Mein bitcoin-Qt gehackt oder MitM attack auf bitcoin.de ?

[segeln]

Am 3.12.2013 habe ich von bitcoin.de 10 BTC auf meinen bitcoin-Qt Client überwiesen. Alles ok

Heute morgen erneut 10 BTC auf meinen Client.

Bitcoin.de hat jedoch auf eine mir unbekannte Adresse überwiesen..

Status: 21 Bestätigungen

Datum: 04.12.2013 09:57

Von: unbekannt

An: 153YMQw4vU8Ky6Ua6JXochjGMBbzHfU5cj (eigene Adresse, Bezeichnung: wallet 2 jedoch von bitcoin.de überwiesen auf 13orangeaqucZu3gwgKt82rx846zGox3mD)

Gutschrift: 10.00 BTC

Nettobetrag: +10.00 BTC

Transaktions-ID: 1516d68f83adc484de7dfb923f809dd0bd6ad94d259f1972772d886b8bf86e23

Achtung, die Adresse erscheint zwar als meine Adresse, aber mir wurde zuerst diese Adresse gezeigt:

13orangeaqucZu3gwgKt82rx846zGox3mD

Dann kommt eine Überweisung von mir, die ich nicht, auch nicht an dem Datum,3.12.2013 gemacht habe. An die zuerst erschienene Adresse.,die ich als Empfängeradresse jedoch überhaupt nicht kenne.

Status: 100 Bestätigungen

Datum: 03.12.2013 23:45

An: wallet 2 13orangeaqucZu3gwgKt82rx846zGox3mD

Belastung: -9.9999 BTC

Transaktionsgebühr: -0.0001 BTC

Nettobetrag: -10.00 BTC

Transaktions-ID: 52112a98f611bfb4b33472e71cfae3a5ed7301d37a34a1b4c7b695414e70168f

Und mein Kontostand auf dem Client ist 10 statt 20 BTC

Was ist da los? Was ist passiert? Wo sind meine heute überwiesenen 10 BTC?

Support bereits benachrichtigt!

Edited December 4, 2013 by segeln

[Stonie]

Hi,

 

mir ist leider bei der -verständlicherweise - aufgeregten Schreibe nicht klar, was mit der zuerst erschienenen Adresse gemeint ist.

 

Wie viele BTC sind jetzt wann wohin und sieht die Umsatzübersicht auf einem anderen Rechner anders aus?

 

Gruß

Stonie

[fyahfox]

Ja, wie auch schon in der PM gesagt: Bitte mehr Infos und präziser formulieren.

 

Was meinst du zB mit "die Adresse erscheint zwar als meine Adresse"?

[Stonie]

Ach, Du hast auch ne PM bekommen?

 

Lieber segeln, ich verstehe ja Deine Panik, aber - abgesehen davon, dass Du an geschehenen Transaktionen eh nichts machen kannst - lass uns Doppel- und Dreifacharbeit vermeiden und nur hier schreiben.

 

Gruß

Stonie

[segeln]

Also zunächst habe ich,so glaube ich, meinen privkey nicht auf die wallet 2 Adresse importiert.

Das könnte die Lösung sein.

Wie geht das?

Meine Tansaktionen

Status: 212 Bestätigungen

Datum: 03.12.2013 10:49

Von: unbekannt

An: 1AyTob2hcfL5RKBeLbpBmqTbUPxRW5gKf5 (eigene Adresse, Bezeichnung: wallet 1)

Gutschrift: 10.00 BTC

Nettobetrag: +10.00 BTC

Transaktions-ID: 097dfc5fde68562115a3359d66194892a1c7af8432c330900258bc414c78b24a

 

Status: 109 Bestätigungen

Datum: 03.12.2013 23:45

An: wallet 2 13orangeaqucZu3gwgKt82rx846zGox3mD

Belastung: -9.9999 BTC

Transaktionsgebühr: -0.0001 BTC

Nettobetrag: -10.00 BTC

Transaktions-ID: 52112a98f611bfb4b33472e71cfae3a5ed7301d37a34a1b4c7b695414e70168f

 

Status: 30 Bestätigungen

Datum: 04.12.2013 09:57

Von: unbekannt

An: 153YMQw4vU8Ky6Ua6JXochjGMBbzHfU5cj (eigene Adresse, Bezeichnung: wallet 2)

Gutschrift: 10.00 BTC

Nettobetrag: +10.00 BTC

Transaktions-ID: 1516d68f83adc484de7dfb923f809dd0bd6ad94d259f1972772d886b8bf86e23

 

Die Adresse,die zu zuerst erschien war die diese 13orangeaqucZu3gwgKt82rx846zGox3mD aber zu einem Zeitpunkt als ausgeführt bezeichnt, wo ich nichts gemacht habe

Das mit dem

zuletzt erschienen

ist mir auch nur in Erinnerung und ich wunderte mich schon.

