Jump to content

Brainwallet-Passwortknacker


Recommended Posts

Interessant. Ich bin mit diesem Teil von Bitcoin nicht so sehr vertraut, vllt kann jemand mit Einblick mehr dazu schreiben?
BIP32 scheint den Exploit nicht als  explizite Motvation gehabt zu haben, sondern wurde "leise" mit eingeführt: Link
So nach einer ersten Sichtung halte ich das für einen sehr relevanten Angriffsvektor der auch nicht besonders subtil ist und das man den "zufällig" geschlossen hat halte ich für eher unwahrscheinlich.

IOTA z.B. hatte damals eben selbiges Problem und sehr viele Menschen haben Geld verloren damals deswegen, Menschen 1:1 den Seed selber bestimmen zu lassen ist eine ganz ganz schlechte Idee.

vor 21 Minuten schrieb sorrentostorres:

Was denkst du darüber? Ich denke, dies könnte den Preis von Bitcoin beeinflussen.

Ist ne coole Idee, hätte ich das gewusst, hätte ich das auch gemacht, ist nicht sonderlich schwer. Die Tatsache, dass jemand einen Crawler/Cracker zu genau diesem Thema anbietet ist jedoch ein starkes Indiz dafür, dass sich das nicht (mehr) lohnt und das Thema schon lange durch ist.
Die Inhalte der Website legen außerdem nahe, dass das Projekt auf interessierte Laien abzielt und nicht auf Power-User mit Expertise auf dem Gebiet. Ich würde von dem Angebot daher speziell Abstand nehmen.

Interessant wäre durchaus, die Blockchain dahingehend zu analysieren, ob es Hinweise darauf gibt, dass Akteure das Feld erfolgreich abgegrast haben. @btctester.com?

Edited by Arther
Link to comment
Share on other sites

Hm, ja klar, ist eine "super Idee" (Achtung, dein Ironie-Detektor könnte Schaden nehmen). Vertrauenswürdiges Video, der Sprecher kommt aus der Digital-Retorte. Und warum nur machen es die "Erfinder" nicht selbst einfach weiter, wo es so eine Fundgrube ist. Ach, kaufen muss man das? (Ungeprüft...) Wäre ja nicht das erste Werbevideo, das Dinge zu können anpreist, daß sich die Balken biegen sollten...

Wenn es Open Source ist, wie das Video behauptet, dann könnte man immerhin prüfen, ob man sich da nicht irgendeinen üblen Mist auf den Rechner holt, der die eigenen Wallets gleich mit schluckt, wenn man so leichtsinnig wäre, sowas in die Nähe eigener Wallets zu lassen.

Ansonsten wäre mal eine Diskussion, falls nicht schon tausendmal geführt, zur Frage interessant, fände man einen privaten Schlüssel zu UTXOs, die einem eigentlich nicht gehören, dürfte man die dann trotzdem bewegen/ausgeben? Hier meine ich die klare Abgrenzung zu einer gewaltsamen oder anders kriminellen Handlung, um Zugriff auf private Schlüssel von "beladenen" Adressen zu erlangen. Also z.B. mit dem obigen Tool, falls das nicht doch ein Scam ist, wonach es für mich stark aussieht:
Annahme: ich finde eine "schlechte" Brain-Wallet und da sind Coins drauf -> damit bin ich meiner Meinung nach nicht illegal zu einem privaten Schlüssel für Coins gekommen. Was definiert den Besitz von Coins? Meiner Meinung nach der Besitz des passenden privaten Schlüssels.
Darf ich diese Coins dann ausgeben, ohne mich strafbar zu machen? Denn: your key, your coin (as long key not obtained by criminal action; also ich habe den privaten Schlüssel nicht entwendet/gestohlen)!

Ein guter zufälliger privater Schlüssel sollte nicht für andere findbar sein, die Wahrscheinlichkeit ist nicht Null, aber sehr ... sehr nahe bei Null.

Edited by Cricktor
Link to comment
Share on other sites

Das ist sicher nicht legal. Zumindest Unterschlagung.

Wenn man "verlorene" Coins findet könnte man die vielleicht abgeben und einen Finderlohn beanspruchen.

Nur kann man nicht feststellen ob Coins wirklich verloren wurden. Selbst wenn die 10 Jahre nicht bewegt wurden kann der Key dazu ja in einem Testament liegen. Wenn man die weg nimmt und behält ist das vermutlich Diebstahl.

