Exodus wallet beim restore gehackt

[redpanda88]

Liebe Leute,

großen Entsetzens habe ich festgestellt, dass mein Exodus-Wallet gehackt wurde.
Alter Laptop kaputt, am Neuen Exodus installiert, mit der 12 word recovery Phrase restored und dann kam die bittere Erkenntnis: fast alles weg (15€ blieben).
Der Schaden ist leider beträchtlich (ja ich weiß heute leider besser den je, dass Hardwallets die bessere Wahl gewesen wären).
Hat irgendjemand hier eine Idee, was ich tun könnte? Der Support von Exodus meinte, Sie könnten mir helfen zu verstehn, was genau passiert ist und hat vorgeschlagen zur örltichen Behörde zu gehen, wo ich gestern war. Die meinten, dass Sie leider nicht viele Möglichkeiten hätten, aber Sie schauen (was auch immer das bedeuten mag).
Viele Hoffnungen habe ich leider nicht mehr, aber ich möchte nichts unversucht lassen und bin um jede Hilfe froh!

Liebe Grüße

[Amsi]

Willkommen!

Tut mir leid, aber da kann man ziemlich sicher nichts machen.
Hatte denn jemand Zugriff zum Seed oder dem Laptop? Oder ist das wirklich genau beim Restore passiert (siehst du eine History?), dann vermute ich mal, du hast nicht das Original Exodus heruntergeladen sonder eine kompromittierte Version davon.

Von wo hast du Exodus heruntergeladen? Hast du danach gegoogelt?

[redpanda88]

Danke!

Nein, niemand hatte weder Zugriff zum Seed noch zum Laptop.

Habe Exodus um 20:14 Uhr installiert und von 20:17-20:20 gingen alle (9) Transaktionen ab.

Die Exodus Insatallationsdatei habe ich gecheckt, die Signatur/Hash passt mir der von Exodus angegebenen überein.

Ich werde nochmal versuchen genauer zu schauen... Vielen Dank für deine Tipps

[Cricktor]

Mach' auf jeden Fall einen Offline-Malware-Scan (Offline Windows Defender oder besser zusätzlich auch noch mit einem aktuellen "desinfec't" Stick). Die zeitliche Nähe ist schon sehr auffällig.

Die Desktop Wallet EXE für PCs sollte eine gültige digitale Signatur von "Exodus Movement Inc" haben. Aktueller Datei-Hash:

SHA256:
d84204961406034529acf176a5d21f60cf5259822d783fa41feaeea63c428b3e exodus-linux-x64-21.5.25.zip
8e6dc6676e97fa01cb29a82ef38560adce79c68e40ae2baf75e46a67c2ef6d40 exodus-macos-21.5.25.dmg
6a8b6c4b2e5083f419d92f717330d505cc433cec90259c06e92d6cdacaf1a5ec exodus-macos-21.5.25.zip
a0b49542b67faf3ab56bce4ff46f65cdfff0ac1a6fb0e9733cd105c672d41a29 exodus-windows-x64-21.5.25.exe
41d14e559aad139c7be4b0203b7395da1e537e279b830f0b8efeed7fedd9abee exodus-windows-x64-21.5.25.nupkg
aec14eb3e2f4a37dc5f494b8d936a0ff713b559fedfc91c124d7b731fa506408 exodus_21.5.25_amd64.deb

 

[redpanda88]

vor 45 Minuten schrieb Cricktor:

Mach' auf jeden Fall einen Offline-Malware-Scan (Offline Windows Defender oder besser zusätzlich auch noch mit einem aktuellen "desinfec't" Stick). Die zeitliche Nähe ist schon sehr auffällig.

Gerade offline durchgeführt, nichts!

