deswegen, weil natürlich reichlich Zeit zum Auscashen war. Du könntest @btctester.com fragen, ob in der Transaktionshistorie dieser Bösewicht-Adresse eine Verbindung zu einer Exchange-Adresse erkennbar ist, dann hätten die Ermittlungsbehörden einen Ansatzpunkt, um ggf. Echange-Konten und -Besitzer ausfindig zu machen. Nicht alle Ganoven sind cryptocoin-schlau... Betrachte natürlich deine Exodus Wallet als kompromittiert. Falls da noch andere Coins drauf sind, solltest du die besser von da wegräumen. Für dich wichtig wäre meines Erachtens, nachvollziehen zu versuchen, auf welche Art und Weise deine Wallet oder Key kompromittiert wurde, damit du den fraglichen Fehler nicht wiederholst. Mein Tipp bzgl. Wallet auf Smartphone: nur Watch-only-Wallets bei größeren Werten (alles über mehrere Hundert Euro), sonst nur als aktive Hot-Wallet mit 'nem Betrag, den man auch in der eigenen phys. Börse mit sich tragen würde.

Ja, neualter Hut. Ich finde das relativ sinnlos, wenn es z.B. in den Märkten dann auch keine Möglichkeit gibt, mit Bitcoin etwas zu bezahlen. Das trauen die sich nämlich nicht, diese Mark-Schisser. Und wenn man sich die Nutzungsbedingungen durchliest, bekommst du das Grauen. Nein, danke, dann doch lieber Bisq...

Jeder Account für jeden Coin kann im Prinzip bis zu ~2,147 Milliarden (standardmäßig gehärtete) Adressen haben, mehr als genug und man je brauchen wird. Gefühlt unbegrenzt. Neue Adressen für jeden Account werden bei Bedarf generiert, das macht die Wallet-Software automatisch.

Der Übergang von PoW --> PoS ist ja noch nicht in trockenen Tüchern, auch wenn es jetzt vielleicht tatsächlich danach aussieht, daß es vollzogen werden kann. Auch wenn anscheinend bisherige Tests gut verlaufen sind, daß man bisher keinen Grund hat, 'ne Notbremse zu ziehen, bleibt es doch ein Wagnis. ETH 2.0 mit PoS muss dann auch erst noch beweisen, daß es sicher und stabil läuft. Da kann ich im Moment etwas gedämpfte Euphorie durchaus nachvollziehen bzw. ein Nachlassen derselben.

Ein Nachteil einer einzigen BTC-Adresse zum Empfang wäre, daß bei einem späteren Transfer aus dieser an Fremde, jene die regelmäßige Spar-Historie dieser Empfangsadresse sehen. Nicht schön, aber auch kein Beinbruch. Ein xpub (oder ypub/zpub, je nach Adress-Schema) macht alle öffentlichen Adressen und somit die gesamte Historie der Wallet zugänglich. Aus diesem Grunde würde ich für Pocket eine eigene Wallet nehmen, nur dafür. Dann genießt man den Vorteil eines Extended Public Keys, daß der Sender (Pocket) für jeden Transfer eine eigene Empfangsadresse deiner Wallet nutzt --> jeder Transfer steht für sich. Nur wenn man die einzelnen Transfers aggregiert, offenbart man die gemeinsame Historie. Wenn man wie @Akles eine Hardware-Wallet hat, könnte man eine zusätzliche Wallet vom bestehenden Mnemonic Seed durch Nutzung der optionalen Mnemonic Seed Passphrase erstellen. Dann ändern sich die eigenen Mnemonic Seed Wörter der eigenen Standard-Wallet nicht und mit der optionalen Mnemonic Seed Passphrase wird eine weitere Wallet (hier dann z.B. nur für Pocket) abgeleitet. Das sollte man allerdings nur tun, wenn man ganz genau verstanden hat, was die optionale Mnemonic Seed Passphrase bedeutet! (Diese sollte ordentlich redundant dokumentiert und gesichert werden und am besten nicht zusammen mit den Mnemonic Seed Wörtern!) Jede unterschiedliche Mnemonic Seed Passphrase leitet dann eine eigene Wallet ab. Ein Extended Public Key macht nicht den Extended Private Key oder gar den Seed der Wallet zugänglich. Da muss man sich bei den üblicherweise verwendeten gehärteten Schlüsselableitungspfaden keine Sorgen machen. Wer sich hierzu informieren möchte, stöbert z.B. auf https://learnmeabitcoin.com in den entsprechenden Bereichen für HD-Wallets und Key Derivation herum.

