Jump to content

Paperwallet gehackt?


HighLife

Recommended Posts

Guten Abend zusammen,

ich habe schon länger mehr keine Blick hier rein oder auf den Bitcoin-Kurs geworfen. Vor knapp einem Jahr habe ich einen Großteil meiner Bitcoins auf Paperwallets verschoben (diese wurden mit einem Offline-Rechner, der extra dafür aufgesetzt wurde erstellt) und ruhen lassen (Auch unter 100% Garantie den Key niemals irgendwo angegeben). Vorhin schaue ich zufällig mal nach, was die Dinger so machen und sehe: Die sind weg!

Wegtransferiert auf ein anderes Wallet (und von dort aus weiter), während ich im Urlaub im Ausland war!

Ist zufällig irgendwas bekannt bzgl. Paperwallethacks o.ä.? Und hat jemand noch ne Idee, ob man da irgendwas machen kann?

Link to comment
Share on other sites

vor 12 Minuten schrieb Jokin:

Wie hattest Du die Paperwallets aufbewahrt?

Hatte jemand bei Dir die Blumen gegossen und dabei in Deinen Aktenordnern herumgestöbert oder Deinen Offline-Pc untersucht?

Das hatte ich auch schon überlegt, ist aber eigentlich ausgeschlossen.

Wallet ist in einem Schrank versteckt gelagert worden, zufällig stößt man da eher nicht drauf und dass es dort ist wissen höchstens 3 Personen denen ich vertraue. Außerdem hat niemand einen Ersatzschlüssel für meine Wohnung und Einbruchspuren o.ä. kann ich beim besten Willen nicht finden.

 

vor 2 Minuten schrieb fox42:

Womit hast du die Keys erstellt? Was für eine Software hast du benutzt?

müsste mit bitcoinpaperwallet.com gewesen sein. Dort halt wie beschrieben den Generator heruntergeladen, auf den offline-pc überspielt, dort ein wallet erstellt und ausgedruckt im hintersten eck eines unauffälligen Schrankes gelagert.

Link to comment
Share on other sites

vor 39 Minuten schrieb HighLife:

 

müsste mit bitcoinpaperwallet.com gewesen sein. Dort halt wie beschrieben den Generator heruntergeladen, auf den offline-pc überspielt, dort ein wallet erstellt und ausgedruckt im hintersten eck eines unauffälligen Schrankes gelagert.

Ja dann haste den Fehler ja gefunden.

Ich mein nicht den Schrank.

  • Haha 1
  • Like 2
Link to comment
Share on other sites

vor einer Stunde schrieb MixMax:

Wer seine Private -Key`s auf irgendeiner Internetseite, egal ob offline oder nicht, generieren lässt, ist sebst schuld.

Meine Rede, Key immer selber würfeln
Entsprechende Würfel siehe Signatur. 😉

Trotzdem, wenn die Seite wirklich die User abzieht, sollte man entsprechend warnen. Aber vielleicht hat er ja den Papierwallet da diesen "nach Hause telefonierenden" Druckern ausgedruckt.

Axiom

Edited by Axiom0815
  • Thanks 1
Link to comment
Share on other sites

vor 48 Minuten schrieb Axiom0815:

Trotzdem, wenn die Seite wirklich die User abzieht, sollte man entsprechend warnen. Aber vielleicht hat er ja den Papierwallet da diesen "nach Hause telefonierenden" Druckern ausgedruckt.

Axiom

Deswegen schreibe ich ja hier, um Evtl. Weitere solche Fälle zu finden und zu warnen.

Am Drucker kann es auch nicht liegen, es ist ein uraltmodell ohne netzwerkanbindung

Edited by HighLife
Drucker statt Drücker
  • Like 2
Link to comment
Share on other sites

Ich kenne nur Fälle beim IOTA-Seedgenerator, das war online und Scam.

Javascript-Offlinepaperwallets sind bisher nicht gehackt worden.

