Zum Inhalt springen

Paperwallet gehackt?


HighLife

Empfohlene Beiträge

"gehackte" Wallets arbeiten öfter auf diese Weise. Es wird nicht sofort abgegriffen. Der Vorteil an Kryptowährungen ist doch, dass sobald die Adresse bekannt ist, auch eingesehen werden kann, was darauf liegt. Da wäre es doch vom Scammer dämlich, wenn er sofort den ersten Betrag abräumt. Nein, er wartet einfach einige Zeit, bis sich etwas angesammelt hat und räumt dann die Wallet leer. Das gleiche ist doch bei Electrum und dem angeblichen Update passiert. (oder nicht?)

Dennoch hat es mit dem hier genannten Fall eher wenig zu tun. Es müssen auch nicht die 3 Leute gewesen sein. Wer weiß, wem was erzählt wurde und der Freund des Freundes war es dann. Gerade für Paperwallets kann man auch ein Raid bauen.

Einfach den Key in 3 Teile splitten und 3 Zettel erstellen. Auf jedem Zettel stehen nur 2 von 3 Teilen des Keys. Diese Zettel kann man dann verteilen. (z.B. einen ins Bankschließfach oder sonstwo) Hat man 2 Zettel, hat man den Key ... den dritten braucht es nicht, sollte mal einer verloren gehen. Ein Zettel ist wertlos.

Das System geht natürlich auch mit 3 aus 5 usw.

  • Love it 1
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 39 Minuten schrieb user2748:

Zusätzlich könnte evtl. auch sein, dass die Software halt einen begrenzten Schlüssel-Pool verwendet hat, der aber sehr groß war (damit es nicht gleich auffällt), dass der Hacker selbst einige Zeit benötigte um alle durchlaufen zu lassen und prüfen wo Kohle drauf ist. 

Exakt so schätze ich es auch ein. Die Schlüsselmenge wird einfach von 2^160 auf 2^16 reduziert. Das merkt so schnell kein Schwein. Später werden die Keys einfach per bruteforce erzeugt.

  • Thanks 1
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

Am 17.6.2019 um 22:08 schrieb HighLife:

Guten Abend zusammen,

Du meinst diese Seite https://bitcoinpaperwallet.com/?
Wie hast du die Datei heruntergeladen, rechtsklick u. speichern, oder von Github? Wobei ich nichts auf Github finde von dem. Das würde ich dann schon mal nicht verwenden 
Liegen die BTC jetzt noch auf einer Adresse und ruhen?
Sind sie gesplittet worden beim weitersenden?
Wer von deinen Mitwisser, kennt sich mit BTC aus, und kann sie wieder zu Fiat machen?

Ergänzung:
Zu welche Urzeit wurde gestohlen, kannst du daraus Schlüsse ziehen/eingrenzen, ob es wer von den Mitwissern war?
Wann wurde gestohlen, gleich zu Anfang des Urlaub? Dann wusste man wo es versteckt war. 
 

 

Bearbeitet von d3v
ergänzung
Link zu diesem Kommentar
Auf anderen Seiten teilen

Stell den Dieben eine Falle!

Erstelle 3 neue vierschiedene Adressen mit einem dir vertretbaren Betrag.

Sorge dafür das jeder "zufällig " einen der Private Keys bekommt.

So kannst du zumindest rausbekommen, wer von den dreien das Schlitzohr war.

 

Falls es die wahren, was ich übrigens eher nicht glaube.

Bearbeitet von MixMax
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

Naja, wenns kein Hack war, dann wars bestimmt der Bruder, einfach Ausschluss-Verfahren, weil

a) Mütter machen so was nicht!

b) Freundin, naja ok, wie allgemein bekannt, kann man Frauen ja fast alles zutrauen, lol, nur Bitcoin/Computer/Technik ist jetzt halt nicht so ihr natürliches Expertengebiet, daher unwahrscheinlich, wäre das Schokoladen-Versteck geplündert worden, wäre es was anderes^^

Wenn die Paperwallet-Software noch hast, kannst die auch untersuchen (lassen) und dir durch z. B. reverse Engineering genau anschauen was sie macht. Wenn dir das zu viel Aufwand ist, dann evtl. als Bluff versuchen, dem Bruder sagen du hättest das checken lassen, die Software ist 100% in Ordnung und dann umschwenken auf die Art, man kann ja über alles reden, "hast du mir was zu sagen" und ihn dabei sehr ernst anschauen.

