Coinbase Hack - 100.000€ weg und Coinbase reagiert nicht!

[ChristophSch]

 

Moin zusammen!

Mein Coinbase Account (Plattform für den Handel mit Kryptowährungen) mit Kryptowährungen im Gegenwert von etwa 100.000€ wurde gehackt. 

Trotz 2-Faktor-Authorisierung mit Google Authenticator App hat ein Hacker am 08.05.2021 alle meine Coins in Bitcoin umgetauscht und auf eine andere Adresse (3NL9onuapzDtuGzfGNS2QwdVVaEByaPnjs) übertragen. Coinbase reagiert nicht weiter, vermutlich ist alles weg!

Ich teile hier der Einfachheit halber meinen Erfahrungsbericht, den ich schon in einer Facebook-Gruppe geteilt hatte. Vielleicht hat noch einer Idee, was ich jetzt tun kann - ansonsten nutzt das, um euch die Wichtigkeit der Sicherheit eures Accounts noch einmal bewusst zu machen.

Beste Grüße,
Christoph 

___________________________

Ich muss meine Erfahrungen heute morgen einmal runterschreiben! Zum einen, um euch zu warnen, zum anderen um noch ein Fünkchen Resthoffnung zu wahren!

Worum geht's? Mein Coinbase Account wurde gehackt. Aus den 9000€ die ich Mal investiert hatte, waren mittlerweile 100k geworden. Trotz 2FA mit Google Auth hat ein Hacker vorgestern alle Coins in BTC umgetauscht und auf eine andere Adresse übertragen.

Zur Info vorab: Auf dem Bild seht ihr eine von mehreren Teiltransaktionen, die der Hacker übertragen hat.

Wie ist das genau passiert? 

1) Ich habe vorgestern unterwegs eine SMS Benachrichtigung von Coinbase (auf russisch) bekommen. Übersetzt stand dort: Dein Passwort wurde gerade geändert. Warst du das? Dann musst du nichts weiter machen. Warst du das nicht? Dann sperre deine Konto jetzt, indem du diese Nummer anrufst... (ich hatte mein Passwort gerade erst vor 2 Wochen geändert, daher wusste ich von einer anderen SMS von Coinbase, dass die Übersetzung passt)

2) Das Konto habe ich also sofort gesperrt. Dann habe ich den Recovery Prozess gestartet. 1 1/2 Tage später sollte er abgeschlossen sein. Solange konnte ich mich nicht einloggen und nur hoffen.

3) In der Zwischenzeit habe ich den Coinbase Support noch einmal separat kontaktiert und geschrieben, dass ich illegale Transaktionen vermute - und dass ich in den letzten Tagen keine einzige Transaktion selbst vorgenommen habe.

4) Gestern konnte ich mich endlich wieder einloggen. ALLES WEG! Nicht ganz. 49€ auf dem Euro-Wallet hat er mir noch gelassen - und 0,06€ in Loopring (ich muss zwischendurch mal einen Gag einbauen, weil dass nur mit Humor zu ertragen ist  )

5) Nach dem ersten Schock habe ich versucht Coinbase anzurufen in UK / US - geht alles nicht, wenn du keine Coinbase Card hast. Dann habe ich den Support kontaktiert. Folgende Standard-Antwort: Please note that all digital currency transactions are irreversible. Coinbase has no way of reversing transactions confirmed on the blockchain network from your Coinbase account. Übersetzt: WAS WEG IST, IST WEG!

6) Ich bin selbst überrascht, dass ich relativ entspannt damit umgegangen bin, dass 100.000€ einfach weg sind. Das ist auch nur so, weil ich nicht Haus & Hof in Krypto investiert habe, sondern nur das, worauf ich im schlimmsten Fall verzichten konnte. Dieser Fall war jetzt eingetreten. Und wie so oft dachte ich vorher, dass ich lieber aus den Fehlern anderer lerne. Denn es trifft ja immer nur die anderen! Fail. BITTE HALTET EUCH DARAN, NUR DAS ZU INVESTIEREN, WAS IHR NICHT BENÖTIGT! Ich kenne einige Menschen, die wirklich alles auf die Krypto-Karte gesetzt haben. Das macht im Bullrun auch Spaß, schon klar! Aber ein gut gefüllter Account lockt auch Arschlöcher an. Und dann kann wirklich alles weg sein!
 

