Cricktor

Am 28.7.2023 um 20:12 schrieb Peer_Gynt:

Gibt es dafür einen nachvollziehbaren Grund? 

Neueste Bitcoin-Core-Version auf

Bitcoin.org = V. 22.0 und auf

Bitcoincore.org = V. 25.0

Der Vollständigkeit halber: die offizielle Seite der Entwickler für Bitcoin Core ist https://bitcoincore.org, dort gibt es auch immer die aktuellsten Versionen von Bitcoin Core zum Download. Das offizielle Github-Repo https://github.com/bitcoin/bitcoin verlinkt ebenfalls auf https://bitcoincore.org.

Auf die Seite https://bitcoin.org haben die Core-Entwickler keinen direkten Zugriff und deren Aktualität bzgl. der Downloads ist, ähem, eher bescheiden.

Hier und hier äußert sich einer der Core-Entwickler, achow101 auf bitcointalk.org, zur Thematik beider Webseitenadressen.

Im Konsolenfenster vom Core GUI kann man zum Sichern der laufenden und aktuellen Wallet den Befehl

backupwallet "ziel"

oder auf der Kommandozeile

bitcoin-cli backupwallet "ziel"

ausführen. "ziel" ist ein Dateiname oder besser noch ein vollständiger Pfad mit Dateinamen für das Backup der wallet.dat.

Ach, menno...

😞

vor 9 Stunden schrieb Tschubaka:

Die Prüfsumme sollte bei electrum.org irgendwo stehen. Vermute ich.

Die Dateien von Electrum zum Downloaden sind alle gpg-signiert ohne ausgewiesene Datei-Hashes.

@Oxidat hat es schon ganz richtig gemacht, bis auf daß er vorher vergessen hat, die gpg-Pubkeys der Entwickler in seinen gpg-Schlüsselbund zu importieren, worauf @rheingold ganz richtig hingewiesen und beschrieben hat.

Warum gibst du keinen Link zu dieser Börse an? Wenn man nach Bitget sucht, könnte es sein, daß man allerlei Trittbrettfahrer findet.

Es ist jetzt nicht so, daß ich nicht fähig wäre, selbst zu suchen, frage mich nur, wo der tiefere Sinn ist, den Link nicht anzugeben.

Du solltest nicht als root auf'm Desktop werkeln und womöglich im Internet surfen, denn so hätte jede Malware sofort volle Rechte und praktisch keine Einschränkungen.

Hast du Electrum verifiziert, daß es das richtige Electrum ist, das man ausschließlich von https://www.electrum.org/ herunterlädt und den Download immer per Signaturprüfung vor der Ausführung checken sollte?

Wenn es nachweislich das echte Electrum ist und du sicher bist, daß deine root-Spielwiese noch sauber ist, sähe ich keine allzu große Gefahr, die Recovery Wörter mit angehakter BIP-39 Option mal für eine Electrum-Wallet-Einrichtung zu testen.

Aber ich habe große Bauchweh, wenn du auf deinem Linux-Rechner immer nur als root unterwegs warst und Werweißwas gemacht hast. Malware auf Linux ist zwar selten, aber man kann auch nicht sagen, sie wäre nicht existent.

Wenn du über den Sicherheitsstatus deiner Kiste unsicher bist, lädst du dir ein Live-Linux auf'n Stick oder DVD und bootest damit deinen Rechner. Im Live-Linux kannst du dann das verifizierte Electrum-AppImage ausführen und deine Recovery-Wörter dort sicher testen.
@Tschubaka hat zwar Recht, daß man unter seiner Annahme nicht viel erwarten kann, aber wenn die Vergangenheit deiner Recovery Wörter im Nebel des Vergessens nicht sicher ist, kann ein Versuch nicht schaden. Bei der Recovery der Wallet in Electrum als BIP-39-Wallet lässt du vielleicht auch Electrum mal nach Ableitungspfaden suchen. Ich gehe davon aus, daß du damit keine Erfahrung hast, daher lass' mal Electrum suchen.

P.S.
Sorry, aber dein Bilderhoster xup.in nervt mit seiner penetranten Aufforderung den AdBlocker zu deaktivieren. Was spricht gegen https://imgbb.com/, wo man so'n Rotz nicht hat?