Danke für das Verständnis, wenn mir einer den Import des privkey von

153YMQw4vU8Ky6Ua6JXochjGMBbzHfU5cj (eigene Adresse, Bezeichnung: wallet 2)

erkärt (bitte mit Bitte mit Beschreibung der Interpunktion) dann werde ich das mit der mir im Moment zu Verfügung stehenden Ruhe mache.

Den privkey habe ich mir schon ausgelesen

Edited December 4, 2013 by segeln

[WeilIchEsBin]

Na dann bin ich nicht alleine, ich habe auch bei einem Transfer von btcchina in mein Wallet 4,05 bitcoins verloren und seit dem nie wieder gesehen.

Shit happens... und der Support hat sich bis dato nicht gemeldet...

[fjvbit]

@segeln

ich glaube nicht, dass du etwas verloren hast.

Aber Deine Ausführungen sind etwas schwer zu verstehen.

Kannst du mal genau erklaeren, was du genau gemacht hast und warum es falsch sein soll?

[segeln]

Es geht weiter:

Status: 0/unbestätigt

Datum: 04.12.2013 15:10

An: wallet 2 13orangeaqucZu3gwgKt82rx846zGox3mD

Belastung: -9.9999 BTC

Transaktionsgebühr: -0.0001 BTC

Nettobetrag: -10.00 BTC

Transaktions-ID: 3e73b47e7d292e9fc2ae01b9f20f17710629c48452465574d746c142d924b83e

Auf Frage von flvbit schreibe ich gleich

[segeln]

gestern hatte ich die ersten 10 BTC auf meinen Client empfangen auf die Adresse, die ich intern wallet 1 genannt habe.

Heute morgen habe ich weitere 10 BTC auf die Adresse meines von mir genannten wallet 2.überwiesen.

Und dann erschienen die o.g. Transaktionsdetails. und gerade das eben gepostete

Es geht immer an die Adresse:

wallet 2 13orangeaqucZu3gwgKt82rx846zGox3mD

,die ich nicht kenne.

Wie gesagt,den privkey von wallet 2( allerdings den privkey von der "richtigen" wallet 2) Adresse habe ich ausgelesen. Nur wie geht es dann weiter?

Konto zur Zeit = 0

Ich habe keine Überweisung gemacht,oder bucht der Client wie bei change-Buchungen um?

 

Wo finde ich die oben angezeigte Adresse wallet 2 13orangeaqucZu3gwgKt82rx846zGox3mD, bzw.den Kontostad dieser Adresse?

Edited December 4, 2013 by segeln

[fjvbit]

der Client bucht gar nichts, wenn man nur empfaengt.

[fjvbit]

du hast 20 BTC auf einer Adresse, ist das dann ok?

[segeln]

Ich habe aber nie etwas gesandt.

Bei Change-Buchungen merke ich ja auch zuerst nichts oder?

[segeln]

du hast 20 BTC auf einer Adresse, ist das dann ok?

nein, ich habe null=0 .Und wie Du an den gepostete Details erkennen kannst, alles auf diese ominöse 13orangeaqucZu3gwgKt82rx846zGox3mD.. Adresse.

[fjvbit]

kannst du den schluessel dieser Adresse auslesen in deinem Client?

[fjvbit]

Kontostand siehst du so:

http://blockchain.info/de/address/13orangeaqucZu3gwgKt82rx846zGox3mD

[segeln]

folgende Dinge habe ich in der Kosole durchgespielt:

 

15:54:44



getaccountaddress wallet 2

 

 

15:54:44



getaccountaddress <account>

Returns the current Bitcoin address for receiving payments to this account. (code -1)

 

 

15:55:58



getaccountaddress wallet 1

 

 

15:55:58



getaccountaddress <account>

Returns the current Bitcoin address for receiving payments to this account. (code -1)

 

 

15:56:18



getaccountaddress wallet 3

 

 

15:56:18



getaccountaddress <account>

Returns the current Bitcoin address for receiving payments to this account. (code -1)

 

 

15:57:00



getaccountaddress 13orangeaqucZu3gwgKt82rx846zGox3mD

 

 

15:57:00



Da habe ich etwas erhalten,was ich nicht poste,denn es könnte ja der privkey sein

[Stonie]

Noch einmal zur Klarstellung: Es gab eine Transaktion von Deinem bitcoin.de-Bestand, ohne dass Du dies veranlassen wolltest, habe ich das richtig verstanden?

 

Warst Du zu dieser Zeit online und bei bitcoin.de eingelogt?

 

Wie ist Dein Sicherheitssetup, also wie wählst Du Dich ein? Passwort ist klar. Zweiter Faktor (Google Authenticator, mTAN?)?

 

Gruß

Stonie

[fyahfox]

@segeln:

Führe erstmal keine weiteren Transaktionen durch. Es besteht die Möglichkeit, dass jemand im Besitz deiner private keys ist.

 

Du hast bisher 2 Transaktionen mit jeweils 10 BTC von bitcoin.de an deine eigenen Adressen durchgeführt.

