Electrum Wallet Plötzlich leer, unbekannte Auszahlung

[Cricktor]

vor 3 Minuten schrieb Janbtc:

Kein Impressum auf der Website, schon sonderbar.

Für mich ist das nicht vertrauenserweckend.

Ja, aber angeblich am Unternehmensstandort nicht zwingend erforderlich, außerdem möchten der/die sich den Gaunern nicht offenbaren. Nachvollziehbar. Dazu hat sich @btctester.com ja schon im Forum geäußert. Er/sie hat allerdings auch Recht damit, daß ein Impressum keine Garantie für Irgendetwas darstellt.

Mir persönlich wäre ab gewissen Summen, die ich für eine Dienstleistung oder Ware bezahle, auch eine überprüfbare Geschäftsadresse lieber. Das muss dann jeder für sich entscheiden, vorallem, wenn man schon Schaden erlitten hat.

[vike28]

Kennt sich vielleicht jemand mit der blockchain Analyse aus?

Für 9 € kann man mit deren Tool auch selbstständig mit gewissen Vorkenntnissen, eine Beweislastige Nachverfolgung durchgeführen um den Täter zu identifizieren.

Würde sich bereit erklären mir dabei zu helfen? 

Für die Kosten komme ich selbstverständlich auf.

Würde mir wahnsinnig helfen. Vielleicht habe ich Glück und der Täter lässt sich überführen. Ein Versuch bei 0,55 BTC ist es auf jeden Fall Wert.

[Cricktor]

Wer ist dessen Tool(s) hier zum Einsatz kämen? Ein Helfender kennt die Tools nicht, wie soll man dann den Aufwand abschätzen können. 9€, klingt ziemlich wenig; für welchen Zeitraum oder innerhalb welchen Rahmens kann das das/die Tool(s) genutzt werden? Was genau soll das Tool oder die Tools alles leisten können?

Bearbeitet 12. April 2021 von Cricktor

[Janbtc]

vor 58 Minuten schrieb Cricktor:

angeblich am Unternehmensstandort nicht zwingend erforderlich,

Und genau da Frage ich mich, warum kein deutscher Unternehmensstandort?

Mein Gefühl sagt mir, gehe solchen Firmen aus dem Weg. Meist ist da was faul.

Das war OT.

Bearbeitet 12. April 2021 von Janbtc

[Cricktor]

Unternehmerische Freiheit? Aus eigener Erfahrung kann ich dir sagen, daß man vor lauter Vorschriften etc. im Bürokratie-Walhalla Deutschland irre wird. Ja, es hat auch seine Vorteile, unbestritten, ich lebe gern hier, auch wenn nicht alles gülden ist, was vermeintlich glänzet.

[Janbtc]

vor 19 Minuten schrieb Cricktor:

Unternehmerische Freiheit?

Freiheit = nicht greifbar = kann machen was er will = ist im Nirwana verschwunden

Wie blöd muss man sein und so ein Angebot anzunehmen?

Bearbeitet 12. April 2021 von Janbtc

[Cricktor]

Inwiefern hilft das jetzt dem Geschädigten? An seiner Stelle würde ich mir ein Angebot erstellen lassen, wo der Dienstleister auch ein wenig zeigen muss, wozu er imstande ist und wofür man bezahlt, damit man abschätzen kann, ob es das Risiko wert ist und was man so erwarten kann für sein Geld.

Wenn du dich entscheidest, deinen Unternehmenssitz in Elbonien zu haben, soll ich dich etwa dafür verurteilen? Wozu soll das gut sein?

[vike28]

vor einer Stunde schrieb Cricktor:

Wer ist dessen Tool(s) hier zum Einsatz kämen? Ein Helfender kennt die Tools nicht, wie soll man dann den Aufwand abschätzen können. 9€, klingt ziemlich wenig; für welchen Zeitraum oder innerhalb welchen Rahmens kann das das/die Tool(s) genutzt werden? Was genau soll das Tool oder die Tools alles leisten können?