Am 19.7.2023 um 22:48 schrieb Fabe33:

Ja da hast du recht ,der Gedanke ist mir auch schon gekommen einfach mal auszuprobieren mit einem kleinem Betrag .

Und was machst du, wenn die Gauner ihren Sweeper so eingestellt haben, daß dieser kleinere Beträge einfach in Ruhe lässt? Wenn deine Wallet kompromittiert wurde, dann solltest du sie aufgeben und nichts mehr hinschicken, weil das zu riskant ist.

Du weißt nicht, wie effizient die Gauner die Blockchain überwachen. Daher u.U. die Verzögerungen für die Sweeps. Außerdem kann es gut sein, daß die Gauner nicht soo viel Gas investieren wollen, um ihren Sweep gleich im aktuellen oder nächsten Block unterzubringen.

In erster Linie sollte man lernen, daß man niemals seine Wallet-Kronjuwelen online aus dem Fenster wirft (heißt: eine Kompromittierung der Wallet möglich macht).

Ach, ist die Bedrohung so groß? 😉

(Thread = Thema, Gesprächsfaden / threat = Drohung, Bedrohung, Gefahr) --- "Couldn't resist!", sprach der Widerstand.

Electrum

Sparrow

Bitcoin Core (Ubuntu Desktop, RaspiBlitz, RaspiBolt, Test-Umbrel)

Phoenix, Wallet of Satoshi, Unstoppable Wallet (alle nur mit recht kleinen Beträgen auf 'nem Mobiltelefon)

Hardware-Wallets: BitBox02, PiTrezor (zum Experimentieren) mit Electrum und Sparrow auf der Hot Side; demnächst SeedSigner ggf. für MultiSig-Setups

Bei Wünschdirwas wählte ich mir noch Passport Batch 2 von Foundation Devices und wenn nvK von Coinkite nicht so eine Drama-Queen wäre, würde ich mir auch noch 'ne Coldcard durchaus gönnen wollen.

vor 2 Stunden schrieb Oxidat:

Aber wie komme ich da wieder dran?

Wenn du deine 12 Recovery Wörter dir aufgeschrieben hast und diese durch das Löschen der Email samt PDF-Anhang nicht für immer weg sind, dann sehe ich kein Problem da wieder dran zu kommen.

Wenn du die 12 Recovery Wörter überhaupt nicht mehr hast, dann kannst du nur darauf hoffen, daß deine Exodus-Wallet sie dir erneut anzeigen kann.

Mit dem Thema Recovery einer Wallet hast du dich mal auseinander gesetzt? Ist ja mal nicht unwichtig... (Das aber nur am Rande.)

Also da gibt's ein paar Punkte, die ich nicht so recht glauben kann.

Bitcoins per Paysafecard gekauft: ziemlich sicher nicht 2009-2010, da damals eher bei Tausch-Meetings lokal gegen Bargeld gehandelt/getauscht wurde. Aber zu der Zeit habe ich mich noch nicht aktiv mit Bitcoin beschäftigt (erst so ab 2011 aktiver).

17.3.2010 ging die erste Exchange online: bitcoinmarket.com (angekündigt vom user dwdollar hier: https://bitcointalk.org/index.php?topic=20.0 )

Mit die ersten Web-Wallets waren MyBitcoin und Instawallet, Bitcoinica, MtGox, BitFloor, Cryptoxchange (manche davon Wallets, andere eher Exchanges, wobei einige "Verpeilte" Exchanges für Wallets gehalten haben könnten).

Zu der Zeit gab's eigentlich nur Private Keys und Bitcoin-Gui mit der wallet.dat, wo eine Ansammlung von zufällig generierten Private Keys gehalten wurde. Deterministische Wallets, z.B. Armor, kamen deutlich später. Bei den Web-Wallets galt noch viel mehr als heute: not your keys, definitely not your coins.

Wenn man keine gesicherten Aufzeichnungen, Emails, whatever hat, kann man es eigentlich vergessen. Den Rappel danach zu suchen, hätteste eigentlich auch schon Ende 2017 haben können, als Bitcoin das erste mal so richtig noch oben explodiert ist.