Bearbeitet von user2748
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

Du kannst auch dazusagen dass du Anzeige machen wirst, da es bei Hobbydieben meist einfach auszuforschen ist.
Wobei du das natürlich wirklich machen kannst. Die 3 Mitwisser werden dann höchstwahrscheinlich auch befragt werden.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Interessanter Fall. Also ich empfinde es noch nicht als "fahrlässig" drei sehr nahestehenden Menschen den Aufenthaltsort des Seeds anzuvertrauen, mehr als drei sollten es aber möglichst nicht sein...das ist, würde ich sagen, die Obergrenze.

Zum Schrank: Ich würde mir überlegen, ob nicht doch jemand in deine Wohnung eingedrungen ist und sich den Stick, auf dem dein Seed gespeichert war, geschnappt hat. Hast du den Seed nicht noch zusätzlich irgendwie verschlüsselt? Wer war alles in der Gesamtzeit, seit du den Stick hast, in deiner Wohnung? Denke scharf nach. Jeder könnte potentiell, auch schon bevor du im Urlaub warst, sich den Stick kurz genommen und ausgelesen haben, um erst später damit die Bitcoin abzuheben.

Bearbeitet von Kryptozukunft
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor einer Stunde schrieb battlecore:

Hier wird noch drüber diskutiert?? Über ne Sache wo jemand einen Walletgenrator runtergeladen hat??

Das ist ungefähr so wie wenn jemand bei irgendeiner Webseite 0,1 BTC hinschickt um dann das doppelte zurückzubekommen.

Das ist so nicht korrekt.

https://github.com/bitaddress/bitaddress.org
Drei Jahre lang steht der Code da nun online und ist OpenSource. Neben mir werden sicher auch viele andere den Code geprüft haben und schau an, schau an ... bisher keine Negativnachrichten.
Diesen Code kann man auf jedem Offline-Computer laufen lassen

https://github.com/iancoleman/bip39
Hier ist etwas mehr Bewegung im Code, aber auch das ist Open Source und läuft ebenso offline, da Javascript. Auch dies lässt sich recht einfach von weniger erfahrenen Programmierern prüfen.

https://github.com/MyEtherWallet/MyEtherWallet
Und hier nochmal das Ganze für den Ethereumkram, auch OpenSource, mehrfach geprüft, getestet und nie beanstandet. Läuft ebenso offline.

Diese drei Tools gehören meiner Meinung nach auf jeden Offline-Bitcoin/Ether-Computer um Paperwallets oder Seeds zu erzeugen.

  • Love it 1
  • Like 3
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 1 Stunde schrieb Jokin:

Das ist so nicht korrekt.

https://github.com/bitaddress/bitaddress.org
Drei Jahre lang steht der Code da nun online und ist OpenSource. Neben mir werden sicher auch viele andere den Code geprüft haben und schau an, schau an ... bisher keine Negativnachrichten.
Diesen Code kann man auf jedem Offline-Computer laufen lassen

https://github.com/iancoleman/bip39
Hier ist etwas mehr Bewegung im Code, aber auch das ist Open Source und läuft ebenso offline, da Javascript. Auch dies lässt sich recht einfach von weniger erfahrenen Programmierern prüfen.

https://github.com/MyEtherWallet/MyEtherWallet
Und hier nochmal das Ganze für den Ethereumkram, auch OpenSource, mehrfach geprüft, getestet und nie beanstandet. Läuft ebenso offline.

Diese drei Tools gehören meiner Meinung nach auf jeden Offline-Bitcoin/Ether-Computer um Paperwallets oder Seeds zu erzeugen.

Um diese drei geht es doch gar nicht???

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 4 Stunden schrieb battlecore:

Hier wird noch drüber diskutiert?? Über ne Sache wo jemand einen Walletgenrator runtergeladen hat??

Das ist ungefähr so wie wenn jemand bei irgendeiner Webseite 0,1 BTC hinschickt um dann das doppelte zurückzubekommen.

Dieser Vergleich hinkt sehr stark.
Ein Walletgenerator ist nicht per se schlecht, man sollte ihn aber 'Local' ausführen können, und nachsehen ob der Quellcode frei zugänglich ist. Ein Walletgenerator sollte OHNE Internet laufen, sonst ist was faul. Eine Garantie dass er sicher ist, gibt es nur durch Kontrolle des Quellcodes.