Vergessen den Link zu Posten.

https://btctester.com/product/btc-address-forensics-1/

24 Stunden Zeitlimit

[Cricktor]

vor 1 Stunde schrieb vike28:

Vergessen den Link zu Posten.

https://btctester.com/product/btc-address-forensics-1/

24 Stunden Zeitlimit

Ich bin keine Chain-Analyse-Experte, verstehe aber zumindest einigermaßen die Blockchain mit einem Explorer zu "lesen". Es ist unklar, was du mit den enthaltenen 10 DB-Abfragen wirklich rausbekommst. Das muss man dann auch interpretieren können. Ich wüsste wirklich nicht, was einen da erwartet.

Ich drösel mal ein bißchen deinen Fall auseinander, vielleicht hat ja der ein oder andere Lust beizutragen, ohne immer nur auf den Geschädigten mit dem Finger zu zeigen. Ich benutze blockchair.com als Block-Explorer (die Zeiten sind wahrscheinlich alle in UTC)

2020-10-19 05:00 (TXid: cfdafb0626bfaafa650aeeb9abc02f39d741ada65e5f33ba17eb24bc403566d0)
Deine BTC werden in die Diebes-Adresse 1HJi3QpLzc8QMGwTGhkU9ZLaWE2FiZaFHD transferiert

2020-10-21 10:21 (TXid: bb9cc65c7acc9525a9ba93688bed0748a7c6a810c999b7a1aaac5aba28572915)
1PszkFRe56Jb3zh6gtBUr9ct7tzxPyWUCq mit 0.08289770 BTC (gehört sehr wahrscheinlich auch dem Dieb) wird mit deinen 0.55187490 BTC in 1HJi3QpLzc8QMGwTGhkU9ZLaWE2FiZaFHD zu einem Mixer oder ich vermute eher einer Börse mit Adresse 31wdBGaWyXH9Tmp19Abkq6kX2M8REdpRCH gesendet, auffällig ist der Betrag 0.16277329 BTC unter 2000$, der Rest 0.47166631 BTC wandert in 16YHkZgykSov7Drv6GVHXmQcP3RZQbjXB9, die auch sehr wahrscheinlich dem Dieb gehört (vermutlich eine Wechselgeld-Adresse in der Diebes-Wallet). Einzahlungsbetrag unter 2000$ könnte ein Hinweis sein, KYC bei der Börse zu vermeiden. Trotzdem gibt es einen User-Account bei der Börse, wo mindestens eine Emailadresse und ggf. Zugriffs-IP-Adressen gespeichert worden sind. Die Speicherdauer von IP-Adressen könnte inzwischen ein Problem sein, außerdem kann der Ganove Tor oder VPN benutzen. kA ob seriöse Börsen Zugriffe über Tor zu verhindern versuchen. Auch Wegwerf-Emailadressen führen nicht zwangsläufig zu einer konkreten Person, aber die Wahrscheinlichkeit des Hinterlassens von Datenspuren steigt.

2020-10-21 19:35 (TXid: 7c6048d32b8e5b3b41a2af79bc94e65b88ef7966407d79d25be78a59e7dad9a0)
31wdBGaWyXH9Tmp19Abkq6kX2M8REdpRCH wird mit 166 anderen Inputs und einer Endsumme von 14.77849025 BTC in Adresse 3PSTcuPi7knZ8hcMbP55qaviSmBmGS4Jsj transferiert --> Das könnte eine Börsen-Hotwallet sein.
Die nächste Transaktion mit der 3PST... ist dann 370596b17c7841b67ebb3c5ac6198946c8ca5b54148d9ea7a43b134984745a59, die ich hier nicht weiter verfolge (3PST... wird gesplittet in 6 BTC und 8.77822145 BTC und beides weiter in zich Kleinteile in mehreren Transaktionsrunden; das Splitmuster sagt mir nichts).

