EXODUS Wallet gehackt

[cryptonoob12]

Moin,

 

ich habe letztes Jahr ein paar ETH geschürft und auf einer Exodus Desktop Wallet gelagert, das ging jetzt 2 Jahre gut. Heute wollte ich mal wieder in meine Wallet welche ich auch auf dem Smartphone habe, erst wird der richtige Betrag angezeigt und plötzlich 0. 

Der PC auf dem die Wallet liegt ist seit einem Monat ohne Strom und Internet, von dort kann es also nicht kommen, es muss also irgendwie vom Smartphone kommen. Das war aber auch inaktiv denn um die Uhrzeit wo mir die Kohle abgezogen wurde schlafe ich noch...also Handy inaktiv, PC ohne Strom, wie kann sowas passieren...Also keine Ahnung, wenn das schon so los geht, echt super sache und man kommt noch nicht einmal an den Täter ran vermutlich, Anzeige habe ich bereits erstattet wird zwar nichts bringen aber vllt bekomme ich da steuerlich wenigstens noch was raus oder so 

https://etherscan.io/tx/0xbb1216a2c12f1c942890128d498928613340f4b2e5245d8eabff9ad640ed4e15

 

 

Bearbeitet 6. Juni 2022 von cryptonoob12

[Cricktor]

Deine ETH lagern ja nicht in deinen Wallets, sondern die sind stets "in der Blockchain". Deine Wallets verwalten nur die Private Keys, die man zum Bewegen der Coins benötigt. Es spielt also keine Rolle, ob dein Desktop oder dein Smartphone online waren oder nicht. Wenn ein Bösewicht deine Coins bewegt hat, dann hat er Zugang zu deinen Private Key(s) erlangt. Dies kann über verschiedenste Wege erfolgt sein, z.B. deine Walletdatei ist abhanden gekommen und war nicht oder nur durch ein unzureichendes Passwort geschützt; du hast deine Mnemonic Seed Wörter entgegen der Anleitung trotzdem irgendwie elektronisch gespeichert, z.B. in einer Datei oder ein Foto deiner aufgeschriebenen Seed-Wörter gemacht; du benutzt auch Metamask und hast dort auch deine Mining-Withdrawal-Adresse drin und hast dein Metamask mit einer bösartigen Seite verbunden und dieser Verbindung zuviele Rechte eingeräumt; du hast ein inoffizielles bösartiges Exodus benutzt und nicht verifiziert, ob es das echte ist; dein Smartphone ist gerootet und du hast da irgendeinen Scheiß drauf, der wichtige Daten klauen kann; ...

Danke, daß du die Tx-ID genannt hast, dann kann man mal einen Blick werfen. Blöd ist natürlich, daß deine Adresse bereits vor 26 Tagen in die ETH-Adresse 0x80c8c297d4a0769abc84f44a6fa7a3b99dfa9ef8 geleert wurde. Letzte Transaktionen der Bösewicht-Adresse waren vor 13 Tagen. Der Polizei könntest du diese Adresse mitteilen, falls du das nicht ohnehin schon gemacht hast. Blöd deswegen, weil natürlich reichlich Zeit zum Auscashen war.

Du könntest @btctester.com fragen, ob in der Transaktionshistorie dieser Bösewicht-Adresse eine Verbindung zu einer Exchange-Adresse erkennbar ist, dann hätten die Ermittlungsbehörden einen Ansatzpunkt, um ggf. Echange-Konten  und -Besitzer ausfindig zu machen. Nicht alle Ganoven sind cryptocoin-schlau...

Betrachte natürlich deine Exodus Wallet als kompromittiert. Falls da noch andere Coins drauf sind, solltest du die besser von da wegräumen. Für dich wichtig wäre meines Erachtens, nachvollziehen zu versuchen, auf welche Art und Weise deine Wallet oder Key kompromittiert wurde, damit du den fraglichen Fehler nicht wiederholst.

