Paper Wallet gehackt

[Chang777]

Hallo,

ich hoffe mir kann hier jemand helfen. ich habe vor einigen Monaten über www.bitaddress.org ein Paper Wallet erstellt. Dieses Wallet habe ich ausgedruckt und ins Bankschließfach deponiert. Ich hatte 2 x Bitcoins auf dieses Wallet tranferiert und wollte heute mal das Paper checken. Nun stelle ich fest, dass beide Zahlungen direkt 2 Minuten nach dem Eingang direkt an eine andere (mir unbekannte) Adresse weitergeleitet wurden. Es waren jetzt keine riesen Summen, aber ich würde mich doch sehr für mein Datenleck interessieren, um zukünftig solche Fehler - mit höheren Summen - ausschließen zu können. Das Wallet hatte ich offline erstellt und das Paper auch direkt gedruckt. Also es war unmöglich, dass den Privatkey jemand in meinem Umfeld gesehen hat. Ich kann mir aktuell nur vorstellen, dass die Daten über den Drucker ausspioniert wurden (obwohl ich mir nicht vorstellen kann, wie das geht). ich wäre wirklich für eien Rückmeldung sehr dankbar, daher vorab vielen Dank

[Amsi]

Offline erstellt? Hast du die Seite also heruntergeladen?

[fox912]

Hilft Dir jetzt nichts bei deiner Frage, da ich mir auch nicht erklären kann wie / wo du ausspioniert worden bist (bitaddress sollte "safe" sein).

Mein Vorgang:

• bitaddress.org auf nen Stick geladen
• Rechner offline (Rooter ausgeschaltet) neu gestartet von nem Linux Live System (Ubuntu, Mint, ...)
• Paperwallets erstellt mit bitaddress vom USB-Stick (die öffentlichen Addys kopiere ich mir dabei in ne Textdatei auf den Stick)
• Paperwallets ausgedruckt (habe dazu extra einen alten Drucker ohne Wlan o.ä. über USB)
• zusätzlich erstelle ich mir die Paperwallets immer mit einem Passwort, sollte doch mal jemand eine in die Hände bekommen

 

[MixMax]

Leck Nr.1  

vor 1 Stunde schrieb Chang777:

www.bitaddress.org

 

Leck Nr.2  

vor 1 Stunde schrieb Chang777:

Bankschließfach

 

Kein wahrscheinliches Leck:

vor 1 Stunde schrieb Chang777:

Drucker ausspioniert wurden

 

 

Leck Nr. 3

Du hast keine ausreichende Entropie benutzt oder sogar nen Text gehasht.

 

Leck Nr.4:  (wahrscheinlichster Fall):

Du bist auf eine Fake-Internet Seite reingefallen die Bitaddress.org nachstellt.

Bearbeitet 21. September 2020 von MixMax

[wwurst]

Mein erster Kandidat wäre, daß du auf eine Phishing-Version von bitaddress.org reingefallen bist.

Denn das Original spioniert dich auch dann nicht aus, wenn du es (wider alle Vernunft) online benutzt. Und wenn du  nicht nebenher noch ganz andere Dinger drehst, dann hat wahrscheinlich auch keiner wegen der paar Kröten dein WLAN oder deinen Drucker ausspioniert 😎

[Jokin]

vor 8 Minuten schrieb wwurst:

Mein erster Kandidat wäre, daß du auf eine Phishing-Version von bitaddress.org reingefallen bist.

 

Das wäre auch mein Ansatz.

vor 1 Stunde schrieb Chang777:

Das Wallet hatte ich offline erstellt und das Paper auch direkt gedruckt. Also es war unmöglich, dass den Privatkey jemand in meinem Umfeld gesehen hat.

Merkwürdig. äußerst merkwürdig.

[koiram]

vor 30 Minuten schrieb wwurst:

Mein erster Kandidat wäre, daß du auf eine Phishing-Version von bitaddress.org reingefallen bist.

Sehe ich auch so, evtl. mit einem d geschrieben, oder bei der Google-Suche auf einer anderen ähnlich klingenden Seite gelandet.