Ein Anstieg der durchschnittlichen Blockzeit ist deutlich erkennbar und wird weiter steigen: https://ycharts.com/indicators/ethereum_average_block_time

Ich korrigier' das mal: ..., der muss ja to-the-Kwoon gehen...

Ja, eine App kann das vom Android OS explizit anfordern, daß vom Bildschirminhalt kein Screenshot und wahrscheinlich auch sonst keine Daten von z.B. Bedienhilfefunktionen ausgelesen werden dürfen. Wenn Android Wallets (sehr) sensible Informationen anzeigen, sollten diese auch so etwas analog zu Banking-Software aktivieren (könnte man ja auch per Einstellungsoption wählbar gestalten). Ich weiß aber nicht, welche Android Wallets dies tatsächlich nutzen. Ich denke mal in iOS dürfte es etwas Ähnliches auch geben. Es könnte auch sein, daß in iOS die Abschottung von Apps gegeneinander konsequenter als bei Android umgesetzt ist. So intensiv verfolge ich das für iOS nicht. Beide Smartphone-Ökosysteme haben genug Bugs, daß die vermeintlich auch per Marketing proklamierte Sicherheit relativ wackelig ist und im Prinzip nur davon abhängt, wieviel Aufwand ein Angreifer betreiben möchte, um sein Ziel zu erreichen. Zero-Day-Exploits für Android OS und iOS sind allerdings wertvolle Güter, da es dafür einen Markt gibt, der viel und gutes Geld zahlt. Abnehmer gibt es genug (Nachrichtendienste, professionelle Spyware, Behörden/Staaten, andere Schurken). Ich glaube aber nicht so ganz daran, daß wertvolle Exploits zum Stehlen von Smartphone-Wallets "verschwendet" werden. Das könnte sich allerdings auch ändern, wenn immer mehr Menschen den Fehler machen, wertvolle Wallets auf's Smartphone zu bringen. Das ist schon allein deswegen unsinnig, weil ein Smartphone tendenziell leichter als ein stationäres Gerät abhanden kommen kann, sei es durch Verlieren oder Diebstahl. Hab's gerade mal ausprobiert. Electrum auf Android verhindert nicht, daß man einen Screenshot vom Mnemonic Seed machen kann. Das ist nicht so schön, auch wenn die App hinschreibt, daß man den Mnemonic Seed nicht elektronisch speichern sollte. Wer an dieser Stelle einen Screenshot macht, ist selber schuld. Andererseits können andere Apps, die sich die Rechte erschlichen haben, den Bildschirminhalt auszulesen, dies an dieser Stelle sehr wahrscheinlich tun. Die Box, in der der Mnemonic Seed angezeigt wird, ist allerdings möglicherweise keine "normale" Textbox. Ein Markieren zum Auswählen der Wörter ist nicht möglich, um diese in die Zwischenablage zu kopieren (was wiederum ein Fail wäre, da jede beliebige App sich im Android System zum Belauschen der Zwischenablage registrieren kann, ohne Benutzerinteraktion soweit ich mich erinnere!). Electrum verwendet auch eine eigene kontextsensitive Eingabetastatur für die Wiederholung des Mnemonic Seeds, so daß bösartige Tastatur-Apps den Mnemonic Seed nicht abgreifen können. Das ist gut umgesetzt.