7) Es kann wirklich jeden treffen! Denn ich habe den Account geschützt! Antivirus ohne Ende, 2FA mit Google Auth statt SMS (ist noch anfälliger), ein nervig-sicheres Passwort. Und regelmäßige Passwort-Erneuerungen meines Coinbase- und Email-Accounts. Da geht sicher noch mehr: aber ich habe mich ausreichend gesichert gefühlt. Leider zu Unrecht.
 

 Eigentlich bin ich gerade nur noch abgefuckt von der Coinbase-Reaktion und ihrem beschissenen Service. Ich musste sogar noch 1 1/2 Tage warten, um überprüfen zu können, ob jemand sich an meinen Coins bedient hatte! Allein diese Wartezeit ohne direkten Ansprechpartner bei Coinbase ist schon hart scheiße! Coinbase ist so ein massives Unternehmen geworden, mit 1,14 Milliarden USD Umsatz. Und der Service? #waswegististweg

Ich wünschte, dass ich der Sicherheit meines Accounts eine noch größere Prio gegeben hätte - und dass ich lieber leinen Großteil auf meinem Ledger gelassen hätte, anstatt flexibler mit meinen Coins auf Coinbase zu sein. BITTE LERNT AUS DIESEM FEHLER. Egal ob es 1.000€, 10.000€, 100.000€ oder 1.000.000€ sind! Für den einen mögen 1.000€ nichts sein - für den anderen aber vielleicht alles.

Was würdet ihr in meiner Situation tun? Hat jemand vielleicht ähnliche Erfahrungen gemacht? Ich freue mich über jede Rückmeldung, jede Hilfe! 

Und falls die Coins wie durch ein Wunder noch zu retten sind, fülle ich das Wallet desjenigen auf, der mir den entscheidenden Tipp gibt! 

Eine Nachricht noch an den Hacker: denk' bitte an die Haltefrist du kleines Wiesel! Die war noch nicht bei allen Coins rum, sodass Steuern anfallen!  Abschließend möchte ich mich noch mit den Worten des weisen Arthur Spooner an dich wenden: WIR SEHEN UNS! UND ZWAR IN DER HÖLLE!

Bearbeitet 12. Mai 2021 von ChristophSch

[battlecore]

Ist doch ganz einfach. Du hast eine der doofen gefälschten SMS bekommen wo jemand ein neues Passwort für deinen Account anlegen wollte. Und du hast die Passwortänderung bestätigt. Diese SMS kamen vor allem 2019 und auch noch 2020 viel rum.

Als Absender steht in der SMS auch Coinbase. Die Nummer wird nicht angezeigt. Erst wenn ich die Nachricht direkt öffne und die Nummer nachgucke sehe ich das es eine ganz andere Nummer ist wie sonst.

Bearbeitet 12. Mai 2021 von battlecore

[Morama]

vor 8 Minuten schrieb battlecore:

Ist doch ganz einfach. Du hast eine der doofen gefälschten SMS bekommen wo jemand ein neues Passwort für deinen Account anlegen wollte. Und du hast die Passwortänderung bestätigt. Diese SMS kamen vor allem 2019 und auch noch 2020 viel rum.

Als Absender steht in der SMS auch Coinbase. Die Nummer wird nicht angezeigt. Erst wenn ich die Nachricht direkt öffne und die Nummer nachgucke sehe ich das es eine ganz andere Nummer ist wie sonst.