Außerdem macht mich dieser Fall mehr als stutzig!!

Wenn ein Hacker den PrivateKey bei der Generierung kannte, wieso hat er ein Jahr gewartet?!?

Wie kam er an den offline generierten PrivateKey? Selbst wenn es ein Pool von Adressen ist, so wäre der Hacker saudämlich ein Jahr zu warten.

Wieso wartet ein Hacker bis jemand in den Urlaub fährt?

Ich glaube daher nicht an einen Hack.

vor 14 Stunden schrieb HighLife:

Und hat jemand noch ne Idee, ob man da irgendwas machen kann?

Weg ist weg.

vor 13 Stunden schrieb HighLife:

Das hatte ich auch schon überlegt, ist aber eigentlich ausgeschlossen.

Warum hast Du das Wort "eigentlich" eingefügt?

vor 13 Stunden schrieb HighLife:

Wallet ist in einem Schrank versteckt gelagert worden, zufällig stößt man da eher nicht drauf und dass es dort ist wissen höchstens 3 Personen denen ich vertraue.

Hui, Du erzählst drei Leuten, wo sich Deine Paperwallet befindet?

Wieso "höchstens"? Entweder weißt Du es genau oder eben gar nicht.

Bei mir weiß exakt ein Mensch wo sich der Kram befindet. Wenn weg, dann weiß ich wer sie hat.

vor 13 Stunden schrieb HighLife:

Außerdem hat niemand einen Ersatzschlüssel für meine Wohnung

Ich wäre mir da nicht so sicher.

 

Egal wie oft ich es mir durchlese - ich denke, dass Du ein deutlich besseres Sicherheitskonzept ausarbeiten solltest.

  • Love it 1
  • Thanks 1
  • Like 1
Link to comment
Share on other sites

vor 15 Minuten schrieb Jokin:

Wenn ein Hacker den PrivateKey bei der Generierung kannte, wieso hat er ein Jahr gewartet?!?

Wie kam er an den offline generierten PrivateKey? Selbst wenn es ein Pool von Adressen ist, so wäre der Hacker saudämlich ein Jahr zu warten.

Wieso wartet ein Hacker bis jemand in den Urlaub fährt?

Ja das würde ich den Hacker auch gerne fragen, gestaltet sich aber leider schwierig

 

vor 15 Minuten schrieb Jokin:

Warum hast Du das Wort "eigentlich" eingefügt?

Weil man niemals 100% sicher sein kann. Vielleicht hat’s ja ein ausländischer Geheimdienst auf mich abgesehen, der mit nicht nachvollziehbaren Einbruchmethoden arbeitet? (Überspitzt formuliert)

 

vor 15 Minuten schrieb Jokin:

Hui, Du erzählst drei Leuten, wo sich Deine Paperwallet befindet?

Wieso "höchstens"? Entweder weißt Du es genau oder eben gar nicht.

Bei mir weiß exakt ein Mensch wo sich der Kram befindet. Wenn weg, dann weiß ich wer sie hat

Meine Freundin weiß es, falls ich mal einen Tag nicht überleben sollte.

mein Bruder weiß es aus eben selbigem Grund (falls meine Freundin und ich beide den Tag nicht überleben, Verkehrsunfälle dieser Art gab es in meinem Freundeskreis bereits zwei).

und meiner Mutter habe ich es vor einem Jahr mal gezeigt, da sie aber mit cryptos nichts am Hut hat, weiß ich nicht, ob sie sich noch daran erinnert. Deshalb höchstens. Sie habe ich auch auf absolute Geheimhaltung verdonnert und mal ehrlich, wenn man seiner eigenen Mutter nicht vertrauen könnte, wem dann?

vor 15 Minuten schrieb Jokin:

Egal wie oft ich es mir durchlese - ich denke, dass Du ein deutlich besseres Sicherheitskonzept ausarbeiten solltest.