Mein Tipp bzgl. Wallet auf Smartphone: nur Watch-only-Wallets bei größeren Werten (alles über mehrere Hundert Euro), sonst nur als aktive Hot-Wallet mit 'nem Betrag, den man auch in der eigenen phys. Börse mit sich tragen würde.

Bearbeitet 6. Juni 2022 von Cricktor

[cryptonoob12]

Merci erstmal, je genau das versuche ich herauszufinden. Ich hab mir die Seeds damals ausgedruckt nie benutzt und habe auch ein Passwort was nur in meinem Kopf ist und nirgends auftaucht oder benutzt wird mit Sonderzeichen alles drum und dran, ich meine ich bin selbst Master der Wirtschaftsinformatik und weiß schon was ich mache. Genau das macht mich eben so stutzig, ich weiß es nicht. Ich benutze auch nichts externes, hab damals Exodus installiert und seitdem sind immer nur die Einnahmen fürs Mining von hiveon drauf gegangen mehr läuft da nicht. Ich selbst habe einmal einen kleinen BTC Betrag dahin gesendet das wars, wird nicht aktiv genutzt liegt nur da, daher verstehe ich es nicht. Die müssten doch zumindest den Key irgendwo her haben oder zumindest die Seed wörter aber an die kommt keiner ran, ich leb ja auch alleine. Man 5000 Strom umsonst schon hart , dabei habe ich noch einen verschweißten Ledger NanoS hier weil ich dachte das reicht für die paar Kröten. Wie sicher stufst du denn Binance und co ein, überlege die großen Beträge direkt runter zu holen

Bearbeitet 6. Juni 2022 von cryptonoob12

[Cricktor]

Ja, klar, ist 'ne fiese Erfahrung, die keiner machen möchte.

Bedenke, daß man auch komplexe Passwörter vergessen kann (Krankheit, Unfall, Tod), besonders auch wenn die so gut und lang sind, daß ein Brute-force-Angriff praktisch chancenlos wäre. Ich bin zwar kein Informatiker, aber ich kann aus Erfahrung sprechen, daß man auch sicher geglaubte gute Passwörter, die man nicht dokumentiert hat, erfolgreich vergessen kann bzw. nicht mehr vollständig rekonstruiert bekommt (selber ausgetrickst). Meeh!

Seed-Wörter ausdrucken ist u.U. gefährlich, da man diese letztlich digital verarbeitet zu einem Drucker sendet. Nicht viele haben hier volle Kontrolle über alle temp. Daten, die dabei anfallen und auf dem Rechner gespeichert werden. Besser vermeiden... (Battlecore, mach' du dein Ding, wenn du es so für richtig hältst...)

Die sicherste Variante ist, die Mnemonic Seed Wörter nie digital auf Papier zu schreiben, ggf. mehrfach und alle Kopien sicher und redundant aufzubewahren, so daß Niemand davon Kenntnis erlangen kann. In Stahlplatte oder nichtrostende Unterlegscheiben stempeln kann man auch machen, um eine feuerresistente Ablageform zu haben. Kann jede/r machen, wie sie/er es für notwendig hält. Gibt nicht die einzig wahre Lösung.

Das Assessment, was und wie du mit deiner Wallet und dem Private Key umgegangen bist, kannst nur du machen. Exodus ist zwar closed-source, jetzt aber auch nicht dafür bekannt, bösartig zu sein. Du hast dein Exodus von der offiziellen Exodus-Seite und auch verifiziert, daß es das Original ist?

Die Mnemonic Seed Wörter hat dir Exodus beim Erstellen der Wallet generiert?

Die Historie deiner Adresse zeigt nur regelmäßige Withdrawals von Hiveon auf deine Adresse, keine anderen Aktivitäten bis auf das letzte Abräumen deiner Ether.

Sind die BTC denn noch da? Du schreibst "kleinen BTC Betrag": ist der evtl. trotzdem "groß" genug, daß den ein Dieb mitnehmen würde, wenn er könnte?