[skunk]

vor 3 Stunden schrieb Chang777:

ich habe vor einigen Monaten über www.bitaddress.org ein Paper Wallet erstellt.

Ich habe gerade mal zum Spaß in meine Browser Historie geschaut. Wenn du die nicht gelöscht hast, solltest du da auch nach einigen Monaten noch nachprüfen können ob du wirklich das Original oder eine Fälschung geöffnet hast. Wirf auch mal einen Blick in deine Hosts Datei. Es gibt ja noch andere Möglichkeiten deine Anfrage einfach an einen falschen Server weiter zu leiten. Das würdest du im Browser nicht mal bemerken.

Es gibt sogar eine Suche im Browser Verlauf. Gibt da mal bitaddress ein und schau auf welchen ähnlich klingenden Seiten du so warst.

Bearbeitet 21. September 2020 von skunk

[Chang777]

Vielen Dank für die schnellen Antworten. Bin euch wirklich sehr dankbar. Ich bin beruflich auf Dienstreise und checke das mit dem Browserverlauf, sobald ich wieder in der Heimat bin. Erkennbar ist, dass meine Zahlungseingänge innerhalb in 2 - 3 Stunden auf 7 bzw im zweiten Fall 11 andere Adressen verteilt wurden. Echt ärgerlich sowas 

[Axiom0815]

Was noch nicht hier aufgeführt wurde, soziale Kontakte.

Ein Foto ist schnell gemacht mit den Handy. 

Also zukünftig ruhig "etwas paranoider" sein.

Ist es wirklich die richtige Seite? Kann man sich auch als Quelle runterladen und die PGP-Signatur checken.

Offline. Was heißt das genau? Nur mal kurz Kabel gezogen, sodass ein Schadprogramm einfach nur zwischenspeichert und später die Infos ins Inteternet weiterleitet, oder wirklich ein Offlinerechner, der nie am Internet war und nie irgendwie ans Netz geht. Hier spielt auch WLAN, Bluetooth usw. eine Rolle. Das gleiche gilt für den Drucker. Manche Drucker haben auch ein internen Speicher...

Was ist danach mit der Paperwallet passiert? Gut verschlossen in einen lichdichten Briefumschlag gelegt und dann sicher verwahrt, oder noch paar Freunden vorher gezeigt.

Axiom

[Chang777]

Hat mit keine Ruhe gelassen und meine Frau den Verlauf sichten lassen. Dieser ist leider nur 3 Monate sichtbar. Das Wallet hatte ich früher erstellt. Der Rechner war zu diesem Zeitpunkt nagelneu und ich benutze ihn nur für eine Token Lösung für mein Homeoffice. Das wallet war so ungefähr die erste Aktion mit dem neuen Rechner und dürft so knapp 6 Monate her sein. 

[Chang777]

vor 9 Minuten schrieb Axiom0815:

Was noch nicht hier aufgeführt wurde, soziale Kontakte.

Ein Foto ist schnell gemacht mit den Handy. 

Also zukünftig ruhig "etwas paranoider" sein.

Ist es wirklich die richtige Seite? Kann man sich auch als Quelle runterladen und die PGP-Signatur checken.

Offline. Was heißt das genau? Nur mal kurz Kabel gezogen, sodass ein Schadprogramm einfach nur zwischenspeichert und später die Infos ins Inteternet weiterleitet, oder wirklich ein Offlinerechner, der nie am Internet war und nie irgendwie ans Netz geht. Hier spielt auch WLAN, Bluetooth usw. eine Rolle. Das gleiche gilt für den Drucker. Manche Drucker haben auch ein internen Speicher...

Was ist danach mit der Paperwallet passiert? Gut verschlossen in einen lichdichten Briefumschlag gelegt und dann sicher verwahrt, oder noch paar Freunden vorher gezeigt.

Axiom

Im Arbeitszimmer - zuhause - erstellt (offline = Kabel gezogen - wahrscheinlich total doof.....), danach sofort gedruckt und in einem verschlossenen Umschlag am nächsten Tag zur Bank gebracht. Null Chance für jemanden aus der Familie, oder einen Außenstehenden.  Ich werde das Rätsel wohl nicht auflösen können und muss mich damit begnügen, dass ich offensichtlich einen Fehler gemacht habe. 