Hinterher ist man immer schlauer. 

Edited by HighLife
  • Thanks 1
  • Like 1
Link to comment
Share on other sites

vor 58 Minuten schrieb Jokin:

Wie kam er an den offline generierten PrivateKey? Selbst wenn es ein Pool von Adressen ist, so wäre der Hacker saudämlich ein Jahr zu warten. 

Du hast die Antwort direkt im nächsten Statz geschrieben.

Nach Hause telefonierende Generatoren sind gar nicht notwendig, denn die Kys sind VORHER schon lange dort.

Deswegen ist es auch ziemlich wurscht,ob man das nun online oder offline macht. Ich muss immer lachen, wenn sich jemand "sicher" fühlt, weil er das ja offline macht. 🙂

Und warum wartet er wohl ein Jahr oder länger? Du kommst ganz sicher drauf 😉

 

Tipp:  Anlocken, vertrauen gewinnen, Kassieren.

Edited by MixMax
  • Love it 1
  • Thanks 1
  • Like 1
Link to comment
Share on other sites

vor 3 Stunden schrieb Jokin:

Uff ...

... ok, wer so leichtfertig damit umgeht: Pech.

Es reicht, wenn es im Testament steht und dies beim Notar hinterlegt wird. Weitere Personen sollten keine Kenntnis haben.

Ich weiß nicht was leichtfertig daran ist, die 3 einem am nahestehendsten Personen darüber aufzuklären.

Außerdem war die Intention hinter diesem Thread nicht meinen Vertrauenspersonen so einen Diebstahl zu unterstellen, sondern möglicherweise andere zu warnen. Und sollte die hier geäußerten Vermutungen, dass der wallet-Generator korrupt ist stimmen, so lautet mein dringender Appell an alle, die darüber ein wallet erstellte haben - egal ob off- oder online - ihre btc wegzuschaffen

 

sei es drum, es waren Gott sei dank nur etwas über 0,6BTC, den Rest habe ich glücklicherweise Ende 2017 ausgecasht. Trotzdem ärgerlich...

  • Like 2
  • Up 1
Link to comment
Share on other sites

vor einer Stunde schrieb HighLife:

Ich weiß nicht was leichtfertig daran ist, die 3 einem am nahestehendsten Personen darüber aufzuklären.

Exakt dies 😉

vor 4 Stunden schrieb MixMax:

Nach Hause telefonierende Generatoren sind gar nicht notwendig, denn die Kys sind VORHER schon lange dort.

Bitaddress.org hab ich selbst geprüft -> alles ok.

vor 4 Stunden schrieb MixMax:

Und warum wartet er wohl ein Jahr oder länger? Du kommst ganz sicher drauf 😉

 

 Tipp:  Anlocken, vertrauen gewinnen, Kassieren.

Warum ist kein weiterer Fall bekannt geworden?

  • Like 1
Link to comment
Share on other sites

vor 15 Stunden schrieb Jokin:

 

 

Warum ist kein weiterer Fall bekannt geworden?

Vielleicht ist die Reichweite der Webseite / Generators nicht so hoch das sich hier ein weiterer User meldet. Vielleicht haben andere es nur noch nicht bemerkt.Wenn 1 von 100000 BTC-Besitzern den Generator benutzt hat, dann hat sich die Webseite ja im Prinzip schon gelohnt.

  • Up 1
Link to comment
Share on other sites

Dass die Coins erst nach einem Jahr entwendet wurden und zwar genau in der Zeit, zu der du im Urlaub warst, macht die Sache für mich eindeutig. Dass du der erste bist, der durch diesen Generator gehackt wurde, verstärkt den Verdacht. Da war jemand an deinem Schrank.

Wussten die Eingeweihten, dass es sich nur um 0,6 BTC handelte?