Genau das ist der Punkt in der Erläuterung, der mir auch nicht so ganz klar ist. Was hast du @ChristophSch gemacht, mit der SMS?
Hast du dich von dort aus irgendwie eingeloggt oder etwas bestätigt oder von einem separaten Gerät aus verbunden?
Es klingt so, wie wenn du die dort angegebene Nummer angerufen hast zur Bestätigung "Das Konto habe ich also gesperrt" - ja wie genau denn? Da ist irgenwie ein Sprung in deiner Erläuterung.

Und verwendet Coinbase für Auszahlung kein mehrstufiges FA? Also Google Auth-Code UND email-Code/SMS z.B.?

Und auch die Haltefrist ist einem russischen Hacker egal ... die gilt nur in Deutschland. Und ob ein Hacker Steuern auf seine Hacks zahlt ist auch fraglich.

 

[Arther]

vor 8 Minuten schrieb Morama:

Und verwendet Coinbase für Auszahlung kein mehrstufiges FA? Also Google Auth-Code UND email-Code/SMS z.B.?

Sicherlich, von daher finde ich auch noch unklar was da genau passiert ist, außer der TE hat eigenständig per Telefon mit dem Betrüger Anne Sicherheitsmechanismen ausgehebelt.

 

Verschickt coinbase denn russische SMS oder waren beide Fake?

Würde vermuten, der Recovery Prozess war Fake und da hat er beide Faktoren eingetragen.

Bearbeitet 12. Mai 2021 von Arther

[HDClock]

ich will dir jetzt nicht die Laune verderben: aber auf unterjährig verlorene Coins wird meines Wissens nach Steuer fällig. 

Wird bei dir jetzt vermutlich nicht auffallen, weil du nichts auscashed.

Aber das wäre natürlich der supergau wenn du dort jetzt noch 40.000 Euro Steuern für Coins zahlen solltest, die

a) nicht mehr deine sind und

b) die du noch bis in die Steuerfreiheit behalten hättest....

[ChristophSch]

Moin! Danke für eure Rückmeldungen.

Ich habe 2FA mit Google Auth genutzt und auch regelmäßig meine Passwörter geändert. 

Die SMS war auf russisch, der Inhalt war aber die Übersetzung der üblichen Passwortänderungen bei Coinbase mit exakt der Telefonnummer von Coinbase. Deshalb habe ich sie angerufen und die Sperre hatte auch funktioniert.

Das Problem muss woanders liegen -.-

[ChristophSch]

vor 1 Minute schrieb HDClock:

ich will dir jetzt nicht die Laune verderben: aber auf unterjährig verlorene Coins wird meines Wissens nach Steuer fällig. 

Wird bei dir jetzt vermutlich nicht auffallen, weil du nichts auscashed.

Aber das wäre natürlich der supergau wenn du dort jetzt noch 40.000 Euro Steuern für Coins zahlen solltest, die

a) nicht mehr deine sind und

b) die du noch bis in die Steuerfreiheit behalten hättest....

Danke, dass hilft mir jetzt sehr 😛

[HDClock]

vor 5 Minuten schrieb ChristophSch:

Danke, dass hilft mir jetzt sehr 😛

ich meine das nicht böse und auch völlig Ernst.

[ChristophSch]

vor 13 Minuten schrieb HDClock:

ich meine das nicht böse und auch völlig Ernst.

Schon klar, hab ich auch nicht als böse aufgefasst. Es ging mir hier aber primär um eine Lösung für das Problem. Vielleicht hast du da ja auch noch etwas parat. Polizei, Ein Krypto-Detektiv aus Kanada sind mittlerweile dran. Aber die Chancen stehen natürlich bei 0,01%, dass da noch etwas geht. Verstehe einfach immer noch nicht, wie der Hacker an der 2FA vorbei kam... 

Grüße!

[battlecore]

vor 21 Minuten schrieb ChristophSch:

Moin! Danke für eure Rückmeldungen.