 

vor 45 Minuten schrieb Cricktor:

Die Desktop Wallet EXE für PCs sollte eine gültige digitale Signatur von "Exodus Movement Inc" haben. Aktueller Datei-Hash:

SHA256:
d84204961406034529acf176a5d21f60cf5259822d783fa41feaeea63c428b3e exodus-linux-x64-21.5.25.zip
8e6dc6676e97fa01cb29a82ef38560adce79c68e40ae2baf75e46a67c2ef6d40 exodus-macos-21.5.25.dmg
6a8b6c4b2e5083f419d92f717330d505cc433cec90259c06e92d6cdacaf1a5ec exodus-macos-21.5.25.zip
a0b49542b67faf3ab56bce4ff46f65cdfff0ac1a6fb0e9733cd105c672d41a29 exodus-windows-x64-21.5.25.exe
41d14e559aad139c7be4b0203b7395da1e537e279b830f0b8efeed7fedd9abee exodus-windows-x64-21.5.25.nupkg
aec14eb3e2f4a37dc5f494b8d936a0ff713b559fedfc91c124d7b731fa506408 exodus_21.5.25_amd64.deb

Hash stimmt überein (Version 21.5.14) mit damaliger Datei-Hash abgeglichen

[battlecore]

Und du weisst schon das man bei einem Restore einer Wallet auch mal einen Rescan der Blockchains anstossen muss? Links in der Liste auf den jeweiligen Coin klicken, dann in der Mitte auf dessen Symbol. Das dreht sich dann so und die Blockchain wird erneut gescannt.

Hast du dir auch wirklich alle Seeds aufgeschrieben? Für manche Coins bekommt man einen weiteren Seed, z.b. für Monero und Exodus läd da auch die Blockchain runter, was natürlich dauern kann. Mehrere Tage manchmal. Und man muss dann in der neuen Wallet auch direkt auf "Monero" gehen und den Monero-Seed eingeben.

Hast du die Adressen aller Coins in der Wallet? Schonmal nachgeschaut ob die Coins noch da drauf sind?

Du schreibst ja nur von Euro. Nicht von der Anzahl Coins.

Wenn du irgendwann mal 15000 Shitcoins hattest und die jetzt nix mehr Wert sind, dann sind das jetzt unter Umständen eben nur noch ein paar Euro. Auch wenn alle 15000 Coins noch da sind. Du hast ja nicht geschrieben wie alt die Wallet war und ob es vielleicht schon lange her ist das du da reingeschaut hast.

Hast du nachgeschaut ob überhaupt alle Coins angezeigt werden die du hast? Standardmässig werden nicht alle Coins angezeigt. Da muss man links in der Liste nach unten scrollen und auf "add more" klicken. Dann kann man weitere Coins anzeigen lassen.

[redpanda88]

Ich sehe ja die Abgänge und den dementsprechenden Wert.

Es waren ca. 13 Ether, 0,5 Bitcoin und noch andere, weniger relevante Coins.

Ich hatte auch ein paar Tage vorher auf dem alten Laptop noch ein intaktes Wallet, alles da.

Um 20:16 Uhr am 16.05 Exodus runtergeladen, dann gleich installiert und zwischen 20:17 und 20:20 Uhr fanden die Transaktionen statt, welche ich logischerweise nicht getätigt habe: 

1: https://etherscan.io/tx/0xe12346a9c45bb2d0b41337596c6d76ad5abceefcefb304119bc5bc4c5b0f33e9
2: https://mempool.space/tx/39e90096d6c279425b6137d5832195831436ba47c16c6465af4e344bc02ac3f9
3: https://xrpscan.com/tx/38C8F8663DC214C73FBB476C5752B5A7DFE3FBD1B98AFF08E29BC465D1FC38EC
4: https://blockchair.com/litecoin/transaction/73d1b69fd0658d66bf6b39fd00acd5cc870ff417e079d564568b9c65a0fd6028
5: https://stellar.expert/explorer/public/tx/35b4a3ca872177108b2c22e730da8e3ed0f8087907affbc438007db888a56ce4
6: https://etherscan.io/tx/0xe563fe114be70b2e5de862ddbb70a0a5cf8e6e1b338c3fc04dda5480a36ea813
7: https://explorer.bitcoingold.org/insight/tx/f98e5c6dc71c70be1c2484c76bf94f8eba40a2ccf6e8aa08d39b67851a3a3d49
8: https://etherscan.io/tx/0x800aba03463ef631ca415a403c34da7c8091ae4d65d0e046e6809050b41e3daf
9: https://etherscan.io/tx/0xd5e349e5368edecc6a841bf43555d2bcd436cba4332bf105050ca072013f1b6c

[battlecore]

vor einer Stunde schrieb redpanda88:

Ich sehe ja die Abgänge und den dementsprechenden Wert.

