Jump to content

BitcoinPaperWallet ‘Back Door’ Responsible for Millions in Missing Funds


BUE

Recommended Posts

At least 124.85 BTC appear to have been swept from wallets generated by the website.

https://www.coindesk.com/bitcoinpaperwallet-back-door-missing-funds-research

Ich hatte für einen Freund diesen Dienst zur Erstellung einer Paperwallet genutzt.
War ein kleiner Betrag, welcher noch nicht "geklaut" wurde und nun in Sicherheit ist.

 

 

Edited by BUE
Nachricht war noch nicht fertig erstellt.
  • Thanks 1
Link to comment
Share on other sites

Ich habe schon vor Jahren davor gewarnt Paperwallets aus Webseiten zu geniereiren, auch offline ist das genau so gefährlich wie online. Die Key´s können aus einem Pool berechnet werden. Aber ein großer teil der User hier ist immer noch davon überzeugt, das dies sicher sei und propagiert das auch. Nun gut, von dem her dann selbst schuld.

Bin mal gespannt wann die Keys von https://www.bitaddress.org geleert werden.

Mein Tip: würfelt euch die Keys selbst! Ist das Einzige was sicher ist.

Edited by MixMax
  • Love it 1
  • Like 2
Link to comment
Share on other sites

Am 25.2.2021 um 11:07 schrieb MixMax:

Ich habe schon vor Jahren davor gewarnt Paperwallets aus Webseiten zu geniereiren, auch offline ist das genau so gefährlich wie online. Die Key´s können aus einem Pool berechnet werden. Aber ein großer teil der User hier ist immer noch davon überzeugt, das dies sicher sei und propagiert das auch. Nun gut, von dem her dann selbst schuld.

Bin mal gespannt wann die Keys von https://www.bitaddress.org geleert werden.

Mein Tip: würfelt euch die Keys selbst! Ist das Einzige was sicher ist.

Aber bitcoinpaperwallet dot com ist doch nichts neues? Ich habe sogar extra die Site gebookmarked mit dem Hinweis "nicht verwenden / unsicher" - und das ist sicher 1-2 Jahr her?

Irgend einer site / tool muss man doch vertrauen ... selber würfeln ok, aber dann brauchst wieder https://iancoleman.io/bip39/ zum Erstellen von seed und/oder keys?
Beim Ledger musst der Hardware vertrauen, bei electrum o.a. eben der Software?

Oder meinst du mit selber würfeln einen anderen Weg?

  • Like 1
Link to comment
Share on other sites

Irgendwas MUSS man letzten Endes vertrauen. Man kann sich aussuchen wo das Bauchgefühl am wenigsten schlecht ist.

Und man muss nicht alles auf eine Karte setzen. Man kann ja mehrere Karten in der Hand haben. Was natürlich auch bedeutet das eine der Karten faul ist und man besser dran gewesen wäre doch alles auf nur eine Karte zu setzen.

 

Link to comment
Share on other sites

vor 11 Minuten schrieb battlecore:

Irgendwas MUSS man letzten Endes vertrauen.

Eben! Wie halt bjew schreibt - zumindest iancoleman.

vor 12 Minuten schrieb battlecore:

Und man muss nicht alles auf eine Karte setzen.

Auch das finde ich einen sehr guten Tipp!

Link to comment
Share on other sites

Paperwallets sind meines Erachtens für Crypto-DAUs einfach nicht so gut geeignet und bergen zuviel Gefahr, Einlagen zu verlieren.

Ich habe mal innerfamiliär geholfen, zwei kleinere Paperwallets zu erstellen. Das Keypair wurde strikt offline generiert, das Tool dazu nachweislich sauber. Das Tool für den Paperwalletdruck zur Generierung der Druckdatei funktionierte ebenfalls nur offline und in einer Wegwerf-VM, der Drucker war noch Oldschool und ohne Netzwerkverbindung. Ein "Überfliegen" des Javascript-Codes ließ mich auf den zugegeben schnellen Blick keine Merkwürdigkeiten erkennen. Gefühlt ziemlich viel Klimbim für recht geringe hinterlegte Werte, aber den Spaß war es wert. Beide Paperwallets haben bisher überlebt, eine wurde jetzt "aufgelöst".

Damals™ als der Bitcoin noch nicht soo viel wert war, wäre mir aber auch kaum in den Sinn gekommen, einer Website zur Generierung eines privaten Schlüssels Vertrauen zu schenken, heute noch weniger, je nachdem, um wieviel Einlage es geht. Cryptobörsen muss man letztlich irgendwo vertrauen, zumindest für kurze Zeit, bis man den Handel erledigt hat. Aber ob man gewillt ist und bis man soviel Verständnis von der Materie sich angeeignet hat, um sicher mit Bitcoin oder ähnlichen Cryptos handzuhaben, ist eine andere Geschichte. Da verschwindet u.U. viel Lehrgeld und beim Lesen hier sträuben sich mir öfters die Haare.