Ich habe 2FA mit Google Auth genutzt und auch regelmäßig meine Passwörter geändert. 

Die SMS war auf russisch, der Inhalt war aber die Übersetzung der üblichen Passwortänderungen bei Coinbase mit exakt der Telefonnummer von Coinbase. Deshalb habe ich sie angerufen und die Sperre hatte auch funktioniert.

Das Problem muss woanders liegen -.-

Die Telefonnummer von der Coinbase diese Info-SMS sendet kann man nicht anrufen.

Wenn du doch dort angerufen hast und da ging jemand ran, dann war das ein Fake. So einfach ist das.

[Morama]

vor 33 Minuten schrieb HDClock:

ich will dir jetzt nicht die Laune verderben: aber auf unterjährig verlorene Coins wird meines Wissens nach Steuer fällig. 

Wird bei dir jetzt vermutlich nicht auffallen, weil du nichts auscashed.

Aber das wäre natürlich der supergau wenn du dort jetzt noch 40.000 Euro Steuern für Coins zahlen solltest, die

a) nicht mehr deine sind und

b) die du noch bis in die Steuerfreiheit behalten hättest....

Eine Steuer muss man z.B. auf einen Vorgang wie eine Veräußerung, also in einem Veräußerungsgeschäft zahlen. Nun ist die Frage ob die Veräußerung durch Diebstahl erfüllt ist...

Das habe ich auf Wiki gefunden https://de.wikipedia.org/wiki/Veräußerung - Zitat:

"Von Veräußerung spricht man vielmehr nur dann, wenn der Übergang durch Rechtsgeschäft, also durch Willenserklärung der Beteiligten, erfolgt. Veräußerungsvorgänge gibt es daher beim Kaufvertrag, Grundstückskaufvertrag, dem Erbschaftskauf, dem Tausch oder der Schenkung. "

Hier fehlt es doch am Rechtsgeschäft und an der Willenserklärung.

Disclaimer: Keine Steuerberatung oder Rechtsberatung! Möchte mich nur allgemein darüber austauschen.

 

[coin_trace]

Tut mir Leid zu hören. Kann jmd erklären, was ein Reset bei Coinbase alles aussetzt? Warum kann mit 1 SMS so leicht das Vermögen bewegen (wenn doch der 2fa aktiv war?)

[BitcoinNow]

Gerade eben schrieb coin_trace:

Tut mir Leid zu hören. Kann jmd erklären, was ein Reset bei Coinbase alles aussetzt? Warum kann mit 1 SMS so leicht das Vermögen bewegen (wenn doch der 2fa aktiv war?)

kommt drauf an welches 2FA aktiv war.

Per Handy Tan? 

oder per Authentifikator?

Handy Tan ist bei weitem nicht so sicher.

[coin_trace]

er schrieb, dass er authenticator 2fa aktiv hatte. aber evt. setzt das ein reset zurück? das wäre fahrlässig von coinbase. und dann auch keine abhebesperre für ein paar tage nach reset. würde ich alles als "fahrlässig" vom anbieter werten. ist nur fraglich, wie sehr der betroffene dort auch rechtliche schritte in erwägung zieht.

 

So hab folgendes auf coinbase gefunden. Das weist darauf hin, dass man eine ID braucht? Oder von dem User wurde eben alles gehackt (email usw)
>>>

https://help.coinbase.com/en/coinbase/managing-my-account/get-back-into-my-account/account-access

1. You'll need your Coinbase email address and password

    If you don't have access to your Coinbase.com email address, view this help article for steps on getting back into your account.
    If you forgot your Coinbase password, check out these password reset instructions.

2. Go to the Coinbase sign in page and enter your email address and password

    You'll be prompted to complete 2-step verification.
        If you can't complete 2-step verification, please go to this troubleshooting page
    Then you'll be asked to complete identity verification to ensure it's actually you trying to get back into your account:

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Bearbeitet 12. Mai 2021 von coin_trace

[ChristophSch]

vor 40 Minuten schrieb BitcoinNow:

kommt drauf an welches 2FA aktiv war.