Link to comment
Share on other sites

Das zeigt gut das generelle Problem von der Bitcoin-Idee. Unabhängig zu sein von Banken, Zahlungen selbst p2p erledigen usw. hört sich erst mal gut an, aber rein praktisch gesehen, wie und wo verstecke ich meine Zugangsdaten (die auch so lange sind, dass man sichs nicht einfach merken kann, sondern wo aufschreiben7speichern muss...), wie stelle ich sicher dass bei einem größeren Unglück wie Einbruch, Hausbrand, Unfall usw. die Daten nicht verloren gehen bzw. nach dem Ableben sicher zu den Erben gelangt. Zusätzlich mußt du fast eine Art Doppelleben führen, kannst fast keinem von deiner Bitcoin-Idee-Begeisterung erzählen, weil sonst kanns sichs rumsprechen, dass bei dir evtl. was zu holen ist und gleichzeitig wenn du es wirklich auch praktisch einsetzt um damit zu bezahlen, kann die Info halt trotzdem in Umlauf kommen (bei jedem Bestellvorgang wo dann z. B. Identität und Lieferadresse abgefragt wird, könnten z. B. diese Daten von Dritten gehackt, weitergegeben und missbraucht werden...

 

 

  • Up 1
Link to comment
Share on other sites

vor 3 Minuten schrieb user2748:

Das zeigt gut das generelle Problem von der Bitcoin-Idee. Unabhängig zu sein von Banken, Zahlungen selbst p2p erledigen usw. hört sich erst mal gut an, aber rein praktisch gesehen, wie und wo verstecke ich meine Zugangsdaten (die auch so lange sind, dass man sichs nicht einfach merken kann, sondern wo aufschreiben7speichern muss...), wie stelle ich sicher dass bei einem größeren Unglück wie Einbruch, Hausbrand, Unfall usw. die Daten nicht verloren gehen bzw. nach dem Ableben sicher zu den Erben gelangt. Zusätzlich mußt du fast eine Art Doppelleben führen, kannst fast keinem von deiner Bitcoin-Idee-Begeisterung erzählen, weil sonst kanns sichs rumsprechen, dass bei dir evtl. was zu holen ist und gleichzeitig wenn du es wirklich auch praktisch einsetzt um damit zu bezahlen, kann die Info halt trotzdem in Umlauf kommen (bei jedem Bestellvorgang wo dann z. B. Identität und Lieferadresse abgefragt wird, könnten z. B. diese Daten von Dritten gehackt, weitergegeben und missbraucht werden...

 

 

Eigenverantwortliches Tun und Handeln kommt aus der Mode.

Und genau das ist das Problem. 

Unsere Gesellschaft ist weichgespült und gutgläubig - da erzählt man drei Menschen von Bitcoinwallets im Schrank und macht einen Open-Source-Walletgenerator dafür verantwortlich.

Leute!

Merkt es mal.

Prüft was Ihr nutzt - das gilt für Walletgeneratoren wie für Freunde und Verwandte.

Sichert Euch ab durch Diversivikation.

Und sorry, aber einer der drei Wissenden hat die Coins.

Link to comment
Share on other sites

Zur langen Hack-Dauer: Kann schon Sinn für den Hacker machen, längere Zeit zu warten, bevor er zuschlägt. Ziel ist ja möglichst fette Beute zu machen und wenn er gleich nach paar Tagen zugreift fliegt z. B. die Cheat-Paperwallet-Software früh auf. Wenn er dagegen Gedult zeigt, 1 Jahr wartet, die User zunächst gute Erfahrungen sammeln, es an Freunde, Bekannte weiter empfehlen, dann kann  er später um so größer absahnen. Zusätzlich könnte evtl. auch sein, dass die Software halt einen begrenzten Schlüssel-Pool verwendet hat, der aber sehr groß war (damit es nicht gleich auffällt), dass der Hacker selbst einige Zeit benötigte um alle durchlaufen zu lassen und prüfen wo Kohle drauf ist.

  • Love it 1
  • Like 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.