Beispiel:
Alle Electron Programme sind nichts anderes als Webseiten die in einem Chrome laufen, man sieht es nur nicht.
https://mycrypto.com/ ist zb ein Fork von MyEtherWallet, diese Wallet kann man als Webseite ausführen und als Downloadprogramm.
Das Downloadprogramm ist eine Electron Anwendung mit dem selben Code von der Webseite, nur man sieht nicht dass es in einem Browser ausgeführt wird.

 

  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

Am 17.6.2019 um 23:22 schrieb HighLife:

müsste mit [...] gewesen sein. Dort halt wie beschrieben den Generator heruntergeladen, auf den offline-pc überspielt, dort ein wallet erstellt und ausgedruckt im hintersten eck eines unauffälligen Schrankes gelagert.

bitcoinpaperwallet basiert auf bitaddress.org.

Am 24.6.2019 um 10:16 schrieb battlecore:

Um diese drei geht es doch gar nicht???

Und bitaddress.org hatte ich oben aufgeführt.

Link zu diesem Kommentar
Auf anderen Seiten teilen

bitaddress.org ist in Ordnung, (selbst kontrolliert (keine Garantie)), aber ob ein Fork davon auch in Ordnung ist, kann man nicht ableiten nur weil das Programm darauf basiert.
Man forkt gerade deswegen eine bekanntes Programm um Sicherheit vorzutäuschen. 

Wie ich oben schon erwähnte, ich finde den Quellcode von bitcoinpaperwallet.com nicht auf Github.
Es gibt einen Downloadlink auf der Seite, der aber nicht funktioniert.

Zitat

TLDR:DOWNLOAD THE ZIP FILE OR GET THE UBUNTU LIVECD AND RUN THE WALLET GENERATOR WITH YOUR INTERNET CONNECTION TURNED OFF.

 

  • Thanks 1
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 11 Stunden schrieb Jokin:

Die Originalsoftware von https://www.bitaddress.org befindet sich hier https://github.com/pointbiz/bitaddress.org, dieser Github-Link befindet sich auch auf seiner Seite.

Die https://github.com/bitaddress/bitaddress.org ist momentan eine 1:1 Kopie vom Original, obwohl Fork dabei steht. Ist aber auch in Ordnung (derzeit).

Es gibt auch noch andere die im Repository auf die bitaddress.org Webseite verlinken.
https://github.com/cantonbecker/bitcoinpaperwallet
https://github.com/jsarenik/bitcoinpaperwallet
 

  • Thanks 2
Link zu diesem Kommentar
Auf anderen Seiten teilen

Nur also Info, mir ist gerade eingefallen, ich habe bis vor ca. 1 Jahr auch mehrere Paperwallets gehabt (bis ich dann den Nano S bekommen habe), die habe ich vor etlichen Jahren auch mal offline über https://www.bitaddress.org erstellt (download von github über den Link auf der Seite und dann offline ausgeführt).

Auf einem der wallets lagen über mehrere Jahre 100BTC und es ist nie was weggekommen.

  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich kenne Leute die ihr Lebenlang geraucht haben ohne Krebs zu bekommen.

Genau so wie viele unangeschnallt und ohne Helm nie Verletzungen erlagen.

Es gibt Leute die lassen ihre Haustür offen und nennen uns paranoid.

Ich könnte hier noch 1000 Beispiele nennen....

Also ja, dein Argument ist in der Tat absolut überzeugend.

Bearbeitet von MixMax
  • Haha 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 2 Jahre später...

Die populäre und vor April 2018 noch saubere Website bitcoinpaperwallet.com vom originären Betreiber Canton Becker (hier seine Ankündigung, daß er bitcoinpaperwallet.com verkauft hat) ist inzwischen als betrügerisch anzusehen, selbst wenn man die Seite im Offline-Modus verwendet. Der Javascript-Code der Seite vom "neuen Betreiber" ist äußerst "fishy" und hat an entscheidenden Stellen Änderungen gegenüber den Original-Seiten von https://github.com/cantonbecker/bitcoinpaperwallet erfahren.