Link to comment
Share on other sites

Es geht nicht um "verlorene" Coins, sondern was definiert die Verfügungsgewalt über (bleiben wir bei) Bitcoins? Du hast einen privaten Schlüssel und normalerweise sollte man fremde private Schlüssel nicht finden können. Denn das ist mathematisch gesehen praktisch nahezu unmöglich, vorausgesetzt der private Schlüssel hat eine "gute" Entropie.

Wer will denn entscheiden oder gar beweisen können, wer einen privaten Schlüssel zuerst besessen hat.

Nun sind wir beide keine Juristen, aber womit begründest du deine Aussage, daß es "sicher nicht legal" ist oder zumindest Unterschlagung? Bitte aufpassen und das ganze auch im Kontext von Bitcoin und dessen Technologie betrachten und was den "Besitz" von Bitcoin ausmacht!

Edited by Cricktor
Link to comment
Share on other sites

vor 10 Minuten schrieb Cricktor:

Wer will denn entscheiden oder gar beweisen können, wer einen privaten Schlüssel zuerst besessen hat.

Die Coins wurden doch mal gekauft. Wer den Kaufbeleg hat und eine Auszahlung auf seine Wallet vorweisen kann ist offensichtlich der Eigentümer von Coins und Key.

Wenn dann jemand aus Zufall den Key findet und die Coins weg nimmt dann ist das m.E. Diebstahl.

Ebenso wie wenn dir jemand bei einem Transfer eine gefälschte Adresse unterschiebt. Beides ist Vorsatz.

  • Love it 1
Link to comment
Share on other sites

vor 7 Stunden schrieb sorrentostorres:

Was denkst du darüber? Ich denke, dies könnte den Preis von Bitcoin beeinflussen.

Da steht "In first 3 years of Bitcoin's existense users have been created a millions brainwallets for bitcoins."

Brainwallets basieren auf der "Seed Phrase", die wurde 2013 eingeführt: https://en.bitcoin.it/wiki/BIP_0039

Wie können also in den ersten drei Jahren Brainwallets erzeugt worden sein?

 

Wieso sucht das Tool im Internet nach Bitcoinadressen mit Guthaben? Die sind doch alle über diverse Blockexplorer per API einfach zu beziehen.

Und wieso zeigt das Tool die ganze Privatekeys an? Diese Privatekeys stehen ganz bestimmt nicht alle im Internet - zumindest keine Privatekeys zu Adressen mit Guthaben.

 

vor 3 Stunden schrieb sorrentostorres:

@Arther Danke für die Antwort, ich werde es kaufen, um Spaß zu haben. 

Netter Versuch Ahnungslose zu einem Kauf zu verleiten.

  • Thanks 1
  • Like 1
Link to comment
Share on other sites

Einfach aus dem Satz mit SHA256 den Private Key erzeugen.  :)

Auf der Adresse zu dem Seed den ich oben nannte (mit kleinem t am Anfang) liegt heute noch 1 Sat.

In den ersten Jahren wurde da viel herum gespielt.

 

  • Thanks 1
Link to comment
Share on other sites

@Crusader

vor 17 Minuten schrieb Crusader:

Die Coins wurden doch mal gekauft. Wer den Kaufbeleg hat und eine Auszahlung auf seine Wallet vorweisen kann ist offensichtlich der Eigentümer von Coins und Key.

Ach, definiert jetzt ein Kauf den Besitz von Bitcoins? Was machen dann bloß die Miner, die ärmsten?

Nochmal: hypothetischer Fall, wir schreiben das Jahr 2009, wo die Leute noch lustig nebenbei mit 'nem Laptop 50BTC schürfen konnten. Der private Schlüssel für die Coinbase-Transaktion wurde mittels einer (schlechten) Brain-Wallet generiert. Egal jetzt, ob diese Brain-Wallet noch existiert oder vergessen wurde oder wasausimmer.