Dürfte psychisch etwas schwer sein, von etlichen Bitcoins loslassen zu müssen. Aber vielleicht hilft es dir, daß du sie nie so richtig besessen hast. Not your keys, not your coins! Gilt immer wieder auf's neue...

https://bitcoinexplorer.org/xyzpub/zpub6rSRuJwQKUM5XX4AqeXLRuEshFzVmS854fzknMYfAtZoumBAxGqNXpYxhpkSvG4DpCus3r2MXX2LT6doQUb5qcQexv9C2nF1UFSmPNKE1Ug

Da sind noch etwas mehr als 0,200x BTC auf der ersten Adresse.

Keine Ahnung, aber ich benutze keine Closed-Source Wallets, wenn mehr als Taschengeldbeträge auf dem Spiel stehen, so wie hier. Wenn man schon Exodus benutzt, dann vielleicht doch besser mit einem Trezor gekoppelt. Das sollte sicherer sein.

Am 18.7.2023 um 20:10 schrieb Ottman:

Was mir auch noch aufgefallen ist, das z. B seit 3-5 Tagen 2 Transaktionen bereits in Blockchain jetzt sind aber man kann nirgends sehen wann es bestätigt wird, geht extrem lange.

Wenn Transaktionen bestätigt sind, müssen sie ja in einem Block drin sein und dann wird sie jeder beliebige Block-Explorer anzeigen können.

Am 18.7.2023 um 20:10 schrieb Ottman:

Benutze leider Blockchain.info ansonsten hätte ich Gebühren noch hinzugefügt, leider ist das nicht möglich selbst wenn ich xPub in ein anderes Wallet einfüge.

Gebühren sind immer Summe Inputs minus Summe Outputs für eine Transaktion. Das kann man zur Not dann auch von Hand ausrechnen.

Ja, aber nur für BTC, jedenfalls wenn es das Electrum von https://electrum.org ist.

Du kannst eine neue Wallet in Electrum erstellen und angeben, daß du eine Hardware-Wallet wie den Ledger X hast. Electrum verbindet sich dann mit der Wallet auf dem Ledger, liest den Extended Public Key aus dem Ledger aus und kann dir dann den Bestand und die Transaktionshistorie der Ledger-Wallet anzeigen. Senden-Transaktionen müssen dann wie gehabt am Ledger X überprüft und signiert werden. Empfangsadressen sollte man auch auf dem Ledger X kontrollieren, um Manipulation durch Schadsoftware auf dem Rechner ausschließen zu können.

Falls du auf dem Ledger X mehere Accounts für BTC verwendet hast, wirst du für jeden Account eine eigene Wallet in Electrum erstellen müssen. Das macht man dann, indem man den Ableitungspfad der Wallet entsprechend passend für jeden Account setzt. Wenn du davon keinen Plan hast, fragst du am besten nochmal nach.

Das ist mal ärgerlich für dich. Das Versandrisiko hat ja zunächst mal der Händler.

Hast du die rückwirkende Manipulation des Trackings dokumentiert? Ich finde das abartig, daß sowas überhaupt geht. Hoffentlich klärt sich das zügig.

Ich hab' vor kurzem mal einen Schnack mit meinem Briefzusteller gehalten, wo ich gesehen habe, daß der gerade einen ihm zuarbeitenden neuen Kollegen eingewiesen hat. Der Zusteller war ziemlich am meckern, welche Scheißaufgaben ihnen ihr Arbeitgeber aufhalst. Die verbrennen ihre Mitarbeiter förmlich. Folge: hohe Krankenstände, innere Kündigung, lange burn-out Fehlzeiten. Bei der miesen Bezahlung wollen dann auch nur noch gefühlt Voll-Honks in letzter Not so'n Job noch machen, mit entsprechendem Enthusiasmus und Einsatz.
Nach dem Dialog, schätze ich meinen Zusteller noch als jemanden ein, der seinen Job gut machen möchte, den sein Arbeitgeber aber ausquetscht, wie eine Zitrone. Sowas kann ja auf Dauer nicht gutgehen und die Zustellqualität und -zuverlässigkeit ist eher auf dem absteigenden Ast.

Sorry, für das Off-topic.

Ach herrje, das ist mal ein Kuddelmuddel...