Nanu, ich dachte das Zeug wird genau so gemacht!?! Ja mei, ist rückwärts AnalOS, der Betrieb muss hin und wieder auf's Klo und den Stau rausdrücken, das geht nicht im Laufen. Ich bin kein Kryptologe, interessiere mich nur für solche Dinge intensiv. Was ich bisher zu SHA-256 gelesen und gesehen habe, ist das ein ziemlich gut untersuchter Hash-Algorithmus und soweit man sagen kann, dürfte eine Hintertür äußerst unwahrscheinlich sein. Hash-Kollisionen sind soweit ich mich erinnere, bisher nicht für SHA-256 gefunden worden, geben muss es sie. Die Sicherheit von Bitcoin hängt nicht nur von SHA-256 ab, außer wenn man nur in die Richtung von schurkischen Minern denkt, was aber auch etwas eindimensional ist. Für mich ist sowas gefühlt fast immer FUD, weil die Materie schwierig ist, nur wenige sich intensiv damit auseinandersetzen und es auch verstehen. Und da es seit längerem Aluhüte im Dutzend noch billiger gibt, findet solcher FUD fruchtbaren Boden. 🤪

Das sind aber spezielle Berechtigungen für z.B. Bedienungshilfen, die Google immer restriktiver Apps zugesteht. Mit diesen Berechtigungen kann eine App den Bildschirminhalt einer anderen App lesen, z.B. zum Vorlesen oder für Screenshots. Diese Berechtigungen bekommt eine App, außer den System-Apps, nicht ohne Benutzereingriff bzw. -aktion. So jedenfalls der Normalfall. Solche Berechtigungen sollen nur noch "legitime" Apps bekommen, die Bedienungshilfen für eingeschränkte User anbieten. Also Entwickler müssen ggü. Google schon ziemlich gut begründen, wenn ihre App solche Berechtigungen tatsächlich braucht und Google möchte hierbei auch immer strenger werden. Naja, wie das am Ende tatsächlich wird, wer weiß. Träum' weiter in deinem Apfelgarten! Als ob es Jailbreaks und die Pegasus und andere Spyware nicht gäbe.

Solange dabei etwas herauskommt, das komplex genug ist, um einen Brute-force-Angriff zu widerstehen, könnte es funktionieren. Man sollte ggf. bedenken, daß solche Rätselfragmente u.U. von den Beteiligten bzw. Familienangehörigen auch öffentlich gemacht werden, z.B. auf Facebook oder anderen asozialen Medien. Ein motivierter Angreifer könnte auch versuchen, solche Details zu sammeln und in Passphrase-Konstruktionsregeln zu gießen. Brute-force allein ist nicht soo smart und man sollte den Einfallsreichtum von versierten Crackern nicht unterschätzen. Außerdem setzt deine Wallet-Rettungsmotivation voraus, daß du bemerkst, wenn Jemand ggf. Kenntnis von deinem Rätsel erlangt haben könnte. Hier muss jede/r für sich ein hoffentlich gutes und starkes Schema finden, das man nicht vergisst und das für einen selbst und Hinterbliebene nachvollziehbar ist. Übertreiben muss man es ja nicht und es kommt auch immer darauf an, welche Werte gesichert werden sollen. Mehrere Nester verteilen das Risiko, mindern aber nicht die Komplexität, weil die Anzahl der zu sichernden Geheimnisse zunimmt. Ich persönlich muss mich z.B. dazu zwingen, meine Passphrase(s) regelmäßig zu wiederholen und zu überprüfen. Mir ist nämlich schon mindestens einmal passiert, daß ich trotz Hinweisen darauf, wie eine Mnemonic Seed Passphrase konstruiert war, diese dann doch nicht wieder zusammenbekommen habe. Die Wallet war nicht verloren, da ich noch Zugriff darauf hatte, aber es war trotzdem ein kleiner Weckruf, daß ich offenbar einen Fehler gemacht oder schlecht dokumentiert habe. Man sollte nicht davon ausgehen, daß alles glatt läuft und keine Fehler passieren.

Ohne dickes Fell haste bei den Polit-Schmocks keine leichte Zeit.

Ich schrieb ja schon, zuallererst ein forensisches Image der Festplatte zu machen; dann hätte man die Platte erstmal eingemottet und mit Kopien des forensischen Images weitergemacht, um überhaupt eine klitzekleine Chance zu wahren. Die Nutzungsgeschichte macht es in der Tat nicht sehr wahrscheinlich, da noch etwas zu finden, vorallem wenn man garnicht weiß, wonach man suchen muss. Was mich ja wundert, wie der TE ein Viertel als Belohnung von Unbekannt auslobt, ohne daß ihm die evtl. noch wiederherstellbare Wallet überhaupt gehört. Aber das ist vermutlich ein nur unwichtiges Detail... Und der Knastbruder hatte auch keine Backups seiner Daten/Wallets/Whatever. Passiert und ist gelebter Alltag...