1. Transaktion:

2013-12-03 09:56:50

Zieladresse: 1AyTob2hcfL5RKBeLbpBmqTbUPxRW5gKf5 (von dir "wallet 1" genannt)

2. Transaktion:

2013-12-04 09:01:23

Zieladresse: 153YMQw4vU8Ky6Ua6JXochjGMBbzHfU5cj (von dir "wallet 2" genannt)

 

Beide Transaktionen waren erfolgreich. Jedoch wurden jeweils einige Stunden später die gesamten 10 BTC an die ominöse Adresse 13orangeaqucZu3gwgKt82rx846zGox3mD transferiert. Aus diesem Grund befinden sich dort nun 19.9998 BTC (zwei mal Transaktionsgebühren in Höhe von 0,0001 BTC abgezogen).

 

Wie genau hast du die Adressen "wallet 1" und "wallet 2" generiert?

Wo befinden sich die private keys?

Falls die private keys unverschlüsselt auf einem Rechner sind: Welches Betriebssystem verwendest du da? Hast du alle aktuellen Betriebssystemupdates installierst? Welche Antivirensoftware benutzt du und ist diese aktuell?

 

Ich drücke dir die Daumen... Noch ist nichts klar, also bringt es auch nichts, sich aufzuregen.

[segeln]

kannst du den schluessel dieser Adresse auslesen in deinem Client?

Ja,habe ich ausgelesen.,weiß aber dann nicht weiter bzw. den Kontostand sehe ich nicht

[Stonie]

Nochmal, sorry, es ist einfach höchst missverständlich. Ging das Geld von Deinem privaten Wallet an die "ominöse" Adresse oder von bitcoin.de?

 

Gruß

Stonie

[Stonie]

OK, also ich habe mir jetzt zusammengereimt, dass Geld, was Du Dir von bitcoin.de an Dein privates Wallet geschickt hast, von dort weitergeschickt wurde, richtig?

 

Dann beantworte fyahfox' Fragen, insbesondere, wie Du Dein Wallet, bzw. Deine Schlüsselpaare erzeugt hast.

 

Gruß

Stonie

Edited December 4, 2013 by Stonie

[segeln]

@segeln:

Führe erstmal keine weiteren Transaktionen durch. Es besteht die Möglichkeit, dass jemand im Besitz deiner private keys ist.

 

Beide Transaktionen waren erfolgreich. Jedoch wurden jeweils einige Stunden später die gesamten 10 BTC an die ominöse Adresse 13orangeaqucZu3gwgKt82rx846zGox3mD transferiert. Aus diesem Grund befinden sich dort nun 19.9998 BTC (zwei mal Transaktionsgebühren in Höhe von 0,0001 BTC abgezogen).

 

Wie genau hast du die Adressen "wallet 1" und "wallet 2" generiert?

Wo befinden sich die private keys?

Falls die private keys unverschlüsselt auf einem Rechner sind: Welches Betriebssystem verwendest du da? Hast du alle aktuellen Betriebssystemupdates installierst? Welche Antivirensoftware benutzt du und ist diese aktuell?

 

Die Adressen habe ich im Client generiert mit button

Neue Adresse

Die privkey sind auf dem Client, ich kann sie auslesen, ebenso den privkey von der ominösen Adresse

13orangeaqucZu3gwgKt82rx846zGox3mD

Ich hatte den Client noch nicht verschlüsselt. Windows 7,Avira ist aktuell.

[fyahfox]

@Stonie: Von seiner privaten wallet. Er nennt diese beiden Adressen ja "wallet 1" und "wallet 2". Die hat er sich generiert, das ist mir durch die PMs noch klar. Ansonsten habe aber auch ich hier ziemliche Verständnisprobleme.

 

Es bringt zum Beispiel überhaupt nichts hier von "Schlüssel auslesen" zu schreiben. Welchen, public oder private? Falls private: Warum weißt du dann nicht weiter? Wenn du den private key der Adresse 13orangeaqucZu3gwgKt82rx846zGox3mD hast, dann sind die knapp 20 BTC in deinem Besitz!

[fyahfox]

Ok, jetzt gab es eine Überschneidung mit deiner letzten Antwort.

 

Wenn du den private key der 13orangeaqucZu3gwgKt82rx846zGox3mD Adresse hast, dann s.o. -> sind die knapp 20 Bitcoins in deinem Besitz.

 

Der Client wird nicht verschlüsselt, sondern die wallet.dat. Bitte achte auf deine Formulierungen, es wird für uns sonst äußerst mühsam.

[segeln]

OK, also ich habe mir jetzt zusammengereimt, dass Geld, was Du Dir von bitcoin.de an Dein privates Wallet geschickt hast, von dort weitergeschickt wurde, richtig?

 

Dann beantworte fyahfox' Fragen, insbesondere, wie Du Dein Wallet, bzw. Deien Schlüsselpaare erzeugt hast.

Die von Bitcoin.de überwiesenen BTC wurden ohne mein Zutun auf diese ominöse Adresse transferiert. Ich selber habe Nichts getan. Ebenso bei der letzten Transaktion nichts veranlasst.

Koimisch, dass ich den privkey davon auslesen kann.