Ich kann jedem nur empfehlen, sorgfältig und ausführlich zu dokumentieren, wenn man neue Recovery Wörter generieren sollte:

a) wann genau erstellt und zu welchem Zweck
b) Ableitungspfad und ggf. zusätzliche Accounts
c) welche Wallet hat die Recovery Wörter generiert (Software oder Hardware)
d) optionale Wallet-Passphrase verwendet? (diese muss getrennt(!) von den Recovery Wörtern dokumentiert und redundant gesichert werden)

Das wäre für mich das Minimum an sinnvoller Dokumentation; redundante und sichere Verwahrung natürlich auch!

Alte und ggf. auch nicht mehr verwendete Recovery Wörter nicht vollständig entsorgen. Man weiß nie, ob man die nicht doch nochmal braucht. Für alte und entleerte Wallets und deren Recovery Wörter kann man ja den Schutzaufwand deutlich reduzieren, dann fällt das weitere Aufheben nicht schwer und zur Last.

Du gibst ja schnell auf... (wenn der Betrag so niedrig ist und Zeit Geld ist, dann kann sich das natürlich durchaus rechnen)

Ich habe das Thema nochmal überflogen, um die bekannten Fakten zu sammeln.

Was mir schonmal auffällt und fehlt: ist denn überhaupt gesichert, daß dein Sohn überhaupt die richtige und echte App geladen hat? Das wäre das Allererste, dessen man sich sicher sein muss, damit keine Malware-App dir Fantasie-Adressen, genauer die des Betrügers, anzeigt. Wenn man die dann auch nicht auf dem Gerät verifiziert... Bingo!

Der nächste offensichtliche Fehler des Sohnes scheint zu sein, daß eine angezeigte Empfangsadresse nicht auf dem Gerät verifiziert wurde. Das ist töricht und fahrlässig, weil man so den Schutz durch die Hardware-Wallet vor Malware unbegründet in den Mülleimer wirft.

Ich nutze keinen Ledger und bin auch kein Befürworter dieser Produkte, aber Anleitungen zum Ledger kann ich trotzdem lesen und verstehen. Ein Problem könnte auch sein, daß du hier ohne Erste-Hand-Kenntnisse Vorgänge beschreibst, die dein Sohn ausgeführt hat, der vielleicht auch nicht weiß, welche alle Details wichtig und zu kommunizieren sind. So wird das natürlich etwas schwierig.

Fehlerpotential bietet noch die Möglichkeit, beim Ledger eine optionale Wallet-Passphrase an eine eigene PIN zu binden. Ich habe jetzt nur die Ledger-Anleitungen nicht auswendig im Kopf, ob man den Ledger mit so einer Extra-PIN auch entsperren kann oder damit nur die Eingabe der optionalen Wallet-Passphrase nach vorheriger Entsperrung durch die Geräte-PIN abkürzen/vereinfachen kann.

Auch ein langweiliger Drops ist irgendwann mal gelutscht...

Eine einheitliche Terminologie zu verwenden, ist auch dem gemeinsamen Verständnis förderlich:

Mnemonic Recovery Wörter = die 24 Recovery Wörter einer Wallet
Optionale Wallet-Passphrase = die optionale ergänzende "25." Passphrase (kann bei Ledger an einen eigenen PIN gebunden werden) -- Achtung, jede beliebige optionale Wallet-Passphrase generiert eine eindeutige unterschiedliche Wallet, der kleinste Fehler führt zu einer leeren Wallet
Ledger-Entsperr-PIN = nötig, um Zugriff auf die Wallet direkt am Ledger NoNo zu bekommen (Ledger wird zurückgesetzt, wenn es mehrfach zu oft falsch eingegeben wird)
"Setup as new device" beim Ledger = die Hardware-Wallet erzeugt einen neuen Seed und damit neue Mnemonic Recovery Wörter
Recovery einer Wallet = nach Zurücksetzen einer Wallet im Ledger NoNo kann man eine alte Wallet mithilfe der dokumentierten 24 Mnemonic Recovery Wörter wiederherstellen, anschließend müssen idR noch ggf. erstellte Accounts erneut eingerichtet werden

Ich wüsste nicht, warum ein Anfänger als Erstes auf die Idee kommen sollte, seine Coins in Paperwallets zu werfen. Außerdem muss man ja auch lernen, nicht jeden Scheiß im Internet zu glauben, den man da so den ganzen lieben langen Tag lesen kann.