Link to comment
Share on other sites

Diebstahl per Website ist nun so ausgelutscht, keine Ahnung wie Menschen darauf kommen, immer noch Websites zu verwenden. Absolut fahrlässig.

Überhaupt habe ich es immer für einen Fehler gehalten Leuten zu sagen "Die Website X, ja die ist vermutlich ok". Websites müssen grundsätzlich verschwinden bei dem Thema, es muss klar sein, dass keine Website verwendet werden darf. Bei IOTA mussten auch erst ein paar Dutzend Millionen gestohlen werden, bevor sie sich zu dieser Erkenntnis durchringen konnten.

Allein grad beim googlen hab ich ne BIP39 Seite gefunden, die eigentlich nur Phishing sein kann, aber jedenfalls kein TLS verwendet.

 

Was beworben werden muss sind absolut simple Scripts, z.b. in Python, mit weniger als 20 Zeilen wo jeder sofort sehen und validieren kann, dass da nichts außergewöhnliches abgeht.

Link to comment
Share on other sites

vor 4 Stunden schrieb battlecore:

Irgendwas MUSS man letzten Endes vertrauen. Man kann sich aussuchen wo das Bauchgefühl am wenigsten schlecht ist.

 

vor 4 Stunden schrieb fox912:

Irgend einer site / tool muss man doch vertrauen ... selber würfeln ok, aber dann brauchst wieder https://iancoleman.io/bip39/ zum Erstellen von seed und/oder keys?

Nein muss man nicht unbedingt. Allerding ist das auch nicht einfach.

Würfeln bedeutet, dass die Quelle des Private-Keys aus der eigenen Hand kommt. Das ist extrem wichtig bei der offline-Erzeugung, denn es verhindert die Möglichkeit, das die Keys aus einem Pool kommen. Hat man nicht die Programmierkentnisse sich selbt ein Adress-Generator zu programmieren kann man die Sicherheit erhöhen in dem man verschiedene Tools mit der selben Würfelzahl prüft.

- Also Würfeln und die Würfelzahl offline bei verschiedenen Generatoren eingeben, die erzeugte Bitcoin-Adresse muss bei allen Tools gleich sein. Danach muss sichergestellt werden, das die benutzten PC´s formatiert und sicher gelöscht werden, bevor sie jemals wieder ans Netz angeschlossen werden. Bei richtiger Handhabung ist dies zu 99,99999% Sicher.

- Sich selbst ein Tool programmieren: 100% Sicher, wenn man keine Fehler macht und wirklich alles selbst programmiert, also keine Bibliotheken benutzt.

 

Eine Transaktion ins Netzwerk senden geht auch 100% Sicher, soger ohne Programmierkentnisse.  Und das geht auch wenn man davon ausgeht das alle benutzte Software kompromitiert ist. Aber das ist ein anderes Thema.

Edited by MixMax
Link to comment
Share on other sites

vor 10 Minuten schrieb battlecore:

Man muss also doch wieder einer Wallet vertrauen.

Anderen überlassen mußt du nur das, was du nicht selber kannst. Die Algorithmen sind open source, es hindert dich keiner dran, auf einem offline-Computer (oder mit Papier und Bleistift, dauert halt...) deine Transaktion selbst zusammen zu basteln und zu signieren. Und sie dann in den Mempool zu schicken, da muß kein Wallet dran beteiligt sein. Es muß nur die Paranoia die Faulheit besiegen 😉

 

Link to comment
Share on other sites

vor 15 Minuten schrieb battlecore:

Total Anfängergeeignet.

Man kann es nicht oft genug sagen: der Aufwand für die Sicherheit muß auch im Verhältnis zum zu schützenden Gut bleiben. Kleingeld für den Bäcker trage ich offen in der Hosentasche (= von mir aus, Online-Wallet oder Konto bei der Exchange). Wenn ich Geld habe wie Dagobert, und mir die Panzerknacker vom Hals halten muß, dann baue ich einen Geldspeicher mit Tretminen drum rum (= paper wallet + offline Tx-Erstellung).

Und dazwischen gibt es für jeden, auch für Anfänger, die passende Abstufung.

Wenn ich vorhabe, meine gesamten Ersparnisse in Crypto anzulegen, dann werde ich auch schauen, daß ich so schnell wie möglich kein "Anfänger" mehr bin.

 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.