Ich finde (wichtig: ohne kriminelle Aktivität wie betrügen/stehlen/den Rechner eines anderen verseuchen/...) diesen privaten Schlüssel quasi per Zufall oder durch so ein Tool wie da oben (gesetzt den Fall, es wäre kein Scam). Warum sollte es illegal sein, daß ich nicht mit diesen 50BTC machen kann, was ich möchte? Schließlich habe ich den passenden privaten Schlüssel und diesen nicht durch illegale Aktivität in meinen Besitz gebracht. Der einfachste Fall, wenngleich mathematisch mit praktisch nicht vorhandener Wahrscheinlichkeit: ich würfele einen privaten Schlüssel, still in meinem Kämmerlein, und wie der Zufall es möchte, dieser private Schlüssel führt zu einer Bitcoin-Adresse die Coins hat. Was daran wäre illegal, daß ich diese für mich ausgebe? Erklär's mir!

(Mal abgesehen davon, ob es redlich wäre, diese BTC selbst zu nutzen, wenn ich eigentlich wissen sollte, daß sie nicht meine sein können. Man muss ja auch über den Tellerrand der dinglichen Welt hinausschauen. Das meine ich auch mit meiner ernst gemeinten Frage: was definiert den Besitz von Bitcoin?)

Edited by Cricktor
Link to comment
Share on other sites

Der Miner hat die Coins zwar nicht gekauft aber als Belohnung oder Gebühr erhalten.

Die gehören nachweislich ihm.

Wenn du aus Zufall Coins findest die du nicht selbst gekauft oder erhalten hast dann ist das fremdes Eigentum.

Diese Coins weg zu nehmen kann nicht legal sein.

Wenn du auf der Straße eine Geldbörse findest dann kannst du die auch nicht einfach behalten.

Link to comment
Share on other sites

Physische Dinge sind etwas anderes, meiner Meinung nach. Hier bin ich klar auf der gesetzlichen Linie, daß das Finden nicht zum automatischen Besitzwechsel führt, sondern ich als Finder verpflichtet wäre, den Fund z.B. im Fundbüro oder anderen geeigneten Stellen abzugeben.

Moralisch gebe ich dir Recht, ich sollte wissen, daß es eigentlich nicht meine Coins sein können. Aber deine Argumente überzeugen mich immer noch nicht so recht, aus dem Blickwinkel, was die Verfügungsgewalt und -berechtigung von Bitcoins anbelangt, die ja nur in der Blockchain existieren, wo kein Name dransteht. Ich stelle immer noch die These zur Disposition: du hast legal einen privaten Schlüssel, der Coins kontrolliert. Warum bin ich dann nicht auch "Besitzer" oder "berechtigter Verfüger" dieser Coins?

Die kryptografische Technik hinter Bitcoin und vermutlich den meisten anderen "erfolgreichen" Coins verhindert ja, daß es eine in der Lebenszeit dieses Universums nutzbare Wahrscheinlichkeit gäbe, die Coins von anderen auszugeben, vorausgesetzt es ist keine schlechte Entropie im Spiel.

Nicht falsch verstehen, ich kann schon zwischen meins und deins unterscheiden. Und wenn mir jemand eine per PIN oder Passphrase geschützte Wallet zum Knacken gibt, dann weiß und respektiere ich, daß mir die Coins dieser Wallet nicht gehören, auch wenn ich durch erfolgreiches Knacken der Wallet über die privaten Schlüssel verfügen könnte.

Edited by Cricktor
Link to comment
Share on other sites

vor 33 Minuten schrieb Crusader:

Der Miner hat die Coins zwar nicht gekauft aber als Belohnung oder Gebühr erhalten.

Die gehören nachweislich ihm.

Hmmm.. Nachweislich.. ne. Irgendein Teilnehmer hat einen Blick veröffentlicht, bei dem eine Adresse Begünstigter der Belohnung und Fees ist. Wem die Adresse gehört ist nicht so einfach nachweisbar. Außer durch Besitz des Keys.

Rechtlich dürfte es aber beim Ausgeben ein Problem geben, weil Eigentum!=Besitz. Nur weil ich den Schlüssel in der Hand habe, darf ich nicht mit dem Auto wegfahren.

Vielleicht ist das bei den quasi komplett öffentlichen Brainwallets etwas anders, weil quasi jeder den Key kennt und damit nicht davon ausgegangen werden kann, dass das überhaupt irgendwem gehört.