Zurück zu 16YHkZgykSov7Drv6GVHXmQcP3RZQbjXB9:
2020-10-24 05:21 (TXid: a6fda0764a4f2d5d2b27600e005498772ad13315aae34130df1c37da723b6a80)
0.12694890 BTC in 1N9iXtbNjWxhSs2FA7eJg7APAZeWQx3JmK wird mit 0.47166631 BTC in 16YHkZgykSov7Drv6GVHXmQcP3RZQbjXB9 wieder gestückelt transferiert in:
39uf5kyoEMZ9ZfnB5uLDovXGa3keVQQtZT 0.15200223 BTC (<2000$!, möglicherweise eine Börsen-Adresse, die dann wieder mit vielen in eine Börsen-Hotwallet zusammengefasst wird), Rest von 0.44646498 BTC in 1KDDzkkfwWz1DvmtJskxuK9UY4JhBpYQeM, die wiederum dem Dieb gehören dürfte.
Das Stückeln von 1KDDzkkfwWz1DvmtJskxuK9UY4JhBpYQeM setzt sich dann fort, das habe ich jetzt nur überflogen, wobei die nächste Stückelung mit 0.10029939 BTC etwas aus der Reihe tanzt, weil es nicht knapp unter 2000$ ist, sondern nur ~1300$ ist. Die nächsten Stückeltransaktionen, sind dann wieder mehr bei knapp unter 2000$ (ein klares Schema ist hier für mich erkennbar).

Ob und was davon einer Börse (oder Mixer oder wasauchimmer) zuzuordnen ist, übersteigt meine Fähigkeiten, da ich das höchstens zum Spaß und aus Neugier mache. Alles keine Hexerei, aber eine korrekte Zuordnung ist für mich selbst nicht möglich.

 

Lass' dich nicht von den günstig klingenden 9€ blenden, denn die Frage ist und bleibt, welchen Informationsgewinn könntest du damit finanzieren. Ich habe kein Problem damit, daß btctester.com hier für sich die Werbetrommel rührt. Solange ihm die Mods oder User nicht entnervt auf's Dach steigen, ist es seine Sache (die Forenregeln hier habe ich nicht auswendig gelernt. 🙂). Verhandele doch mit ihm, ob er dir nicht eine Analyse zu einem fairen Preis machen kann, die möglichst eindeutig zu einer Börse führt. Das wäre der erste gute Ansatz für dich für die Polizei. Hast du schon einen polizeilichen Vorgang?

Bearbeitet 12. April 2021 von Cricktor

[vike28]

vor 4 Stunden schrieb Cricktor:

Ich hab mir jetzt nicht gemerkt, ob du es damals schon bei der Polizei angezeigt hast.

 

Nein hatte ich nicht. 

 

vor 4 Stunden schrieb Cricktor:

Du könntest natürlich noch eine bezahlte Recherche für die Polizei anfertigen lassen

Es wäre doch auch möglich für 9 € mit deren angebotenem Tool.

Könnte mir bitte jemand dabei behilflich sein?

Wäre sehr dankbar dafür.

[wwurst]

Gute Beobachtungen, @Cricktor

Wenn ich eine Masche zum Bitcoin klauen hätte, dann würde ich auf die arbeitsteilige Ganoven-Infrastruktur zurückgreifen. Genauso wie das jeder ebay- oder Kreditkartenbetrüger auch macht:

-Start-

Dazu kaufe ich mir im Darknet gegen Monero die Zugangsdaten zu einem Crypto-Börsenkonto (die phisht ein anderer Spitzbube en gros). Weil ich meistens eher kleine Fische an Land ziehe, nehme ich ein billiges - eines mit 2000$/Tag Transferlimit.

Ich lege ein eigenes, neues Wallet für jeden Fischzug an. In dem verwende ich jede Adresse nur einmal als Eingangsadresse für die Beute. Wenn 2000$ zusammengekommen sind, transferiere ich die auf das gehackte Börsenkonto, mache sie unverzüglich zu Monero (oder einen anderen Privacy-Coin) und verwende dieses Börsenkonto nie mehr wieder. Die privacy-coins gehen auf mein Wallet, evt. noch zweimal im Kreis, und werden dann gelagert, getradet oder ausgecasht

-Fertig-  zurück zum Start und x-mal wiederholen...

Das würde doch ziemlich genau zu dem sich oben andeutenden Schema passen, oder?

Und solange dieser Dieb keine schweren OpSec-Fehler macht (also sich zB ohne VPN an dem gehackten Börsenkonto anmeldet) dann ist er damit so gut wie nicht zu identifizieren. Selbst wenn er Fehler macht, er könnte überall auf der Welt sitzen. Die Börse kriegt die deutsche Polizei schon noch dazu, die IP rauszugeben. Aber das nächste Glied in der Kette, den Internet-Provider in der Äußeren Mongolei? Oder den VPN-Betreiber in der Schweiz? Keine Chance.