Bearbeitet 6. Juni 2022 von Cricktor

[cryptonoob12]

Moin, nein die 50 Dollar an BTC sind auch paar Minuten später transferiert worden. Ist es denn sicher das der PK nur auf dem PC gespeichert wird, ich bin immernoch auf der Suche nach dem weak point, hab alle Programme nochmal gecheckt die Zugriff auf den PC gehabt haben können und ich hab nichts finden können. Es kann eigentlich nur das Smartphone sein, XIAOMI oder irgendeine Smartphone APP, ich hab EXODUS damals aus dem Playstore bezogen und via QR verbunden, ist noch nicht lange her so 2 Monate, passt ja schon fast. Die Software scheint schon legit, die Frage ist nur wohin gehen z.b. die Smartphone daten bei einer Custom rom die bei den China Importen benötigt wird, kann auf jeden fall eine Schwachstelle entstehen was anderes kann ich mir aktuell nicht vorstellen

Bearbeitet 7. Juni 2022 von cryptonoob12

[Cricktor]

Wenn die BTC auch entwendet wurden, ist das ein ziemlich sicherer Hinweis darauf, daß tatsächlich deine Wallet im Ganzen kompromittiert ist, d.h. ein Fremder über die Private Keys sowohl für BTC als auch ETH verfügt. Deine Wallet ist somit mit großer Wahrscheinlichkeit im Ganzen als kompromittiert anzusehen.

Ich denke, daß man keine sichere Aussage machen kann, was genau jetzt bei dir abhanden gekommen ist und vorallen Dingen auch wann (ein Angreifer könnte auch durchaus Geduld beweisen, wenn absehbar wäre, daß zu stehlende Coins sich vermehren könnten, ohne daß das Opfer Verdacht schöpft; zwar unwahrscheinlich, aber nicht unmöglich).

Um über deine Cryptos verfügen zu können, müsste ein Fremder folgende Daten entwenden:

• Exodus Wallet im Ganzen und per Keylogger dein Passwort für die Wallet (hilfsweise das Passwort der Wallet per Brute-force knacken; nur realistisch wenn das Passwort schwach ist (wiederverwendet, bekannt in einschlägigen PW-Datenbanken; anfällig für ein Wörterbuchangriff usw. usf.)
  --> Angriffsvektoren: Evil Maid, Malware, Fake Exodus (Genuine Exodus nicht verifiziert), schlecht geschützte Cloud-Backups, bösartige Tastatur-Apps (Smartphone)
• Malware exfiltriert den Extended Private Key aus Exodus
  --> Angriffsvektoren: üblicherweise Infektion mit Malware, die auf's Crypto-Stehlen spezialisiert ist, möglicherweise bösartige Tastatur-Apps (Smartphone)
• Mnemonic Seed Wörter digital gespeichert/verarbeitet und nicht restlos wieder vom Rechner/Smartphone entfernt
  --> Angriffsvektoren: üblicherweise Infektion mit Malware, die Daten wie Dokumente und Bilder exfiltriert, die einen Mnemonic Seed enthalten können; ggf. schlecht geschützte Cloud-Backups, bösartige Tastatur-Apps (Smartphone)
• Phishing: User wird ausgetrickst, seine Mnemonic Seed Wörter auf einer bösartigen Fake-Webseite einzugeben
  (No-Go: man gibt niemals seine Mnemonic Seed Wörter auf einer Online-Seite ein!)
• Fake Exodus Wallet (original Exodus Wallet nicht zweifelsfrei verifiziert)
  --> Angriffvektoren: fake Links auf bösartige Exodus Wallet
• Kompromittierung von Exodus und Einschleusen von Malware durch Exodus-Updates
  --> GAU bei Exodus-Firma/Webseite
• Austricksen vom User durch Fake-Exodus-Updates, die Malware mitbringen
  --> Angriffsvektoren: Fake Links aus dubiosen Quellen auf Fake-Exodus-Webseiten und -Downloads
• Keylogger-Malware hätte deine Mnemonic Seed Wörter und Wallet-Passwort beim Einrichten der Wallet und späterer Benutzung mitschneiden und exfiltrieren können
  --> Angriffsvektoren: Infektion mit Malware/Keylogger vor Einrichtung einer Wallet; bösartige Tastatur-Apps auf Smartphones!!
• physisch dokumentierte Mnemonic Seed Wörter kommen abhanden, weil sie nicht sicher und vor fremden Augen verborgen aufbewahrt wurden
  --> Evil Maid/Visitor am Lagerort deines Mnemonic Seeds (diesen Punkt schließt du allerdings aus, das kannst nur du selbst beurteilen)

Einiges davon kann auf deinen beiden Geräten passiert sein, auf denen du eine vollständige Exodus Hot-Wallet hattest (ohne Anspruch auf Vollständigkeit).