[prosac]

vor 3 Stunden schrieb Chang777:

Nun stelle ich fest, dass beide Zahlungen direkt 2 Minuten nach dem Eingang direkt an eine andere (mir unbekannte) Adresse weitergeleitet wurden.

kann doch eig. nur eine Phishing Version gewesen sein - alles andere wäre in 2min doch gar nicht machbar

(ich selber hab mir damit vor 6 Jahren mal ein paar hundert Adressen generiert und gedruckt, sind soweit alle safe - und ich benutze die heute noch ^^)

[Axiom0815]

vor 8 Minuten schrieb Chang777:

Im Arbeitszimmer - zuhause - erstellt (offline = Kabel gezogen - wahrscheinlich total doof.....), danach sofort gedruckt und in einem verschlossenen Umschlag am nächsten Tag zur Bank gebracht. Null Chance für jemanden aus der Familie, oder einen Außenstehenden.  Ich werde das Rätsel wohl nicht auflösen können und muss mich damit begnügen, dass ich offensichtlich einen Fehler gemacht habe. 

Ja, aber es wäre gut, zu versuchen den Fehler zu finden. So schließt man ihm zukünftig aus.

Ich würde beim "Kabel abgezogen" suchen. Wenn alles vorher und nachher weiter läuft, ist das nicht besonders sicher. Trojanern speichern Ein- und Ausgabe und können auch später dann abgerufen werden, bzw. senden dann ihre Daten.

Auch die Frage, ob Du auf der richtigen Seite warst, sollte gecheckt werden. Sonst ist der Diebstahl vorprogrammiert. Hast Du den Code mit seiner Signatur geprüft?

Axiom

[skunk]

Wie bist du auf die Seite aufmerksam geworden? War das ein Link den du angeklickt hast? Auf welcher Seite befand sich der Link? Oder hast du das einfach in deine Adresszeile eingegeben und dann das erste Suchergebnis bei Google angeklickt? Vorsicht das ist ein bekannter Anwenderfehler. Die Angreifer schalten ihre Phising Seite gezielt als Werbung damit sie als erste Treffer angezeigt wird.

[Chang777]

vor 24 Minuten schrieb skunk:

Wie bist du auf die Seite aufmerksam geworden? War das ein Link den du angeklickt hast? Auf welcher Seite befand sich der Link? Oder hast du das einfach in deine Adresszeile eingegeben und dann das erste Suchergebnis bei Google angeklickt? Vorsicht das ist ein bekannter Anwenderfehler. Die Angreifer schalten ihre Phising Seite gezielt als Werbung damit sie als erste Treffer angezeigt wird.

Ich habe die Adresse bei Google eingegeben und bin dann darauf gegangen. Ich kann natürlich nicht ausschließen, dass das der Fehler war und ich auf eine Fake Seite hereingefallen bin. Obwohl ich es um ehrlich zu sein fast ausschließen möchte. Bei allen Überlegungen bleibe ich immer noch beim internen Speicher meines Druckers hängen. Ich habe von der Technik wenig Ahnung, kann aber grds sagen, dass ich immer sehr vorsichtig bin.  

[wwurst]

vor 6 Minuten schrieb Chang777:

Überlegungen bleibe ich immer noch beim internen Speicher meines Druckers hängen

Du erzählst uns ja nichts von deinem Netzwerk (WLAN und/oder LAN? Kabel gezogen aber trotzdem im Internet geblieben?).

Erzählst auch kein Wort, ob du die Prüfsumme für bitaddress gecheckt hattest - don't trust, verify! Zu Deutsch: Vorsicht ist die Mutter der Porzellankiste. 