Aber egal, Paperwallets sind eigentlich nicht mehr nötig und es gibt bessere Aufbewahrungsalternativen. Die Crypto-Anfänger sollten lieber verinnerlichen, daß Hardware-Wallets mehr Sicherheit bieten und auch nicht die Welt kosten. (Um Ledger würde ich aber einen weiten Bogen machen, um da nochmal gegen zu stänkern. Ledger ist pöse und verarscht seine Kundschaft. Amen!)

Ich verstehe nicht, was das mit https://bitaddress.org zu tun hat, wenn Unerfahrene auf ungeeigneten Rechnern und Sicherheitsvorkehrungen, falsche Links verwenden und womöglich mit den generierten Paperwallets dann noch falsch umgehen. Wer nicht versteht, was er tut, sollte es dann doch besser lassen und erstmal Wissen aufholen

Den Seitencode von bitaddress.org holt man sich vom Github und verifiziert diesen mit der bereitgestellten PGP-Signatur. Die Online-Seite lokal zu speichern und dann offline zu verwenden, ist riskanter, wenn man nicht weiß, ob der eigene Browser wirklich sauber ist. Manche Menschen haben zig Browser-Erweiterungen installiert, die werweißwoher kommen, gescheige denn, daß jene überblicken, was die Browser-Erweiterungen wirklich alles machen.

Ebenso halte ich es für einen Fehler, einen Rechner zu verwenden, der vorher, womöglich ausgiebig und längere Zeit, online war, da man dann zum Sicherheitsstatus dieses Rechners nur spekulieren kann.

Das gestartete Offline-System, auf dem man Paperwallets erzeugt, darf anschließend besser nicht mehr online gehen und sollte rückstandsfrei entsorgt werden (alternativ TAILS offline und ohne Persistenz nutzen).

Ich sehe hier kein Problem von https://bitaddress.org, sondern von Leuten, die nicht genug Erfahrung und Überblick haben, was man alles beim Erzeugen von Paperwallets verkehrt machen kann. Falsche Adressen oder Links zu verwenden, ist dann noch das Einfachste, was man vermeiden kann.

vor 6 Stunden schrieb emehnaj:

Danke, ich wüsste nicht wo ich mir solche Spyware einfangen sollte. 
Treibe mich auf keinen dubiosen Seiten rum und lade nur bekannte offizielle Programme aus dem AppStore.

Du bist mit dem Browser im WWW unterwegs, ggf. liest du auch Email auf dem Rechner. Die meisten Email-Clients, wenn kein Webmail, verwenden eine Browser-Engine zur Darstellung von HTML-angereicherter Emailtexte.

Browser sind dermaßen komplexe Software-Monster geworden, wo beständig Bugs und Lücken gefixt werden müssen. Viele normale Seiten zeigen dynamisch ausgewählte und inkludierte Werbung und es wäre nicht das erste Mal, daß Browser-Schwachstellen durch maligne Werbeeinblendungen ausgenutzt werden könnten. Browser stehen einfach in der Schusslinie, um mal dieses Bild zu verwenden, daß man leicht versteht. Browser kommunizieren mit dem Internet und selbiges ist keine vertrauenswürdige Seite, die immer nur gut ist.

Die Wahrscheinlichkeit, daß man sich etwas einfängt ist vielleicht nicht groß, aber sie ist auch nicht sicher bei Null. Hinzu kommen natürlich auch User, die wahllos zu viel anklicken. Es kann gut sein, daß du das nicht machst, umso besser für dich.

Da ein Rechner wenig nützlich ist, der permanent air-gapped und offline ist oder im Anschluß komplett platt gemacht werden muss, verwende ich für sensible Arbeiten mit Private Keys, Paperwallets, etc. grundsätzlich ein OS, daß nur im RAM läuft und keine bleibenden Spuren auf dem Rechner hinterlässt bzw. nur gezielte Spuren und Dateien, die ich auf einem Extra-Datenträger speichere. TAILS ohne Netzwerkverbindung oder ähnliches, das keine bleibenden Daten speichert.

Dann muss ich mir keine Gedanken machen, ob ich ein Problem habe, falls ich mir doch irgendeine Malware einfange.

