BUE Posted February 25, 2021 Share Posted February 25, 2021 (edited) At least 124.85 BTC appear to have been swept from wallets generated by the website. https://www.coindesk.com/bitcoinpaperwallet-back-door-missing-funds-research Ich hatte für einen Freund diesen Dienst zur Erstellung einer Paperwallet genutzt. War ein kleiner Betrag, welcher noch nicht "geklaut" wurde und nun in Sicherheit ist. Edited February 25, 2021 by BUE Nachricht war noch nicht fertig erstellt. 1 Link to comment Share on other sites More sharing options...
MixMax Posted February 25, 2021 Share Posted February 25, 2021 (edited) Ich habe schon vor Jahren davor gewarnt Paperwallets aus Webseiten zu geniereiren, auch offline ist das genau so gefährlich wie online. Die Key´s können aus einem Pool berechnet werden. Aber ein großer teil der User hier ist immer noch davon überzeugt, das dies sicher sei und propagiert das auch. Nun gut, von dem her dann selbst schuld. Bin mal gespannt wann die Keys von https://www.bitaddress.org geleert werden. Mein Tip: würfelt euch die Keys selbst! Ist das Einzige was sicher ist. Edited February 25, 2021 by MixMax 1 2 Link to comment Share on other sites More sharing options...
battlecore Posted February 26, 2021 Share Posted February 26, 2021 Mann ist das einfach den Leuten ihre BTC abzunehmen. Ich staune immer wieder über solche Sachen. Mir fehlt für sowas einfach die Phantasie. 1 Link to comment Share on other sites More sharing options...
fox912 Posted February 26, 2021 Share Posted February 26, 2021 Am 25.2.2021 um 11:07 schrieb MixMax: Ich habe schon vor Jahren davor gewarnt Paperwallets aus Webseiten zu geniereiren, auch offline ist das genau so gefährlich wie online. Die Key´s können aus einem Pool berechnet werden. Aber ein großer teil der User hier ist immer noch davon überzeugt, das dies sicher sei und propagiert das auch. Nun gut, von dem her dann selbst schuld. Bin mal gespannt wann die Keys von https://www.bitaddress.org geleert werden. Mein Tip: würfelt euch die Keys selbst! Ist das Einzige was sicher ist. Aber bitcoinpaperwallet dot com ist doch nichts neues? Ich habe sogar extra die Site gebookmarked mit dem Hinweis "nicht verwenden / unsicher" - und das ist sicher 1-2 Jahr her? Irgend einer site / tool muss man doch vertrauen ... selber würfeln ok, aber dann brauchst wieder https://iancoleman.io/bip39/ zum Erstellen von seed und/oder keys? Beim Ledger musst der Hardware vertrauen, bei electrum o.a. eben der Software? Oder meinst du mit selber würfeln einen anderen Weg? 1 Link to comment Share on other sites More sharing options...
battlecore Posted February 26, 2021 Share Posted February 26, 2021 Irgendwas MUSS man letzten Endes vertrauen. Man kann sich aussuchen wo das Bauchgefühl am wenigsten schlecht ist. Und man muss nicht alles auf eine Karte setzen. Man kann ja mehrere Karten in der Hand haben. Was natürlich auch bedeutet das eine der Karten faul ist und man besser dran gewesen wäre doch alles auf nur eine Karte zu setzen. Link to comment Share on other sites More sharing options...
fox912 Posted February 26, 2021 Share Posted February 26, 2021 vor 11 Minuten schrieb battlecore: Irgendwas MUSS man letzten Endes vertrauen. Eben! Wie halt bjew schreibt - zumindest iancoleman. vor 12 Minuten schrieb battlecore: Und man muss nicht alles auf eine Karte setzen. Auch das finde ich einen sehr guten Tipp! Link to comment Share on other sites More sharing options...
Cricktor Posted February 26, 2021 Share Posted February 26, 2021 Paperwallets sind meines Erachtens für Crypto-DAUs einfach nicht so gut geeignet und bergen zuviel Gefahr, Einlagen zu verlieren. Ich habe mal innerfamiliär geholfen, zwei kleinere Paperwallets zu erstellen. Das Keypair wurde strikt offline generiert, das Tool dazu nachweislich sauber. Das Tool für den Paperwalletdruck zur Generierung der Druckdatei funktionierte ebenfalls nur offline und in einer Wegwerf-VM, der Drucker war noch Oldschool und ohne Netzwerkverbindung. Ein "Überfliegen" des Javascript-Codes ließ mich auf den zugegeben schnellen Blick keine Merkwürdigkeiten erkennen. Gefühlt ziemlich viel Klimbim für recht geringe hinterlegte Werte, aber den Spaß war es wert. Beide Paperwallets haben bisher überlebt, eine wurde jetzt "aufgelöst". Damals™ als der Bitcoin noch nicht soo viel wert war, wäre mir aber auch kaum in den Sinn gekommen, einer Website zur Generierung eines privaten Schlüssels Vertrauen zu schenken, heute noch weniger, je nachdem, um wieviel Einlage es geht. Cryptobörsen muss man letztlich irgendwo vertrauen, zumindest für kurze Zeit, bis man den Handel erledigt hat. Aber ob man gewillt ist und bis man soviel Verständnis von der Materie sich angeeignet hat, um sicher mit Bitcoin oder ähnlichen Cryptos handzuhaben, ist eine andere Geschichte. Da verschwindet u.U. viel Lehrgeld und beim Lesen hier sträuben sich mir öfters die Haare. Link to comment Share on other sites More sharing options...