Ein CIA-Trupp, der innerhalb von zwei Minuten deinen Druckerspeicher angezapft hat, wäre dir höchstwahrscheinlich aufgefallen, da müsstest du uns nicht fragen 😎

[skunk]

Drucker ist eigentlich ein eher unwahrscheinliches Angriffsziel. Für Betriebsspionage sicherlich brauchbar aber wenn ich es auf deine Coins abgesehen habe, dann ist mir der Aufwand an deinen Drucker zu kommen einfach zu hoch. Erstmal bekomme ich einen hohen Anteil an unbrauchbaren Daten weil du alles mögliche an den Drucker sendest aber nicht das was ich eigentlich haben möchte. Selbst wenn du dann ein Paper Wallet druckst, musst du das ohne Passwort machen. Da schenke ich dir lieber ein manipuliertes Hardware Wallet. Das erscheint mir erfolgsversprechender als deinen Drucker anzugreifen.

Warum sollte ein Angreifer genau deinen Drucker angreifen. Dazu müsstest du den Drucker schon neu Kaufen und mit BTC bezahlen. Das würde die Chancen für den Angreifer etwas erhöhen einen Treffer zu landen.

Bist du dir der Problematik mit der Google Werbung bewusst? Ich klicke konsequent keinen Werbelink an selbst wenn es die richtig Seite ist. Ich habe eine Zeit lang ein Plugin Benutzt was mir konsequent verboten hat diese Werbelinks anzuklicken einfach weil es ein Sicherheitsrisiko ist. Das Plugin war richtig nervig sodass ich angefangen habe mein Verhalten zu ändern um mich nicht mit dem Plugin rumärgern zu müssen. Rückblickend ist das gut so. Das Plugin habe ich nicht mehr aber jetzt habe ich einen Filter in meinem Kopf. Nach einer Google Suche schaue ich erst wo die Werbelinks aufhören und fange erst ab da an die Ergebnisse zu lesen. Das nervige Plugin hat mir das so gut eingetrichtert, dass ich es einfach beibehalte.

[Xaladilnik]

vor 5 Stunden schrieb Chang777:

Das Wallet hatte ich offline erstellt und das Paper auch direkt gedruckt.

Wie gedruckt? Hasst du auf der bitaddress.org seite auf "Print" gedrückt oder ein Screenshot gemacht? 

Den PrivateKey vielleicht sonst irgendwohin kopiert und eingefügt? 

Entweder du bist du auf der falsche bitaddress seite gelandet oder du hast NACH dem Erstellen der Key's und VOR dem Drucken noch was anderes gemacht, zb. screenshots erstellt, in Zwischenspeicher kopiert etc. (spyware, sniffer auf dem Rechner) ... alles andere in zwei Minuten zu machen ist eher unwahrscheinlich.     

Da du die Seite über Google aufgerufen hast, bist du höchstwahrscheinlich auf einer fakeseite gelandet.  

Bearbeitet 21. September 2020 von Xaladilnik

[skunk]

Hier mal eine Liste welche Phishing Seiten so im Umlauf sind: https://bitcointalk.org/index.php?topic=5203290.0

[nattyflo]

vor 5 Stunden schrieb Axiom0815:

Was noch nicht hier aufgeführt wurde, soziale Kontakte.

Ein Foto ist schnell gemacht mit den Handy. 

Also zukünftig ruhig "etwas paranoider" sein.

Ist es wirklich die richtige Seite? Kann man sich auch als Quelle runterladen und die PGP-Signatur checken.

Offline. Was heißt das genau? Nur mal kurz Kabel gezogen, sodass ein Schadprogramm einfach nur zwischenspeichert und später die Infos ins Inteternet weiterleitet, oder wirklich ein Offlinerechner, der nie am Internet war und nie irgendwie ans Netz geht. Hier spielt auch WLAN, Bluetooth usw. eine Rolle. Das gleiche gilt für den Drucker. Manche Drucker haben auch ein internen Speicher...

Was ist danach mit der Paperwallet passiert? Gut verschlossen in einen lichdichten Briefumschlag gelegt und dann sicher verwahrt, oder noch paar Freunden vorher gezeigt.

Axiom

Wie kann man eine "pgp-signatur checken"? Lässt sich das für 'laien" einfach erklären?

[Axiom0815]

vor 10 Minuten schrieb nattyflo:

Wie kann man eine "pgp-signatur checken"? Lässt sich das für 'laien" einfach erklären?