Kann ein Dienstleister für Blockchain-Analyse da helfen?

1. Das Muster bestätigen, ja. Aber das kann man auch selber, ist reine Fleißarbeit, siehe oben.
2. Eventuell auch die Börse identifizieren?  Könnte schon sein daß Börsen für bei ihnen registrierte, seriöse Forensiker ein API haben, nach dem Motto: "gehört diese Adresse zu euch - ja/nein"
3. Eventuell weitere Hinweise geben falls der Dieb blöde war und seine Bitcoin-Adressen auch schon mal für Einzahlungen auf sein eigenes, echtes Börsenkonto verwendet hatte. Die 1Pszk... scheint ja eine Vorgeschichte zu haben, auch zu der müssten evt. Börsen identifiziert werden.

Danach würde ich den Anbieter ganz konkret fragen. Wenn er 2. oder 3. nicht zusagen kann, dann ist sein Tool auch kein Geld wert. Auch keine 9€. 

[wwurst]

Ach so, und selbst die Deutsche Telekom vorratsdatenspeichert IP-Informationen "nur" für 6 Monate. Die sind doch bei dir eh schon rum oder?

Also selbst wenn der Dieb dein Nachbar war dann kriegst du ihn jetzt nicht mehr.

[battlecore]

Ob man den Dieb fängt ist an sich irrelevant. Man muss die Coins zurückbekommen. Und das halte ich für völlig ausgeschlossen.

[vike28]

Am 12.4.2021 um 19:52 schrieb wwurst:

Ach so, und selbst die Deutsche Telekom vorratsdatenspeichert IP-Informationen "nur" für 6 Monate. Die sind doch bei dir eh schon rum oder?

Also selbst wenn der Dieb dein Nachbar war dann kriegst du ihn jetzt nicht mehr.

Nein der Diebstahl war am 19.10.2020 also erst in wenigen Tagen.

[vike28]

Am 12.4.2021 um 19:22 schrieb wwurst:

Gute Beobachtungen, @Cricktor

Wenn ich eine Masche zum Bitcoin klauen hätte, dann würde ich auf die arbeitsteilige Ganoven-Infrastruktur zurückgreifen. Genauso wie das jeder ebay- oder Kreditkartenbetrüger auch macht:

-Start-

Dazu kaufe ich mir im Darknet gegen Monero die Zugangsdaten zu einem Crypto-Börsenkonto (die phisht ein anderer Spitzbube en gros). Weil ich meistens eher kleine Fische an Land ziehe, nehme ich ein billiges - eines mit 2000$/Tag Transferlimit.

Ich lege ein eigenes, neues Wallet für jeden Fischzug an. In dem verwende ich jede Adresse nur einmal als Eingangsadresse für die Beute. Wenn 2000$ zusammengekommen sind, transferiere ich die auf das gehackte Börsenkonto, mache sie unverzüglich zu Monero (oder einen anderen Privacy-Coin) und verwende dieses Börsenkonto nie mehr wieder. Die privacy-coins gehen auf mein Wallet, evt. noch zweimal im Kreis, und werden dann gelagert, getradet oder ausgecasht

-Fertig-  zurück zum Start und x-mal wiederholen...

Das würde doch ziemlich genau zu dem sich oben andeutenden Schema passen, oder?

Und solange dieser Dieb keine schweren OpSec-Fehler macht (also sich zB ohne VPN an dem gehackten Börsenkonto anmeldet) dann ist er damit so gut wie nicht zu identifizieren. Selbst wenn er Fehler macht, er könnte überall auf der Welt sitzen. Die Börse kriegt die deutsche Polizei schon noch dazu, die IP rauszugeben. Aber das nächste Glied in der Kette, den Internet-Provider in der Äußeren Mongolei? Oder den VPN-Betreiber in der Schweiz? Keine Chance.

Kann ein Dienstleister für Blockchain-Analyse da helfen?

1. Das Muster bestätigen, ja. Aber das kann man auch selber, ist reine Fleißarbeit, siehe oben.
2. Eventuell auch die Börse identifizieren?  Könnte schon sein daß Börsen für bei ihnen registrierte, seriöse Forensiker ein API haben, nach dem Motto: "gehört diese Adresse zu euch - ja/nein"
3. Eventuell weitere Hinweise geben falls der Dieb blöde war und seine Bitcoin-Adressen auch schon mal für Einzahlungen auf sein eigenes, echtes Börsenkonto verwendet hatte. Die 1Pszk... scheint ja eine Vorgeschichte zu haben, auch zu der müssten evt. Börsen identifiziert werden.