Arther Posted February 26, 2021 Share Posted February 26, 2021 Diebstahl per Website ist nun so ausgelutscht, keine Ahnung wie Menschen darauf kommen, immer noch Websites zu verwenden. Absolut fahrlässig. Überhaupt habe ich es immer für einen Fehler gehalten Leuten zu sagen "Die Website X, ja die ist vermutlich ok". Websites müssen grundsätzlich verschwinden bei dem Thema, es muss klar sein, dass keine Website verwendet werden darf. Bei IOTA mussten auch erst ein paar Dutzend Millionen gestohlen werden, bevor sie sich zu dieser Erkenntnis durchringen konnten. Allein grad beim googlen hab ich ne BIP39 Seite gefunden, die eigentlich nur Phishing sein kann, aber jedenfalls kein TLS verwendet. Was beworben werden muss sind absolut simple Scripts, z.b. in Python, mit weniger als 20 Zeilen wo jeder sofort sehen und validieren kann, dass da nichts außergewöhnliches abgeht. Link to comment Share on other sites More sharing options...
MixMax Posted February 26, 2021 Share Posted February 26, 2021 (edited) vor 4 Stunden schrieb battlecore: Irgendwas MUSS man letzten Endes vertrauen. Man kann sich aussuchen wo das Bauchgefühl am wenigsten schlecht ist. vor 4 Stunden schrieb fox912: Irgend einer site / tool muss man doch vertrauen ... selber würfeln ok, aber dann brauchst wieder https://iancoleman.io/bip39/ zum Erstellen von seed und/oder keys? Nein muss man nicht unbedingt. Allerding ist das auch nicht einfach. Würfeln bedeutet, dass die Quelle des Private-Keys aus der eigenen Hand kommt. Das ist extrem wichtig bei der offline-Erzeugung, denn es verhindert die Möglichkeit, das die Keys aus einem Pool kommen. Hat man nicht die Programmierkentnisse sich selbt ein Adress-Generator zu programmieren kann man die Sicherheit erhöhen in dem man verschiedene Tools mit der selben Würfelzahl prüft. - Also Würfeln und die Würfelzahl offline bei verschiedenen Generatoren eingeben, die erzeugte Bitcoin-Adresse muss bei allen Tools gleich sein. Danach muss sichergestellt werden, das die benutzten PC´s formatiert und sicher gelöscht werden, bevor sie jemals wieder ans Netz angeschlossen werden. Bei richtiger Handhabung ist dies zu 99,99999% Sicher. - Sich selbst ein Tool programmieren: 100% Sicher, wenn man keine Fehler macht und wirklich alles selbst programmiert, also keine Bibliotheken benutzt. Eine Transaktion ins Netzwerk senden geht auch 100% Sicher, soger ohne Programmierkentnisse. Und das geht auch wenn man davon ausgeht das alle benutzte Software kompromitiert ist. Aber das ist ein anderes Thema. Edited February 26, 2021 by MixMax Link to comment Share on other sites More sharing options...
battlecore Posted February 27, 2021 Share Posted February 27, 2021 Eines wird aber immer vergessen. Will man diese Coins versenden dann muss man auch den selbstgeklöppelten Seed oder Privatekey in eine Wallet geben und die Coins dann versenden. Man muss also doch wieder einer Wallet vertrauen. Link to comment Share on other sites More sharing options...
wwurst Posted February 27, 2021 Share Posted February 27, 2021 vor 10 Minuten schrieb battlecore: Man muss also doch wieder einer Wallet vertrauen. Anderen überlassen mußt du nur das, was du nicht selber kannst. Die Algorithmen sind open source, es hindert dich keiner dran, auf einem offline-Computer (oder mit Papier und Bleistift, dauert halt...) deine Transaktion selbst zusammen zu basteln und zu signieren. Und sie dann in den Mempool zu schicken, da muß kein Wallet dran beteiligt sein. Es muß nur die Paranoia die Faulheit besiegen 😉 Link to comment Share on other sites More sharing options...
battlecore Posted February 27, 2021 Share Posted February 27, 2021 Genau. Total Anfängergeeignet. Link to comment Share on other sites More sharing options...
wwurst Posted February 27, 2021 Share Posted February 27, 2021 vor 15 Minuten schrieb battlecore: Total Anfängergeeignet. Man kann es nicht oft genug sagen: der Aufwand für die Sicherheit muß auch im Verhältnis zum zu schützenden Gut bleiben. Kleingeld für den Bäcker trage ich offen in der Hosentasche (= von mir aus, Online-Wallet oder Konto bei der Exchange). Wenn ich Geld habe wie Dagobert, und mir die Panzerknacker vom Hals halten muß, dann baue ich einen Geldspeicher mit Tretminen drum rum (= paper wallet + offline Tx-Erstellung). Und dazwischen gibt es für jeden, auch für Anfänger, die passende Abstufung. Wenn ich vorhabe, meine gesamten Ersparnisse in Crypto anzulegen, dann werde ich auch schauen, daß ich so schnell wie möglich kein "Anfänger" mehr bin. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now