Daß diese Finanzschlaftablette keine Ärmelschoner trägt, ist schon etwas skuril. Sicher hat er vergessen, wo er sie liegengelassen hat, wie so vieles Andere. So ein Dummschwätzer leuchtendes Vorbild... 😵

Übliche Hausbrände erreichen nicht Temperaturen, wo Stahl schmilzt. Dein Haus steht üblicherweise auf deinem Grund, also warum solltest du nach Feststellung der Brandursache nicht ggf. deinen Schutt absuchen dürfen, insbesondere, wenn wie du schreibst, daß alles abgebrannt ist, also möglicherweise keine Einsturzgefahr besteht. Aber das ist dann sicherlich individuell zu klären. Bei sowas würde ich mir fast Sorgen darum machen, daß Niemand vom Abriss- oder Entsorgungsunternehmen ggf. deinen in Stahl verewigten Mnemonic Seed findet. Aber wer Angst um seinen Mnemonic Seed hat, verwendet eben zusätzlich eine ausreichend sichere Mnemonic Seed Passphrase. Dann reicht der Mnemonic Seed allein nicht aus, um auf die Wallet zugreifen zu können. Die Mnemonic Seed Passphrase darf allerdings nicht zusammen mit dem Mnemonic Seed aufbewahrt werden. Sicherheit gibt's nicht umsonst...

Probleme haben manche... 😂 Solange du nicht mit 'nem Finger in einen Delta-Fan kommst, geht's ja noch. Ab Timestamp...

@harris89 Anzeige bei der Polizei machen, daß man dich bestohlen hat. @btctester.com könnte dir helfen, zu ermitteln, ob deine Coins schon auf irgendwelche Exchanges gewandert sind (er hat da Tools und Datenbanken für). Die Chancen zum Einfrieren deiner Coins auf Exchanges sind gering, weil man meist zu langsam ist, aber jede Spur zählt und sollte ggf. von den Ermittlungsbehörden verfolgt werden können. Nicht jeder Ganove ist Bitcoin-schlau...

Wie Jokin schon schrieb: größere Wallet-Werte sollte man nicht auf einem Smartphone haben, auch nicht auf "Fallobst". Zum Draufschauen sollte eine Watch-only-Wallet reichen. Eine Wallet auf dem Smartphone, von der man auch versenden kann, sollte nur soviel beinhalten, wie man sonst auch im Portmonaie mitführen würde, also höchstens niedrige dreistellige €-Wertäquivalente. Der Bluetooth-Protokollstack hat, wenn ich mich nicht irre, eine Spezifikation von so 2000+ Seiten. Bluetooth fällt auch gerne mal mit Sicherheitsproblemen auf, was bei der Komplexität nicht weiter verwunderlich ist. Das Letzte, was ich auf einer Hardware-Wallet haben möchte, ist Bluetooth... @harris89 War dein Samsung-Konto mit diesem Outlook-Konto verbunden? Hast du die Electrum-App aus dem Google Play Store oder woanders her? (Aus dem Play Store sollte die ja automatisch aktuell gehalten werden, außer du hast das deaktiviert, was aber weitgehend sinnfrei wäre.) Bist du ganz sicher, daß es keine digitale Kopie deines Mnemonic Seeds gibt (z.B. ein Foto vom Zettel mit dem Mnemonic Seed gemacht)? Du schreibst es ja so, als gäbe es nur eine physische Kopie auf deinem Zettel. Den Inhalt kennst auch nur du, nehme ich an? Ich überlege gerade, wie deine Wallet auf dem Handy abhanden gekommen sein kann, wenn es der Mnemonic Seed nicht war, wie du schreibst. Ist dein Samsung "gerootet"? Probierst du viele Apps auf deinem Samsung aus, so nach dem Motto, was nicht bei Drei auf'm Baum ist, wird installiert und ausprobiert?