Link to comment
Share on other sites

vor 8 Minuten schrieb Cricktor:

Moralisch gebe ich dir Recht, ich sollte wissen, daß es eigentlich nicht meine Coins sein können. Aber deine Argumente überzeugen mich immer noch nicht so recht, aus dem Blickwinkel, was die Verfügungsgewalt und -berechtigung von Bitcoins anbelangt, die ja nur in der Blockchain existieren, wo kein Name dransteht. Ich stelle immer noch die These zur Disposition: du hast legal einen privaten Schlüssel, der Coins kontrolliert. Warum bin ich dann nicht auch "Besitzer" oder "berechtigter Verfüger" dieser Coins?

Wie gesagt, weil du sie weder erworben noch erhalten hast.

Aber vielleicht haben wir da eine unterschiedliche Rechtsauffassung.

Und wenn du dich dumm anstellst und nicht richtig kriminell handelst kann dir die Sache jederzeit auf die Füsse fallen.

Wenn der Besitzer merkt daß seine Paper-Wallet geleert wurde und nachforscht dann bist du dran.

 

Link to comment
Share on other sites

Genau, rechtlich erworben werden die Coins, sowohl bei Käufern, als auch bei Minern. Dann ist's Eigentum und darf rechtlich nicht einfach von jemand anderem bewegt werden.

Soweit rein rechtlich... ;)

  • Thanks 1
Link to comment
Share on other sites

vor 2 Stunden schrieb Cricktor:

Warum bin ich dann nicht auch "Besitzer" oder "berechtigter Verfüger" dieser Coins?

Wenn du ein Nummernsparbuch findest, gehören die darauf befindlichen Werte auch nicht dir.

Wenn du einen Wohnungsschlüssel findest gehört der Inhalt auch nicht dir

Denkst du dann auch, wenn du eine Bankkarte mit PIN findest, dass das Geld dir gehört?

usw. usf.

Sobald du dir etwas davon aneignest, machst du dich definitiv strafbar, ist rechtlich auch eindeutig geregelt.

Beispiel:

https://www.advocard.de/streitlotse/internet-und-konsum/geld-gefunden-so-verhalten-sie-sich-richtig/

https://www.anwalt.org/unterschlagung/

Edited by QQQ
  • Thanks 2
  • Down 1
Link to comment
Share on other sites

Meine oekonomische Sicht dazu:
Wenn jemand einen Crawler programmiert um bitcoin zu stehlen, dann will er es nicht mit dir teilen, er macht es alleine. Das ist auch so bei den ganzen angeblich so gewinntraechtigen Mining- oder tradingbots.

Meine technische Sicht dazu:
Das ist natuerlich technisch moeglich mit dem crawler aber ich bezweifel dass in den ersten Jahren viele Leute ueberhaupt einen Seed benutzten. Sie nutzten nur  private keys und da lohnt sich die Blindsuche nicht. Die ganz bloeden nicht zufaellig erzeugten privaten Schluessel (an den  Raendern und in der Mitte der unzaehligen Moeglichkeiten) wurden schon alle durchprobiert.

Deshalb sehe ich als wahrscheinlichste Motivationen fuer den crawler:

  • Es soll deine Rechenleistung genutzt werden um Bitcoin fuer andere zu finden
  • Es wird dir eine Software untergejubelt, die deine Festplatte nach Seeds und private keys oder auch anderem abscannt

Alle Angebote, wo einen ein Fremder darauf hinweist, dass man schnell und einfach Geld gewinnen kann haben zumeist einen Haken.

  • Like 3
Link to comment
Share on other sites

Am 6.7.2021 um 16:27 schrieb Cricktor:

Physische Dinge sind etwas anderes, meiner Meinung nach. Hier bin ich klar auf der gesetzlichen Linie, daß das Finden nicht zum automatischen Besitzwechsel führt, sondern ich als Finder verpflichtet wäre, den Fund z.B. im Fundbüro oder anderen geeigneten Stellen abzugeben.

Wenn ich deine Karte finde und dann deine PIN errate darf ich die Karte trotzdem nicht verwenden. Wenn ich dein Passwort errate macht dass das einloggen und lesen und schreiben von E-Mail unter deiner E-Mail Adrasse nicht legal.
Ich kenne deine Sicht und finde die grundsätzlich in Ordnung und nachvollziehbar, der DAO-"Hack" war ja insofern auch kein Hack, ein Smart-Contract definiert seine funktionalität im selben Maße selbst und kann daher per Definition keinen Bug enthalten. Man kann aber mich absoluter Sicherheit davon ausgehen, dass Gerichte weltweit das anders sehen werden.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.