Es waren ca. 13 Ether, 0,5 Bitcoin und noch andere, weniger relevante Coins.

Ich hatte auch ein paar Tage vorher auf dem alten Laptop noch ein intaktes Wallet, alles da.

Um 20:16 Uhr am 16.05 Exodus runtergeladen, dann gleich installiert und zwischen 20:17 und 20:20 Uhr fanden die Transaktionen statt, welche ich logischerweise nicht getätigt habe: 

1: https://etherscan.io/tx/0xe12346a9c45bb2d0b41337596c6d76ad5abceefcefb304119bc5bc4c5b0f33e9
2: https://mempool.space/tx/39e90096d6c279425b6137d5832195831436ba47c16c6465af4e344bc02ac3f9
3: https://xrpscan.com/tx/38C8F8663DC214C73FBB476C5752B5A7DFE3FBD1B98AFF08E29BC465D1FC38EC
4: https://blockchair.com/litecoin/transaction/73d1b69fd0658d66bf6b39fd00acd5cc870ff417e079d564568b9c65a0fd6028
5: https://stellar.expert/explorer/public/tx/35b4a3ca872177108b2c22e730da8e3ed0f8087907affbc438007db888a56ce4
6: https://etherscan.io/tx/0xe563fe114be70b2e5de862ddbb70a0a5cf8e6e1b338c3fc04dda5480a36ea813
7: https://explorer.bitcoingold.org/insight/tx/f98e5c6dc71c70be1c2484c76bf94f8eba40a2ccf6e8aa08d39b67851a3a3d49
8: https://etherscan.io/tx/0x800aba03463ef631ca415a403c34da7c8091ae4d65d0e046e6809050b41e3daf
9: https://etherscan.io/tx/0xd5e349e5368edecc6a841bf43555d2bcd436cba4332bf105050ca072013f1b6c

Da sind aber ne Menge Transaktionen bei den ETH-Adressen wa?

Auf der Adresse 0x9d7923576752a1e3577BE06Ec976A422F1a9530A sind auch noch 6 Tokens drauf. Auch ein Pre-Sale-ATH. Wasn das? Hast du dabei vielleicht mal deinen Privatekey oder irgendwas angegeben?

Vor 17 Tagen wurden 13,xx ETH weggesendet von der Adresse. Und zwar auf die Adresse 0xA3920289D54f33F706879a43e6Ac2a74c38f2608.

Auf der sind ebenfalls einige Tokens mit drauf. Und da sind mehrmals in den letzten Tagen grössere Summen ETH eingegangen. Aber von dort wurden auch wieder ETH weggesendet und da sind aktuell auch nur 2,39ETH drauf.

Bist du sicher das du nicht selbst aus Versehen was versendest hast?

Es ist an sich schwer vorstellbar das eine Wallet "Gehackt" wird. Eigentlich ist es immer eine Mischung aus Unachtsamkeit und dadurch dann vielleicht mal eine Schadsoftware auf dem Computer eingefangen. Oder einfach nur Unachtsamkeit und selber etwas versendet, aus welchen Gründen auch immer.

Bearbeitet 2. Juni 2021 von battlecore

[battlecore]

Was mir grad noch einfällt. Hast du vielleicht ETH irgendwo in Staking oder so gegeben? Weil die sind dann auch erstmal quasi weg, also im staking gebunden sozusagen.

Oder wieder ETH an einen Smartcontract gesendet um andere Coins zu bekommen? Und dabei vielleicht bei der Menge ETH vertan?

[o0dy]

Am 1.6.2021 um 21:50 schrieb redpanda88:

Liebe Leute,

großen Entsetzens habe ich festgestellt, dass mein Exodus-Wallet gehackt wurde.
Alter Laptop kaputt, am Neuen Exodus installiert, mit der 12 word recovery Phrase restored und dann kam die bittere Erkenntnis: fast alles weg (15€ blieben).
Der Schaden ist leider beträchtlich (ja ich weiß heute leider besser den je, dass Hardwallets die bessere Wahl gewesen wären).
Hat irgendjemand hier eine Idee, was ich tun könnte? Der Support von Exodus meinte, Sie könnten mir helfen zu verstehn, was genau passiert ist und hat vorgeschlagen zur örltichen Behörde zu gehen, wo ich gestern war. Die meinten, dass Sie leider nicht viele Möglichkeiten hätten, aber Sie schauen (was auch immer das bedeuten mag).
Viele Hoffnungen habe ich leider nicht mehr, aber ich möchte nichts unversucht lassen und bin um jede Hilfe froh!