Ich konnte selbst verifizieren, daß die "neue" Seite auch offline keine zufälligen Paperwallet-Keys generiert, sondern verschleiert, daß diese aus einem für den Betreiber vorhersehbaren Pool generiert werden. Da kann man noch so viel mit der Maus rumzappeln, um angeblich Entropie zu generieren. Es gibt diverse Berichte im Netz, wo Leuten die Paperwallets geleert wurden, nachdem diese mit obiger Seite erstellt wurden, z.T. innerhalb kurzer Zeit.

You have been warned!

Siehe auch Hinweise hier https://www.reddit.com/r/Bitcoin/comments/ktydef/help_me_shut_down_the_bitcoinpaperwalletcom_scam/ und dort verlinkter Thread  https://bitcointalk.org/index.php?topic=5304970.0.

bitaddress.org ist nach besten Wissen sauber, wobei ich mir das zur offline Nutzung auch ausschließlich von Github laden und verifizieren würde.

Bearbeitet von Cricktor
Website-Verkaufsdatum berücksichtigt
  • Love it 1
  • Thanks 10
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 1 Stunde schrieb Cricktor:

 

You have been warned!

 

Der Grund, wieso ich bei den Tips mit "ach, einfach offline verwenden" sehr skeptisch war. Die wenigen Generatoren, die ich verwendet habe, habe ich vorher auch einmal quergelesen.

Danke für den Hinweis hier.

  • Love it 1
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

In meiner Familie ist noch eine intakte und gefüllte Paperwallet von 2014 von obiger Generator-Webseite, von der ich dieses Jahr mehr zufällig erfahren habe, daß die nicht mehr koscher ist. Das fühlte sich überhaupt nicht gut an, bei der Vorstellung, wenn man die Seite schon einmal früher geprüft und verwendet hat.

Als ich von der Mutation zu einer Scam-Seite erfahren habe, habe ich sofort erstmal die Balance der Paperwallet gecheckt. Puuuh, Erleichterung!

Ich habe jetzt nicht jedes Thema hier, wo die obige Generator-Seite empfohlen wird, noch mit einem Hinweis versehen, nur welche die nach 2018 gepostet wurden.

Ich weiß nicht, ob @Amsi da noch weitergehende Maßnahmen ergreifen möchte. Den Javascript-Code habe ich vor Monaten geprüft und konnte verifizieren, daß die Generierung der Private Keys manipuliert ist. Man kann zeigen, daß serverseitig der Seed oder was auch immer für den Zufallsgenerator für den Betreiber vorhersehbar ist. Eine echte Entropie und Zufall generiert der Anwender auf der Seite auch offline nicht!

Bearbeitet von Cricktor
  • Thanks 3
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

17 hours ago, Cricktor said:

bitaddress.org ist nach besten Wissen sauber, wobei ich mir das zur offline Nutzung auch ausschließlich von Github laden und verifizieren würde.

Kann man selber als Laie nicht verifizieren. Einfach würfeln und fertig. Websites sind schlicht eine ganz, ganz schlechte Idee und ich schrieb an anderen Stellen auch schon mehrfach, dass auch eine Offline Verwendung nicht hilft.

Bearbeitet von Arther
  • Thanks 2
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 37 Minuten schrieb Amsi:

@CricktorVielen Dank für deine Recherche! Was schlägst du vor, was ich noch tun kann?

Invisionbard –> Admintools –> suchen nach bitcoinpaperwallet –> alle Verweise löschen oder markieren? ;o))

PS: Rikkis Vorschlag erscheint mir effektiver, so er denn auch gelesen wird.

Bearbeitet von ..::. o.Z.o.n.e .::..
PS ... + Verweis
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 5 Stunden schrieb ..::. o.Z.o.n.e .::..:

Invisionbard –> Admintools –> suchen nach bitcoinpaperwallet –> alle Verweise löschen oder markieren? ;o))

Löschen halte ich für mich zielführend, da die Scammer-Site-Adresse bei Google meist unter den ersten zehn Treffern kommt (in meiner Suchblase ist's der vierte Treffer).

Markieren und zur Vorsicht mahnen ist besser, dann schalten einige vielleicht ihren Kopf ein und suchen erstmal nach den Gründen für die Warnung. Ich finde die Zeichenfolge aktuell 34x hier im Forum, aber nicht auf entsprechend viele Themen verteilt, sondern logischerweise in manchen Themen mehrfach.

Für Anfänger, Unerfahrene und Leichtsinnige bergen Paper-Wallets einfach zuviele Gefahren und Fehlerquellen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.