Danach würde ich den Anbieter ganz konkret fragen. Wenn er 2. oder 3. nicht zusagen kann, dann ist sein Tool auch kein Geld wert. Auch keine 9€. 

Vielen vielen Dank für deine Mühe.

Also macht es den Anschein das wohl jemand mit Ahnung den Angriff durchgezogen hat?

 

[Crusader]

vor 5 Minuten schrieb vike28:

Nein der Diebstahl war am 19.10.2020 also erst in wenigen Tagen.

Was faselst du jetzt?

Wir haben April 2021.

Winterschlaf oder was?

[vike28]

vor 1 Minute schrieb Crusader:

Was faselst du jetzt?

Wir haben April 2021.

Winterschlaf oder was?

 Ab dem 19.10 sind 6 Monate erst am 19.4 vorbei

[Crusader]

vor 40 Minuten schrieb vike28:

Nein der Diebstahl war ... also erst in wenigen Tagen.

Seltsame Semantik.    LOL

 

[wwurst]

vor 5 Stunden schrieb vike28:

Nein der Diebstahl war am 19.10.2020 also erst in wenigen Tagen.

Sorry wenn ich dir Illusionen nehme, aber selbst wenn du heute Anzeige erstattest wird die Polizei nicht alles liegen lassen und mit Hundertschaft, Hundestaffel und Hubschraubern die IP-Anfrage an die Börse schicken. Und dann das ganze Verfahren nochmal, falls der Provider identifiziert wird. Bis das soweit ist, gibt es keine Chance mehr daß der Provider die IP noch einem Kunden (oder VPN-Service) zuordnen kann.

[vike28]

vor einer Stunde schrieb wwurst:

Sorry wenn ich dir Illusionen nehme, aber selbst wenn du heute Anzeige erstattest wird die Polizei nicht alles liegen lassen und mit Hundertschaft, Hundestaffel und Hubschraubern die IP-Anfrage an die Börse schicken. Und dann das ganze Verfahren nochmal, falls der Provider identifiziert wird. Bis das soweit ist, gibt es keine Chance mehr daß der Provider die IP noch einem Kunden (oder VPN-Service) zuordnen kann.

Am 04.11.2020 sollen die coins ja erst zu einer Börse gesendet worden sein.

Knappe 2 Wochen würden mir noch bleiben.

Zu wenig Zeit???

[wwurst]

vor 9 Minuten schrieb vike28:

Zu wenig Zeit???

Es wurde dir jetzt of genug erklärt, warum die Chancen eh extrem schlecht stehen. Auch deswegen wird dein Verfahren nicht mit derselben Priorität behandelt werden wie ein Raubmord. Wenn du sonst nicht mehr schlafen kannst, dann gehe zur Polizei und erstatte Anzeige. Sofort. Ob es sich lohnt, Beweismittel (und wenn ja welche) noch selber zu beschaffen können die dir vielleicht sogar direkt sagen.

[vike28]

vor 4 Minuten schrieb wwurst:

Es wurde dir jetzt of genug erklärt, warum die Chancen eh extrem schlecht stehen. Auch deswegen wird dein Verfahren nicht mit derselben Priorität behandelt werden wie ein Raubmord. Wenn du sonst nicht mehr schlafen kannst, dann gehe zur Polizei und erstatte Anzeige. Sofort. Ob es sich lohnt, Beweismittel (und wenn ja welche) noch selber zu beschaffen können die dir vielleicht sogar direkt sagen.

Wie lange ist den die genaue Dauer der Speicherung für IP Adressen etc ?

[wwurst]

vor 1 Minute schrieb vike28:

Wie lange ist den die genaue Dauer der Speicherung für IP Adressen etc ?

Machst du dir überhaupt noch die Mühe, die Beiträge weiter oben zu lesen?

• Bei der Deutschen Telekom: 6 Monate
• Bei Cryptobörsen, Internet-Providern im Ausland: unterschiedlich, meist kürzer
• Bei VPN-Anbietern: gar nicht