Per Handy Tan? 

oder per Authentifikator?

Handy Tan ist bei weitem nicht so sicher.

Per Google Authenticator

[BitcoinNow]

Ok das ist merkwürdig..

Ich musste diesen mal zurücksetzen und die wollten hierfür meinen Ausweis und die hinterlegte Handynummer, an die Nummer habe ich dann einen Tan gesendet bekommen und danach wurde es erst von Coinbase freigegeben.

dann müsste der Hacker ja Zugriff auf deine Nummer gehabt haben und auch auf deinen Ausweis.

[Arther]

vor 2 Stunden schrieb Morama:

Hier fehlt es doch am Rechtsgeschäft und an der Willenserklärung.

Disclaimer: Keine Steuerberatung oder Rechtsberatung! Möchte mich nur allgemein darüber austauschen.

Diebesgut u.ä. muss eigentlich immer auch versteuert werden in Deutschland.

[Morama]

vor 2 Minuten schrieb Arther:

Diebesgut u.ä. muss eigentlich immer auch versteuert werden in Deutschland.

Für den Dieb mag das stimmen. Aber um etwas zu versteuern muss ein Steuervorgang stattfinden. Der findet meiner Meinung nach nicht statt, wenn man beklaut wird. Hier wird von 40% gesprochen, also werden sicherlich private Veräußerungsgeschäfte angenommen ... deshalb postete ich oben, dass es meiner Meinung nach ein Diebstahl keins ist. Ich lasse mich aber gern belehren. Also los 😊

Bearbeitet 12. Mai 2021 von Morama

[Fantasy]

vor 3 Stunden schrieb HDClock:

auf unterjährig verlorene Coins wird meines Wissens nach Steuer fällig.

Ähm, nein?! Wo hast du das her? Benenne bitte die Quelle.

 

vor 3 Stunden schrieb Morama:

verwendet Coinbase für Auszahlung kein mehrstufiges FA? Also Google Auth-Code UND email-Code/SMS z.B.?

Nein, nur den Google Auth-Code, der sicherlich nicht so einfach zu knacken ist ohne Wiederherstellungs-Schlüssel.

Im geschilderten Fall muss defintiv jemand Zugriff auf den E-Mail Account gehabt haben. Denn sobald man einen anderen Browser, PC, Handy etc. verwendet, oder auch wenn man sich nur längere Zeit nicht eingloggt hat, bekommt man eine E-Mail, in welcher man bestätigen muss, dass man das selber war, man muss das (neue) Gerät also explizit authorisieren. Und das kann nur der Inhaber des E-Mail Accounts. 

 

Irgendwie scheint mir auch etwas in der "Geschichte" zu fehlen - auch wenn ich sie erstmal grundsätzlich glaube.

[BitcoinNow]

irgendwelche Bekannte die Zugriff auf deinen PC haben?

[ChristophSch]

vor 7 Minuten schrieb BitcoinNow:

irgendwelche Bekannte die Zugriff auf deinen PC haben?

Nein

[ChristophSch]

vor 36 Minuten schrieb Fantasy:

Ähm, nein?! Wo hast du das her? Benenne bitte die Quelle.

 

Nein, nur den Google Auth-Code, der sicherlich nicht so einfach zu knacken ist ohne Wiederherstellungs-Schlüssel.

Im geschilderten Fall muss defintiv jemand Zugriff auf den E-Mail Account gehabt haben. Denn sobald man einen anderen Browser, PC, Handy etc. verwendet, oder auch wenn man sich nur längere Zeit nicht eingloggt hat, bekommt man eine E-Mail, in welcher man bestätigen muss, dass man das selber war, man muss das (neue) Gerät also explizit authorisieren. Und das kann nur der Inhaber des E-Mail Accounts. 