Dein Ledger Nano hätte dich zumindest vor den meisten oder allen der malware-basierten Angriffe bewahrt, die nicht auf das Abgreifen deiner Mnemonic Seed Wörter zielten. Allerdings unterstützt Exodus einen Ledger Nano nicht. Du hättest dann eben Ledger Live benutzen müssen oder MyEtherWallet oder so.

vor 20 Stunden schrieb cryptonoob12:

Wie sicher stufst du denn Binance und co ein, überlege die großen Beträge direkt runter zu holen

Etablierte Börsen halte ich für recht sicher, solange sie nicht wiederholt damit auffallen, gehackt zu werden. Bei Binance ist meine Wahrnehmung so, daß ich denke, daß Binance-Kunden eher über Abphishen von Account-Daten ausgeplündert werden. Das kann man aber verhindern, indem man nicht auf Phishing hereinfällt und 2FA verwendet (wo immer möglich, wenn's um Werte geht).

Jede Börse ist ein potentielles Angriffsziel, aber man kann davon ausgehen, daß große Börsen über genügend Geld verfügen, die besten Sicherheitsmaßnahmen zu unterhalten. Schließlich leben sie davon, daß Kunden ihnen Coins anvertrauen und damit handeln.

Ansonsten gilt für alle Börsen, deren Kundenkonto-Wallets custodial sind: not your keys, not your coins! Wie bei Banken hast du nur ein Versprechen von Binance, daß dir deine Coins dort sehr wahrscheinlich auch wieder ausgehändigt werden.

Ich lasse nur Coins auf Börsen, mit denen ich in absehbarer Zeit handeln möchte, aber das ist meine persönliche Einstellung und basiert auch auf meiner Annahme, daß ich meine Coins in meinen eigenen Wallets auch sicher verwahren kann, ähnlich gut wie eine professionelle Börse (hier überschätze ich mich möglicherweise). Aber ich bin ein Freund von: my keys, my coins.

Aus deiner leidlichen Erfahrung mit dem Diebstahl solltest du dringend deine Hardware-Wallet auch nutzen, z.B. wenn du Coins von Binance & Co. abziehen solltest. Die Entscheidung kann und will ich dir nicht abnehmen, wo deine Coins sicherer sind. Deine reinen Software-Wallets waren es jedenfalls auf einem oder beiden deiner Geräte nicht.

Bearbeitet 7. Juni 2022 von Cricktor

[cryptonoob12]

Das Problem war damals das der Rechner knapp 4 Monate 24h am Tag gelaufen ist, weil dort Chia Mining drauf betrieben wurde, dann hat mein Sohn auch ständig irgendwelche Spiele dort runtergeladen ich hätte es generell trennen müssen, war mein Fehler aber ich wäre nie ansatzweise auf die Idee gekommen das ich mal Opfer von sowas werden. Danke für die Umfangreiche Antwort...

[Cricktor]

Zur Sicherheit und "Sauberkeit" von Chia-Mining-Software-Komponenten kann ich keine Aussage treffen. Könnte auch "unfreundliche" Software-Komponenten beinhalten (eher unwahrscheinlich, wenn aus offiziellen Quellen bezogen).

Spiele runterladen allein, ist vielleicht noch nicht soo tragisch und kommt sicherlich auch auf die Quellen an. Spiele- und Warez-Seiten und insbesondere Cracks und/oder KeyGens von Spielen und anderer Software können wahre Malware-Schleudern sein (nicht zwingend, aber Risiko schätze ich hoch ein).

