Jump to content

Risiko bei gebrauchten Ledger Nano


Recommended Posts

Man liest ja immer, dass man sich am besten ein Cold Wallet, nehmen wir mal den Ledger Nano s oder x, direkt beim Hersteller kauft.

Wo aber liegt genau das Risiko, wenn ich diesen bei Ebay-Kleinanzeigen kaufe und von einer (nach meiner Einschätzung vertrauenswürdigen Person) selbst abhole. 

Was könnte daran denn so manipuliert sein, dass ich meine Bitcoin verliere? Kann das jemand technisch erklären?

Link to comment
Share on other sites

vor 5 Minuten schrieb roemer:

 . . . Was könnte daran denn so manipuliert sein, dass ich meine Bitcoin verliere?

Na ja das einfachste das mir da einfällt, die wallet ist schon voll eingerichtet mit PIN und SEED und einer BTC APP der SEED ist schön "professionell" auf dem beiliegenden Kärtchen abgedruckt ein Anfänger in der Materie könnte eventuell denken das muss so sein und schon ist es passiert. 

Oder die Hardware ist manipuliert da ist theoretisch alles denkbar nur ist diese Hürde der Manipulation natürlich um ein Vielfaches höher.

Link to comment
Share on other sites

Ok, dass der Seed geheim ist und nicht abgedruckt gehört, ist ja klar.    Die Frage ist eben, wie hoch die Wahrscheinlichkeit ist, dass jemand eine Manipulation so durchführen kann, dass er am Ende an meine Bitcoin auf dem cold Wallet kommt. Denn sonst macht das ganze für ihn ja keinen Sinn.

Link to comment
Share on other sites

vor 58 Minuten schrieb roemer:

Die Frage ist eben, wie hoch die Wahrscheinlichkeit ist, dass jemand eine Manipulation so durchführen kann, dass er am Ende an meine Bitcoin auf dem cold Wallet kommt. 

Die ist meiner Meinung nach sehr gering, aber gegeben. 

Zusatz: ich habe mal eine Anleitung gefundenen, wie man den Ledger öffnen und nach Hardware-Manipulation untersuchen kann. Ich meine es wäre bei Kaspersky gewesen. 

Ob das nur ein obligatorischer Vorschlag war, oder ob es wirklich bereits erfolgreich solche Manipulationen gegeben hat, weiß ich nicht. Angeblich soll eine eingebaute Hardware Kontrolle im Ledger sowas unmöglich machen. 

https://www.heise.de/select/ct/2019/4/1550222540572554

Edited by Philbert
Link to comment
Share on other sites

vor 22 Minuten schrieb roemer:

Ok, dass der Seed geheim ist und nicht abgedruckt gehört, ist ja klar . . . 

Schön das dies klar ist.

vor 23 Minuten schrieb roemer:

 . . . wie hoch die Wahrscheinlichkeit ist, dass jemand eine Manipulation so durchführen kann . . .

Die Frage ist warum soll ich das Risiko eingehen das bei irgend einem "ebay Händler" doch manipulierte Ledger in Umlauf gebracht werden wenn ich auch direkt bei Hersteller kaufen kann.  Je mehr "Hände" durch die so etwas geht je mehr Möglichkeiten der Manipulation ganz einfach.

Und nach den Erfahrungen aus dem Kundendaten Hack letztes Jahr sollten künftige Käufer auch da (hoffentlich) sicher(er) sein :D

Link to comment
Share on other sites

Ist das eine rhetorische Frage? Wenn Du Dir aus finanziellen Gründen keinen unbenutzten Ledger vom Hersteller leisten kannst, dann fang das Traden gar nicht erst an!!!

Wenn Du irgendwas von Mathematik verstehst (und das solltest Du beim Traden) und ansatzweise ein Verständnis von Wahrscheinlichkeitsrechnung und Grenzwertbetrachtung hast, dann kannst Du verstehen, dass das Risiko eines benutzten Ledgers im Verhältnis zu einem unbenutzten unendlich groß ist!!! Mathematisch eben nicht korrekt, aber zum besseren Verständnis:

Benutzt = „ein“ Risiko zu „Unbenutzt“ = „Kein“ Risiko

…und jetzt nicht philosophieren, dass ein Mitarbeiter am Fließband oder sonstwo theoretisch ja auch blablabla könnte – capice? 😉

Das ist wirklich ein ernster und gut gemeinter Rat! Das fängt damit an, dass Du nur das Geld zum Spekulieren einsetzen solltest, dass Du auch verkraften kannst zu verlieren. Das Risiko beim Traden ist groß, aber händelbar, wenn man es „richtig“ angeht. Das ist kein Glücksspiel!

Genau das machst Du aber mit einem gebrauchten Ledger. Und das Risiko, was Du damit eingehst, ist weit größer, als das Traden selbst. Diese Rechnung ist doch eigentlich ganz einfach.

Edited by HansWurst80
Link to comment
Share on other sites

vor 37 Minuten schrieb HansWurst80:

Ist das eine rhetorische Frage? Wenn Du Dir aus finanziellen Gründen keinen unbenutzten Ledger vom Hersteller leisten kannst, dann fang das Traden gar nicht erst an!!!