Liebe Grüße

Erzähl mal was zum "neuen" Laptop, war der frisch im Betrieb genommen?

[RGarbach]

Der zeitliche Zusammenhang zwischen der Neuinstallation und den Transaktionen ist wirklich auffällig. Du hast die Checksummen der Binaries sorgfältig geprüft. Exodus selbst würde ich auch erst einmal ausschließen. 
 

Gibt es die Möglichkeit, dass die jemand über die Schulter geschaut hat? Ggf. per gehackter Webcam oder ähnlichem? Wenn dein Laptop neu, versiegelt und Orginal verpackt war, hast du vorher Mails angeschaut und/oder warst im Web, wenn ja, mit welchem Browser? Hast du vorher ALLE Win10 Updates eingespielt?

Es gibt mittlerweile Malware, die es nur auf den Seed abgesehen hat. Die kann so neu sein, dass sie von den gängigen Scannern nicht gefunden wird. 
 

 

[Cricktor]

Ein Windows Defender Offline-Scan hätte mir persönlich allein auch nicht gereicht, deswegen ja mein Hinweis auf z.B. desinfec't, wo du vier verschiedene Scanner losschicken kannst. Aber auch vier weitere Scanner sind keine Gewähr, daß die Malware gefunden wird, wenngleich die Wahrscheinlichkeit steigt.

Die Grundinstallationen manchen Laptops, je nach Firma, sind auch gerne mal überladen mit jeder Menge Zeugs, das nicht immer sinnvoll und leider häufiger von zweifelhafter Software-Qualität ist. Das möchte man am liebsten meist komplett runterwerfen, bevor man mit dem Gerät überhaupt anfängt zu arbeiten.

Aufpassen sollte man auch mit Browser-Add-ins, sei es vor- oder selbst installiert. Da gibt es auch viel Müll und Schlimmeres. Aber für eine fundierte Einschätzung im oben genannten Fall sind viel zu viele Details unbekannt.

[wwurst]

Ich halte das bei neuen Laptos auch so: Image ziehen für den Garantiefall bzw. späteren Verkauf, dann plattmachen und von Grund auf neu installieren. Da weiß man, was man hat...

Grade falls das Gerät zB vom Kumpel eines Kumpels eingerichtet wurde kann da wer weiß was drauf sein. Bei Massenware direkt von HP, Dell, Lenovo etc etc eher keine Malware, dafür oft Bloatware ohne Ende.

Im konkreten Fall, vor allem falls @redpanda88keine weiteren Details erzählt, wäre da wohl nur mit forensischen Methoden was zu finden. zB Honeypot-Wallet aufmachen und den Netzwerkverkehr mit Wireshark o.ä. beobachten - aber dafür braucht's einen Profi.

[battlecore]

Ich favorisiere immer noch ein versehentliches versenden bzw. Coins ins Staking / Investment oder so gegeben.

[redpanda88]

Am 2.6.2021 um 22:27 schrieb o0dy:

Erzähl mal was zum "neuen" Laptop, war der frisch im Betrieb genommen?

Hey.

Habe den online bei Eruonics bestellt, wenn ich mich richtig erinnere, war er versiegelt.

Am 14.05 das erste Mal in Betrieb genommen: Eingeschalten, dann kam das Willkommenswindows (10) mit den Updates, dann nur noch über Lenovo Vantage nach Systemaktualisierungen gesucht (Laptop ist ein Lonovo Idea Pad 15ARE05).

Am nächsten Tag den Brave-Browser runtergeladen und CCleaner (offizielle Website) installiert.

Am 16.05 jdownloader installiert, Teams und dann Exodus (alles über die offiziellen Websites).

Dann Exodus geöffnet, und fanden gleich die Transaktionen statt.