Crypto-Wallets und solche Tätigkeiten sollten definitiv nicht auf einem Rechner zusammenfallen, aber das hast du ja schon selbst eingesehen. Wobei das nur mutmaßliche Einfallsvektoren sind, wir können nur spekulieren.

Bearbeitet 9. Juni 2022 von Cricktor

[cryptonoob12]

"Wobei das nur mutmaßliche Einfallsvektoren sind, wir können nur spekulieren." das ist es eben, ich habe ja auch Schutzsoftware die sowas verhindern sollte. Ich könnte mir aktuell noch die XIAOMI.EU rom sein, dafür musste ich den Bootloader freischalten ach man, man weiß es nicht, das ist  noch schlimmer weil man die Schwachstelle aktuell nicht kennt, mal sehen wie weit der Kurs noch fällt, vllt bekomme ich ja die ETH günstig zurück, dann ist der Fiat schaden wenigstens nicht ganz so groß, immer positiv denken^^

Bearbeitet 10. Juni 2022 von cryptonoob12

[Maaz]

Am 9.6.2022 um 08:42 schrieb cryptonoob12:

weil dort Chia Mining drauf betrieben wurde

 

Am 9.6.2022 um 08:42 schrieb cryptonoob12:

dann hat mein Sohn auch ständig irgendwelche Spiele dort runtergeladen

 

vor 16 Minuten schrieb cryptonoob12:

könnte mir aktuell noch die XIAOMI.EU rom sein, dafür musste ich den Bootloader freischalten

Du lässt aber auch wirklich kein Einfallstor aus. Respekt! Das grenzt ja schon an ein Wunder, dass die Coins 2 Jahre auf der Wallet lagen.

Ich möchte mich nicht über dich lustig machen oder so, aber das klingt für mich wirklich alles sehr Hanebüchen. Da musst du doch nicht mehr nach der einen Schwachstelle suchen, du hast ja schon diverse genannt.

- Mehrere Personen haben Zugriff auf den PC, vermutlich alle Admin-Rechte

- Eventuell nutzten Vater und Sohn sogar den gleichen Account?

-  Vielleicht kamen auch Freunde des Sohnes zum Zocken vorbei und haben ebenfalls an dem PC gespielt?

- Handy gerootet

- Custom ROM

[Octagon]

vor 49 Minuten schrieb cryptonoob12:

"Wobei das nur mutmaßliche Einfallsvektoren sind, wir können nur spekulieren." das ist es eben, ich habe ja auch Schutzsoftware die sowas verhindern sollte. Ich könnte mir aktuell noch die XIAOMI.EU rom sein, dafür musste ich den Bootloader freischalten ach man, man weiß es nicht, das ist  noch schlimmer weil man die Schwachstelle aktuell nicht kennt, mal sehen wie weit der Kurs noch fällt, vllt bekomme ich ja die ETH günstig zurück, dann ist der Fiat schaden wenigstens nicht ganz so groß, immer positiv denken^^

Es gibt keine Schutzsoftware. Cricktor hat das perfekt aufgeführt, gute Liste und grade mal die Spitze des Eisbergs.

Es ist ein Security-Grundsatz: PC, Mobile, und jedes andere Device, das irgendeine Verbindung zum Netz hat oder sonst wie ausgelesen werden kann, wird grundsätzlich als kompromittiert angesehen. Ist einfach so, dagegen kann man nichts machen. Vielen ist das einfach zu wenig bewusst.

Man bedenke auch noch, dass das alles "nur" Scripts und automatisierte, selbstständige Software ist. Ein wirklicher Hacker wäre da noch eine ganz andere Kategorie. Aussage aus dem Hacker Interview mit "Gummo": "Falls ich einen Auftrag hab und von irgendwo was holen muss, ich hole das. Es gibt nichts, was mich aufhält und nichts was ich nicht holen kann." (Frei aus der Erinnerung....)