 

Irgendwie scheint mir auch etwas in der "Geschichte" zu fehlen - auch wenn ich sie erstmal grundsätzlich glaube.

Moin Fantasy, ist leider keine erfundene Geschichte 😅 Ja, ich gehe auch davon aus, dass jemand Zugriff auf meine Mails hatte. Was fehlt dir denn? Ich liefere das gerne nach. 

Habe vorhin mit der Polizei telefoniert, die sich zu meiner Überraschung extrem gut mit dem Thema auskannte! Die Chance etwas wiederzukriegen ist minimal, aber sobald die Coins auf einer Börse landen, gibt es zumindest theoretisch noch Möglichkeiten etwas zu machen. Der Kommissar hatte vermutet, dass der Angriff auch mit dem Ledger Hack vor einigen Jahren zusammenhängt. Von Coinbase habe ich weiterhin noch keine Rückmeldung.

[Fantasy]

vor 15 Minuten schrieb ChristophSch:

keine erfundene Geschichte

Das habe ich nicht behauptet  es wäre sowieso arg armselig, wenn man hier was erfindet um ein bisschen Aufmerksamkeit zu bekommen.

 

vor 15 Minuten schrieb ChristophSch:

zu meiner Überraschung extrem gut mit dem Thema auskannte

Die Polizei kennt sich also aus...

vor 16 Minuten schrieb ChristophSch:

Der Kommissar hatte vermutet, dass der Angriff auch mit dem Ledger Hack vor einigen Jahren zusammenhängt.

...hat aber trotzdem keinen Plan  Was soll denn dieser Blödsinn? Was hat ein gehackter Account bei Coinbase mit dem Datenleck von Ledger zu tun?

 

vor 18 Minuten schrieb ChristophSch:

Ja, ich gehe auch davon aus, dass jemand Zugriff auf meine Mails hatte. Was fehlt dir denn? Ich liefere das gerne nach. 

Naja die Geschichte ist in sich nicht schlüssig - hast du noch Zugriff auf den Mailaccount? Ich gehe mal davon aus. Hast du da das Passwort geändert? Sind alle anderen Mails noch da? Sind die "ich authorisiere dieses Gerät" Mails von Coinbase noch da?

Bei welchem Maianbieter bist du? Kannst du da Kontakt aufnehmen und fragen, ob sie dir helfen können. Mit welchem Browser, Betriebssystem, Standort etc. hat man sich eingeloggt - wann wurde das letzte Mal das Passwort geändert etc. Wenn sie dir die Daten nicht rausgeben (wollen), dann müssen sie es für die Ermittlungsbehörden trotzdem tun.

 

Funktioniert deine Google-Auth App noch, also wird dir da immer wieder ein neuer Code für Coinbase angezeigt? Wo hast du den Wiederherstellungs-Schlüssel abgespeichert? Lokal auf deinem PC?

[battlecore]

vor 4 Stunden schrieb ChristophSch:

Moin! Danke für eure Rückmeldungen.

Ich habe 2FA mit Google Auth genutzt und auch regelmäßig meine Passwörter geändert. 

Die SMS war auf russisch, der Inhalt war aber die Übersetzung der üblichen Passwortänderungen bei Coinbase mit exakt der Telefonnummer von Coinbase. Deshalb habe ich sie angerufen und die Sperre hatte auch funktioniert.

Das Problem muss woanders liegen -.-

Sorry, Coinbase verschickt keine SMS auf Russisch. Das ist mal Fakt.

[battlecore]

vor 1 Stunde schrieb Arther:

Diebesgut u.ä. muss eigentlich immer auch versteuert werden in Deutschland.

Es gibt tatsächlich eine Steuerpflicht für Diebesgut? Geil. Das gibts bestimmt nur in Deutschland.

Steuererklärung für Einbrecher und Diebe. Anlage SO, 276 BTC, 5 SLS AMG, 3 Fahrräder....