 

[redpanda88]

vor 18 Stunden schrieb wwurst:

Im konkreten Fall, vor allem falls @redpanda88keine weiteren Details erzählt, wäre da wohl nur mit forensischen Methoden was zu finden. zB Honeypot-Wallet aufmachen und den Netzwerkverkehr mit Wireshark o.ä. beobachten - aber dafür braucht's einen Profi.

Danke, und wer wäre so ein Profi? Also ich kenne mich da leider gar nicht aus...

 

[redpanda88]

vor 14 Stunden schrieb battlecore:

Ich favorisiere immer noch ein versehentliches versenden bzw. Coins ins Staking / Investment oder so gegeben.

Nein, sicher nicht, da hätte ich ja dafür etwas tu müssen, habe ich aber nicht...

[battlecore]

vor 27 Minuten schrieb redpanda88:

Hey.

Habe den online bei Eruonics bestellt, wenn ich mich richtig erinnere, war er versiegelt.

Am 14.05 das erste Mal in Betrieb genommen: Eingeschalten, dann kam das Willkommenswindows (10) mit den Updates, dann nur noch über Lenovo Vantage nach Systemaktualisierungen gesucht (Laptop ist ein Lonovo Idea Pad 15ARE05).

Am nächsten Tag den Brave-Browser runtergeladen und CCleaner (offizielle Website) installiert.

Am 16.05 jdownloader installiert, Teams und dann Exodus (alles über die offiziellen Websites).

Dann Exodus geöffnet, und fanden gleich die Transaktionen statt.

 

Achso. Ja CCleaner ist vor Jahren von Russen übernommen worden und steht schon länger unter Verdacht. Da gab es schon einige grössere Vorfälle. Was genaues weiss ich auch nicht, ich hab das mal gelesen vor längerem.

Jdownloader? Auf einem Computer wo du was mit Geld machst? Wo du nicht weisst was der sich runterläd?

Schon etwas fahrlässig oder?

vor 25 Minuten schrieb redpanda88:

Nein, sicher nicht, da hätte ich ja dafür etwas tu müssen, habe ich aber nicht...

Naja was für tun müssen ist relativ. Coins in Staking geben geht heute mit zwei Mausklicks. Mir ist das letztes Jahr auch aus Versehen passiert bei einer Börse und dann hab ich Tagelang versucht rauszufinden wo meine Coins hin verschwunden sind.

Aber wenn du so von CCleaner und Jdownloader schreibst, dann kanns sein das dort der Fehler war.

Man sollte für Sachen die mit Geld zu tun haben, auch Krypto, am besten ein altes Notebook mit Linux nehmen. Da reicht ein alte gebrauchtes z.b. von Harlander. Die gibts da für 200-250 euro, so drei Jahre alte Leasinggeräte z.b., Garantie gibts auch noch. Selbst ein altes Gerät ist mit Linux immer noch sauschnell.

Da macht man die Wallets drauf und von dort ruft man auch die Accounts von den Börsen auf. Und wenn mans nicht braucht legt man es gut weg.

[Gast]

Bevor jetzt wilde Theorien über CCleaner (und Russen) oder Jdownloader entstehen, warten wir doch erstmal ab was der Support von Exodus sagt. Die haben doch ihre Hilfe angeboten. 

[o0dy]

vor 6 Stunden schrieb redpanda88:

Hey.

Habe den online bei Eruonics bestellt, wenn ich mich richtig erinnere, war er versiegelt.

Schau mal ob du Spuren erkennst, dass der geöffnet wurde.

Es gibt böse Leute die bestellen Geräte manipulieren sie, und senden die innerhalb der Frist zurück.

Ich denke dass da irgendein "Trojaner" drauf ist so in der Art zb.

[wwurst]

vor 2 Minuten schrieb o0dy:

Schau mal ob du Spuren erkennst, dass der geöffnet wurde.

Es gibt böse Leute die bestellen Geräte manipulieren sie, und senden die innerhalb der Frist zurück.

Ich denke dass da irgendein "Trojaner" drauf ist so in der Art zb.

Danke für den Hinweis auf ElectroRAT, aber dein obiges Szenario ist schon ziemlich unwahrscheinlich. Egal ob Retouren oder ein Techniker, der die Dinger beim Hersteller aufsetzt - bei der derzeitigen Verbreitung von Cryptowährungen müssten die ja hunderte, wenn nicht tausende Geräte manipulieren um mal einen Cryptonauten zu erwischen. 