Ich hab' meinen Raspi 4B, 8GB RAM für Clubmitglieder diesen Montag bekommen. Nach Einloggen im Club bei berrybase.de sehe ich für mich dieses Modell auch als nicht lieferbar, aber das kann auch sein, daß es so für mich auch sein soll, weil ich ja aus dem derzeitigen Club-Kontingent schon einen gekauft habe und die Stückzahl, auch bei Mehrfachbestellung, auf einen Raspi pro Club-Kunden beschränkt ist. Erneute Bestellungen würde berrybase.de auch (für das aktuelle Kontingent) stornieren. Den 4GB-Raspi z.B. sehe ich noch mit Bestand von ca. 80 Stk. für mich als lagernd und bestellbar.

Das würde ich vermeiden wollen, denn das taugt nur, wenn du eine sehr sehr starke Verschlüsselungspassphrase verwendest, die komplex und garantiert nur sehr, sehr, ..., sehr schwer zu knacken ist. Um einen Mnemonic Seed zu knacken/erraten, gibt es nicht genügend Energie im Universum. Die Menschheit ist aber nicht dafür bekannt, überall und immer sehr gute und ausreichend komplexe Passwörter/-phrasen zu verwenden. Für eine vergleichbare Sicherheit wie beim Mnemonic Seed müsstest du eine zufällige Passphrase von ~32 Zeichen verwenden, womit du das Sicherheitsproblem nur verlagerst, von guter Dokumentation mal ganz abgesehen. Außerdem darfst du die Verschlüsselungspassphrase _nicht_ in die Cloud auslagern, womit du wieder zurück auf Los wärest. Und es gibt auch Beispiele, wo Cloud-Daten verloren gegangen sind, z.B. wie beim Rechenzentrumsbrand in den Niederlanden, gar nicht soo lange her. Oder durch Ableben des Cloud-Kunden, kommen u.U. die Angehörigen aus welchen Gründen auch immer nicht mehr an die Cloud-Daten des Verstorbenen heran. Das sollte zwar eigentlich nicht sein, aber manche Cloud-Anbieter haben so ihre eigenen Vorstellungen davon, wer was darf und wer nicht. Viel Spaß beim dagegen Klagen...

Die anderen haben ja schon richtige Hinweise gegeben, aber ich greife mal dein konkretes Beispiel auf. Du hast Coin A unterjährig mit einem Gewinn von 500€ veräußert. Für diese steuerrelevante Veräußerung müsstest du aber im Moment (also wenn nix dazukommt) keine Steuern bezahlen, da Gewinn unter Steuerfreigrenze von 600€. Kaufst du erneut Coin A (oder B, oder C, ...) mit Euros, egal ob die 500€ aus deinem vorherigen Gewinn sind oder nicht, ist dieser Kauf zunächst mal nicht steuerrelevant, da es eben keine Veräußerung von Coins ist. Für die neuen Coin A-Z fängt eine neue Haltedauer von einem Jahr für Steuerfreiheit an. Wenn du die neuen Coin A-Z länger als ein Jahr hältst, kannst du sie komplett steuerfrei wieder veräußern. Wenn du die neuen Coin A-Z unterjährig mit z.B. 200€ Gewinn veräußerst, dann hast du einen zu versteuernden Gewinn von 700€, weil du im laufenden Steuerjahr die Freigrenze von 600€ überschritten hast und dann der Gesamtgewinn zu versteuern ist. Durch strategische unterjährige Verlustveräußerungen könnte man natürlich den Gesamtgewinn auch wieder unter die 600€ drücken, aber da gehe ich jetzt nicht im Detail darauf ein, weil das ein eigenes Thema ist. Ich hoffe, ich liege mit meinen Aussagen nicht verkehrt und unterstreiche sicherheitshalber: das hier ist keine Steuerberatung!

Im Videobeitrag zu sehen war nur, wie da Monero geschürft wurde. Da muss man viel Phantasie haben, um in kurzer Zeit soviel Kohle zu machen, hust hust. Typisch n-tv Sommerloch-Beitrag, wo noch garnicht Sommer ist. Nanu? Dem Argentinier und seiner Familie sei es gegönnt!