Wenn Du irgendwas von Mathematik verstehst (und das solltest Du beim Traden) und ansatzweise ein Verständnis von Wahrscheinlichkeitsrechnung und Grenzwertbetrachtung hast, dann kannst Du verstehen, dass das Risiko eines benutzten Ledgers im Verhältnis zu einem unbenutzten unendlich groß ist!!! Mathematisch eben nicht korrekt, aber zum besseren Verständnis:

Benutzt = „ein“ Risiko zu „Unbenutzt“ = „Kein“ Risiko

…und jetzt nicht philosophieren, dass ein Mitarbeiter am Fließband oder sonstwo theoretisch ja auch blablabla könnte – capice? 😉

Das ist wirklich ein ernster und gut gemeinter Rat! Das fängt damit an, dass Du nur das Geld zum Spekulieren einsetzen solltest, dass Du auch verkraften kannst zu verlieren. Das Risiko beim Traden ist groß, aber händelbar, wenn man es „richtig“ angeht. Das ist kein Glücksspiel!

Genau das machst Du aber mit einem gebrauchten Ledger. Und das Risiko, was Du damit eingehst, ist weit größer, als das Traden selbst. Diese Rechnung ist doch eigentlich ganz einfach.

Ich würde auch keinen gebrauchten Ledger kaufen. Punkt. 

Aber wenn ich der Angreifer wäre, der in der Lage ist, erfolgreich Hardware Manipulationen an den Geräten vorzunehmen, würde ich mich sicherlich nicht damit aufhalten 5 gebrauchte Ledger über Ebay zu verkaufen, sondern wirklich versuchen ganze Kartons in der Lieferkette oder bei der Lagerung auszutauschen. Dein Szenario mit dem Fließband ist also gar nicht so abwegig.... jedenfalls nicht 0 zu unendlich. 

  • Like 1
Link to comment
Share on other sites

vor 48 Minuten schrieb Philbert:

wenn ich der Angreifer wäre

Ich kann mir auch vorstellen, dass solche "Angreifer" sogar nur so einfach zu sein brauchen, dass sie nicht mal Ahnung von Hard- o. Software haben müssen. Es geht ja häufig auch darum, "neue" Ledger über ebay von privat oder Drittanbietern zu kaufen, die darauf spekulieren, dass das Gerät vor Gebrauch nicht resettet wird (da ja neu). Und ich kann mir vorstellen, dass bei den Leuten, die wegen ein paar EUR Ersparnis solche Geräte woanders kaufen, die Wahrscheinlichkeit größer ist, dass die das genauso unbedarft in Betrieb nehmen. Eben aus Unwissenheit oder weil man sich eben nicht eingehend mit der Materie beschäftigt hat o. Ä. (ohne jemandem zu nahe treten zu wollen!).

Für den Fall müsste ich meinen vorigen Beitrag dahingehend konkretisieren, dass ich jegliche HardWallet ausnahmslos nur vom Hersteller beziehen würde! (Und hoffe, dass kein Hacker oder sonstiger Crack am Fließband steht 😉).

Edited by HansWurst80
  • Like 1
Link to comment
Share on other sites

vor 5 Minuten schrieb HansWurst80:

Es geht ja häufig auch darum, "neue" Ledger über ebay von privat oder Drittanbietern zu kaufen, die darauf spekulieren, dass das Gerät vor Gebrauch nicht resettet wird (da ja neu). Und ich kann mir vorstellen, dass bei den Leuten, die wegen ein paar EUR Ersparnis solche Geräte woanders kaufen, die Wahrscheinlichkeit größer ist, dass die das genauso unbedarft in Betrieb nehmen. Eben aus Unwissenheit oder weil man sich eben nicht eingehend mit der Materie beschäftigt hat o. Ä. (ohne jemandem zu nahe treten zu wollen!).

Das sehe ich ganz genauso 👍🏽

Link to comment
Share on other sites

vor 7 Stunden schrieb Philbert:

Aber wenn ich der Angreifer wäre, der in der Lage ist, erfolgreich Hardware Manipulationen an den Geräten vorzunehmen, würde ich mich sicherlich nicht damit aufhalten 5 gebrauchte Ledger über Ebay zu verkaufen

Und auch noch an "Sparfüchse", von denen kaum eine ordentliche Beute zu erwarten wäre.

Da ist der Aufwand einer (ohnehin nur theoretischen) Hardwaremanipulation doch völlig übertrieben. Eher würde ich als Gauner die Betriebsanleitung austauschen, mit einem Punkt "sichern sie unbedingt ihren Seed auf <gaunerdomain>.com" 😉  Das wäre eine vernünftige Kosten/Nutzen-Relation für einen Angriff.

Mit geleakten Kundendaten könnte man so einen "garantierten und zertifizierten Seed-Sicherungsservice" auch bei verschreckten Neugerätebesitzern platzieren...

Falls jemand die Geschäftsidee umsetzt, 10% sind üblich, im Gewerbe 😉  Die anderen passen einfach auf, wie immer im Cryptoland.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.