Ziemlich viel (und riskanter) Aufwand für verdammt wenige Treffer...

[o0dy]

vor 19 Minuten schrieb wwurst:

Danke für den Hinweis auf ElectroRAT, aber dein obiges Szenario ist schon ziemlich unwahrscheinlich. Egal ob Retouren oder ein Techniker, der die Dinger beim Hersteller aufsetzt - bei der derzeitigen Verbreitung von Cryptowährungen müssten die ja hunderte, wenn nicht tausende Geräte manipulieren um mal einen Cryptonauten zu erwischen. 

Ziemlich viel (und riskanter) Aufwand für verdammt wenige Treffer...

Ich forsche immer in alle Richtungen. Bei einem neuen Pc, (und seinen paar Installationen) könnte es schon sein dass einer "Glück" hatte. Kann sein muss aber nicht, ausgeschlossen ist es jedenfalls nicht.

Es geht ja auch nicht nur um Kryptowährung bei solchen Trojanern. Sensible Daten findet man sicher auf jedem Pc.

Bearbeitet 4. Juni 2021 von o0dy

[battlecore]

vor 14 Minuten schrieb o0dy:

Ich forsche halt immer in alle Richtungen. Bei einem neuen Pc, (und seinen paar Installationen) könnte es schon sein dass einer "Glück" hatte. Kann sein muss aber nicht, ausgeschlossen ist es jedenfalls nicht.

Es geht ja auch nicht nur um Kryptowährung bei solchen Trojanern. Sensible Daten findet man sicher auf jedem Pc.

Ok sone Trojaner kannte ich auch noch nicht. Vermutlich deswegen auch die Ausrichtung der Trojaner auf Server. Vor allem bei Linux.

Auf Userebene kann man mit so einem Trojaner nicht viel anfangen, da muss man wahrscheinlich schon sudo vergeben damit der automatisch startet. Bei einem Server kanns eher passieren weil drölfzig User in einem Netzwerk ja alles anklicken was nicht niet- und nagelfest ist.

Private Linuxnutzer sind ja in der Regel gut über den Umgang mit Linux informiert und klicken nicht einfach so alles mögliche zum installieren an bzw. nutzen nur die offiziellen Paketquellen. Und das die sich son Zeug wie dieses Pokerspiel zulegen ist wahrscheinlich auch eher selten. Man nutzt ja nur dann freiwillig Linux wenn man Sicherheitsorientiert ist. So wie die Leute hier im Forum die in der Regel ja auch Linux empfehlen wenn es um wichtige Dinge geht.

Ok nebenbei ist Linux für mich auch ein Ausdruck von Freiheit.

Und es ist nicht so übel nervig wie Windows 😁

[redpanda88]

vor 43 Minuten schrieb o0dy:

Schau mal ob du Spuren erkennst, dass der geöffnet wurde.

Es gibt böse Leute die bestellen Geräte manipulieren sie, und senden die innerhalb der Frist zurück.

Die Verpackung war schon versiegelt, sofern ich mich richtig erinnere (mittlerweile leider entsorgt).

Also auch im Rückblick erschien diesbezüglich nix verdächtig, logsicherweise habe ich aber auch kein besonderes Augenmerk darauf gelegt.

Zumindest wars der Originalkarton (wie gesagt, meines Wissens nach versiegelt), beim ersten Einschalten habe ich auch nix verdächtiges feststellen können.

Außer dass bei der Garantiezeit erst ein anderes Datum stand, also nicht der 14.05, was jetzt steht, sondern ein früheres Datum. Keine Ahnung, ob das immer so ist...

[o0dy]

vor 25 Minuten schrieb redpanda88:

Außer dass bei der Garantiezeit erst ein anderes Datum stand, also nicht der 14.05, was jetzt steht, sondern ein früheres Datum. Keine Ahnung, ob das immer so ist...

Was ein Indiz sein kann dass es eine Retoure war (denn dir muss man ja wieder die volle Garantie gewähren).

Das Gerät müsste halt von wem untersucht werden der sich auskennt.

Bearbeitet 4. Juni 2021 von o0dy