Klar kann man den Aufwand für zweistellige €-Wertäquivalente reduzieren, bei größeren Werten sieht das anders aus. Wenn meine Arbeitsumgebung aber unabhängig vom Wert sicher ist, brauche ich mir kaum Gedanken zu machen, ob ich aufpassen muss oder es lassen kann.

1. Von wem eingerichtet?

2. Wer hat da irgendwas investiert, aus dem angebliche Gewinne geworden sind?

3. Unbekannte von Instagram: denen hast du hoffentlich kein Geld oder Crypto gesendet, weil sonst: alles weg, sehr sehr sehr wahrscheinlich.

4. Wenn du Geld oder Crypto zahlen sollst, um deine Gewinne "einsammeln" zu können, kannst du zu 100% von Betrug ausgehen.

5. Warum lässt man sich auf so'n Scheiß ein? Niemand hat Gewinne zu verschenken...

Ich bin mir recht sicher, daß das nicht wirklich etwas ist, was du weiter verfolgen solltest, schon garnicht irgendwas bezahlen. Sonst, Geld weg!

berrybase.de hat wieder Raspi 4B mit 8GB RAM lieferbar, aktuell so ca. 360-370Stk., nur für Club-Mitglieder, Bestellung auf 1 Raspi pro Lieferadresse beschränkt, EUR 86,90 (nur das Board allein, ohne Netzteil)

Hab' mir gleich mal noch einen bestellt. Shop-Seite ist aber elendig langsam und zäh; die werden vermutlich von Scalper-Horden gestürmt, die dann die Raspis zu Phantasie-Preisen woanders verticken, diese %§&#*!-Säcke

Club-Mitgliedschaft ist kostenlos, man muss sich nur 'mal dafür registrieren und der Newsletter kommt relativ selten bzw. man bekommt per Email den Hinweis, wenn wieder schlecht lieferbare Artikel für Clubbies lieferbar sind. Faires Angebot, damit man eine reelle Chance hat, einen Raspi zu normalen Preisen zu kaufen.

berrybase.de hat wieder Raspi 4B mit 8GB RAM lieferbar, aktuell so ca. 360-370Stk., nur für Club-Mitglieder, Bestellung auf 1 Raspi pro Lieferadresse beschränkt, EUR 86,90 (nur das Board allein, ohne Netzteil)

Hab' mir gleich mal noch einen bestellt. Shop-Seite ist aber elendig langsam und zäh; die werden vermutlich von Scalper-Horden gestürmt, die dann die Raspis zu Phantasie-Preisen woanders verticken, diese %§&#*!-Säcke

P.S.
Club-Mitgliedschaft ist kostenlos, man muss sich nur 'mal registrieren und der Newsletter kommt relativ selten bzw. man bekommt per Email den Hinweis, wenn wieder schlecht lieferbare Artikel für Clubbies lieferbar sind. Find' ich jetzt nicht so schlimm.

vor 52 Minuten schrieb mogger:

Bisweilen sind beide Adressen noch leer...

*aufholzklopf*

Kannst du die Adressen bitte vollständig öffentlich machen? Es kann natürlich gut sein, daß das Betrügerschweinigel einen ganzen Strauß von Vanity-Adressen generiert hat, aber das glaube ich eher nicht. Personalisierte Adressen wären zwar nützlich, sind aber auch mit Aufwand verbunden, den solche Subjekte doch gerne scheuen.

P.S.
mempool.space kennt schonmal so einige 1Bund... Adressen, verdächtig.

P.P.S.

vor 23 Stunden schrieb PeWi:

Kurz OT zum Thema Twitter:

Wer hier Twitter-Links postet, sollte das vielleicht wissen - inzwischen kann man die ohne Twitteraccount nicht mehr lesen; man bekommt nur die Login-Seite von Twitter angezeigt.

https://www.heise.de/news/Twitter-schliesst-offenbar-Nutzer-ohne-Account-aus-9204765.html

 Dann postet doch Twitter-Beiträge als nitter.it-Links, ist dann eh datenschutzfreundlicher. (Muss ich aber erst noch testen, ob die Twitter-API diesbezüglich nicht auch beschnitten wurde.)

P.P.P.S
So'n Scheiß, nitter.it geht wohl nicht mehr, gerade getestet. Fuck you, Twitter!
 🖕 🖕