Ja

1. Man geht auf https://github.com/pointbiz/bitaddress.org und lädt die aktuelle Version als zip runter
2. Man entpackt die Datei
3. man überprüft die Signatur mit
   gpg --verify bitaddress.org.html.sig
4. als Antwort erhält man in etwa sowas...
   gpg: Signatur vom 12/24/16 20:22:38 Mitteleuropõische Zeit
   gpg:                mittels RSA-Schlüssel 0x87497B9163974F5A
   gpg: Korrekte Signatur von "pointbiz <pointbiz@bitaddress.org>" [verfallen]
   gpg:                     alias "ninja <ninja@bitaddress.org>" [verfallen]
   ....
   Haupt-Fingerabdruck  = 527B 5C82 B1F6 B2DB 72A0  ECBF 8749 7B91 6397 4F5A
5. Ist die Signatur korrekt, kann man den File trauen.

Dazu muss man GPG installiert haben. Bei Linux wird es meist mitgeliefert. Bei Windows kommst Du mit gpg4win weiter.
Den Schlüssel von ninja kannst Du auch bei github finden.

Tipp: Beschäftige Dich mal mit GPG. Es ist gut sowas als Standard-Tool zu beherrschen. 😉

Viel Glück!

Axiom

[battlecore]

@Chang777

Speicher dir solche Seiten als Bookmarks im Browswr, oder noch besser als Link auf dem Desktop. Denn falls du deine Bookmarks vom Browser synchronisieren lässt ist das ganz schlecht.

Und du solltest Linux und Firefox dafür benutzen.

Kein Windows, kein Smartphone.

[q1221q]

vor 5 Stunden schrieb Chang777:

Im Arbeitszimmer - zuhause - erstellt (offline = Kabel gezogen - wahrscheinlich total doof.....), danach sofort gedruckt und in einem verschlossenen Umschlag am nächsten Tag zur Bank gebracht. Null Chance für jemanden aus der Familie, oder einen Außenstehenden.  Ich werde das Rätsel wohl nicht auflösen können und muss mich damit begnügen, dass ich offensichtlich einen Fehler gemacht habe. 

Ich vermute leider auch dass die von dir gewählte Seite oder dein Browser / System allgemein mit einem Trojaner bestückt war.

Auch wenn du offline warst während du die Codes erstellt und gedruckt hast, kann ein solcher Schädlich alles "mit schreiben" und wartet dann einfach auf die nächste Gelegenheit, sobald du wieder online gehst.

 

Ich nutze zur Erstellung tatsächlich ein eigens dafür gekauftes günstiges Notebook (ca. 250-300€ gibt es einfache Modelle).

Dort installiere ich immer alles komplett neu und das Gerät bekommt keinen Internetzugang.

Am Ende wird der Rechner auch wieder formatiert, sodass das Gerät selbst wertlos wird (für pot. Diebe).

 

Hoffentlich war es keine allzu große Summe, aber in jedem Fall wirst du beim Nächsten Mal nicht die selben Fehler machen.

Es ist ärgerlich, aber Jeder zahlt hier und da "Lehrgeld".

Bearbeitet 21. September 2020 von q1221q

[Chang777]

vor 14 Stunden schrieb skunk:

Wie bist du auf die Seite aufmerksam geworden? War das ein Link den du angeklickt hast? Auf welcher Seite befand sich der Link? Oder hast du das einfach in deine Adresszeile eingegeben und dann das erste Suchergebnis bei Google angeklickt? Vorsicht das ist ein bekannter Anwenderfehler. Die Angreifer schalten ihre Phising Seite gezielt als Werbung damit sie als erste Treffer angezeigt wird.

Ich habe die Adresse bei Google eingegeben und bin dann darauf gegangen. Ich kann natürlich nicht ausschließen, dass das der Fehler war und ich auf eine Fake Seite hereingefallen bin. Obwohl ich es um ehrlich zu sein fast ausschließen möchte. Bei allen Überlegungen bleibe ich immer noch beim internen Speicher meines Druckers hängen. Ich habe von der Technik wenig Ahnung, kann aber grds sagen, dass ich immer sehr vorsichtig bin.