Bearbeitet 10. Juni 2022 von Octagon

[Cricktor]

vor 1 Stunde schrieb Maaz:

- Handy gerootet

- Custom ROM

Ich geb' zu, ich kenne das ROM nicht, das hier verwendet wurde. Daß es gerootet ist, kann ich nicht herauslesen, lediglich ein Custom ROM. Dieses kann ein nicht unerhebliches Risiko darstellen, da man denjenigen vertrauen muss, die das Custom ROM gebacken haben. Die haben möglicherweise weniger Skrupel als ein Hersteller, da letzterer einen Reputationsverlust aus finanziellen Gründen sicherlich mehr vermeiden möchte, als irgendwelche Custom-ROM-Köche.

Einem Smartphone mit Custom ROM würde ich nur eine sehr kleine Hot-Wallet anvertrauen, besser mit einer Hardware-Wallet kombiniert. Ich bin aber eh kein Befürworter von substantiellen Hot-Wallets auf Smartphones. Das ist für mich mehr oder weniger Katastrophe mit Ansage, wenn da nicht als "Firewall" eine Hardware-Wallet die Keys und das Signieren von Transaktionen absichert.

Ich hab' nur eine Lightning-Wallet auf dem Smartphone, wo aber selten mehr als 5stellige Sats drauf sind. Andere Wallets nur zum Ausprobieren oder Testen, ohne Coins oder nur mit Testnet-Coins. Oder eben nur als Watch-only-Wallet, aber selbst das mache ich kaum. Ich muss meine Wallets nicht mobil stalken...

Bearbeitet 10. Juni 2022 von Cricktor

[bulsan]

vor 3 Stunden schrieb Maaz:

- Handy gerootet

- Custom ROM

eher nicht, xiaomi.eu ist das offizielle Portal für die internationalen ROM-Updates von Xiaomi. Also kein Custom-ROM. Allerdings: booloader entsperrt alleine, auch ohne Root, reicht schon den meisten Banking-Apps um die Installation zu verweigern. Könnte einem zu denken geben..

[Maaz]

vor 3 Stunden schrieb bulsan:

eher nicht, xiaomi.eu ist das offizielle Portal für die internationalen ROM-Updates von Xiaomi. Also kein Custom-ROM. Allerdings: booloader entsperrt alleine, auch ohne Root, reicht schon den meisten Banking-Apps um die Installation zu verweigern. Könnte einem zu denken geben..

Ach so. Ich dachte, das sei ein Custom ROM.

 

[Cricktor]

vor 21 Stunden schrieb bulsan:

eher nicht, xiaomi.eu ist das offizielle Portal für die internationalen ROM-Updates von Xiaomi. Also kein Custom-ROM.

Ein bisschen offtopic: warum muss man ROM-Updates des Herstellers mit entsperrtem Bootloader einspielen, liefern die das nicht OTA aus? Oder liegt das daran, daß man sein Smartphone günstiger aus China geholt hat und internationale ROMs auf diesem Weg installieren muss?

  

vor 21 Stunden schrieb bulsan:

Allerdings: booloader entsperrt alleine, auch ohne Root, reicht schon den meisten Banking-Apps um die Installation zu verweigern. Könnte einem zu denken geben..

Banking-Apps sind da recht pingelig, aber an dem Punkt, entsperrter Bootloader, ist das auch nachvollziehbar. Schließlich kannst du im Prinzip dann alles Mögliche auf dem Phone booten, was ggf. jegliche Sicherheitsmechanismen aushebelt. Da somit private Daten der Apps nicht mehr sicher und geschützt sein können, sind oberparanoide wie die meisten Banking-Apps dann erstmal alarmiert und schmollen.

Bearbeitet 11. Juni 2022 von Cricktor
Zitat vergessen

[battlecore]

Dafür das viele Apps nicht mehr gehn brauchts garnicht viel.

Mein altes Handy hab ich mal temporär gerootet, das geht bei Neustart wieder weg.

Das hat schon gereicht das einige Apps registrieren das es mal gerootet war und den Dienst verweigerten.

Androidupdates waren ab dann auch nicht mehr möglich.

Einmal root und nix geht mehr.