Ledger Wiederherstellungswörter

[MrRapid]

Hallo, ich habe bei Metamask meine 24 Wiederherstellungswörter vom Ledger eingegeben um so Zugriff über Metamask zu haben..ich habe nun gelesen dass dies nicht sicher sei. Habe natürlich Metamask wieder gelöscht. 

Muss ich mir jetzt Sorgen machen gehackt zu werden? Habe es natürlich über Metamask.io gedownloadet um kein Phishing-Opfer zu sein. 

 

Habe jetzt gelernt wie ich bei Metamask meine Hardwarewallet hinzufüge. Und würde nie wieder die 24 Wörter bei Metamask Seeden

Bearbeitet 25. August 2022 von MrRapid

[Amsi]

Willkommen!

Ich befürchte du musst dein Anliegen schon etwas näher ausführen.

[Amsi]

Ah, jetzt hast du deinen Beitrag editiert, da stand vorher nur "Metamask" im Beitrag. Danke.

Hast du denn bereits Coins "am" Ledger?
Um wieder sicher zu sein, müsstest du einen neuen Seed (also die 24 Wiederherstellungswörter) generieren.

Sollten bereits Coins am Ledger sein, müsstest du diese dann übertragen mittels normaler Transaktionen.

[MrRapid]

vor 7 Minuten schrieb Amsi:

Ah, jetzt hast du deinen Beitrag editiert, da stand vorher nur "Metamask" im Beitrag. Danke.

Hast du denn bereits Coins "am" Ledger?
Um wieder sicher zu sein, müsstest du einen neuen Seed (also die 24 Wiederherstellungswörter) generieren.

Sollten bereits Coins am Ledger sein, müsstest du diese dann übertragen mittels normaler Transaktionen.

Wie genau meinst du das? Kann ich denn einen neuen Seed generieren oder sollte ich einen neuen Ledger kaufen? 

[Amsi]

Nicht böse gemeint, aber du solltest dich damit befassen was ein Seed ist.
Wenn man es weiß, ist es völlig logisch, dass man einen neuen generieren kann (auch ohne Ledger) und es deshalb kein neues Gerät braucht.

Du kannst also (wenn du keine Coins oben hast) deinen Ledger einfach resetten (PIN 3x falsch eingeben), dann ist er quasi im Auslieferungszustand und dann richtest du den neu ein, wählst also nicht Restore oder so aus, sondern New.

[MrRapid]

vor 2 Minuten schrieb Amsi:

Nicht böse gemeint, aber du solltest dich damit befassen was ein Seed ist.
Wenn man es weiß, ist es völlig logisch, dass man einen neuen generieren kann (auch ohne Ledger) und es deshalb kein neues Gerät braucht.

Du kannst also (wenn du keine Coins oben hast) deinen Ledger einfach resetten (PIN 3x falsch eingeben), dann ist er quasi im Auslieferungszustand und dann richtest du den neu ein, wählst also nicht Restore oder so aus, sondern New.

OK war das denn jetzt schlimm meine 24 Wörter bei Metamask zu Seeden? 

[Amsi]

Schlimm ist relativ.
Wenn du keine Coins oben hast, ist es komplett egal (sofern du jetzt wie beschrieben einen neuen erstellst).

Der Sinn eines Hardwarewallets ist es, dass der Seed das Gerät in der Form nie verlässt.

[MrRapid]

Gerade eben schrieb Amsi:

Schlimm ist relativ.
Wenn du keine Coins oben hast, ist es komplett egal (sofern du jetzt wie beschrieben einen neuen erstellst).

Der Sinn eines Hardwarewallets ist es, dass der Seed das Gerät in der Form nie verlässt.

Ich habe auf dem Ledger 24 WörterSeed, den in bei Metamask eingegeben habe, meine ganzen Coins. Wenn ich jetzt einen neuen Seed erstelle muss ich die Coins auf den neuen Seed senden oder? 

[Amsi]

Ja.
Dann wirds etwas komplizierter.

1) Du musst sicher sein, dass du die aktuellen 24 Wörter noch korrekt hast.
2) Ledger wie beschrieben resetten und neue 24 Wörter generieren.
3) Neue Empfangsadressen generieren und notieren.
4) Ledger resetten und mit den alten 24 Wörter wiederherstellen.
5) Coins versenden (kostet Transaktionsgebühren) an die zuvor notierten neuen Adressen.
6) Ledger resetten und mit den neuen 24 Wörtern wiederherstellen.

[MrRapid]

vor 8 Minuten schrieb Amsi:

Ja.
Dann wirds etwas komplizierter.

1) Du musst sicher sein, dass du die aktuellen 24 Wörter noch korrekt hast.
2) Ledger wie beschrieben resetten und neue 24 Wörter generieren.
3) Neue Empfangsadressen generieren und notieren.
4) Ledger resetten und mit den alten 24 Wörter wiederherstellen.
5) Coins versenden (kostet Transaktionsgebühren) an die zuvor notierten neuen Adressen.
6) Ledger resetten und mit den neuen 24 Wörtern wiederherstellen.

Okay danke. Aber meinst du jemand anders kann die 24 Wörter klauen nur weil ich sie bei Metamask eingegeben habe? Ich meine wenn ich jetzt bei Metamask eine Wallet erstelle dann bekomme ich ja 12 Wörter. Wenn ich Metamask dann lösche und neu aufsetze muss ich die ja auch eingeben und das ist doch auch sicher oder? 

[Amsi]

Das kommt auf viele Faktoren drauf an.
Ist dein PC wirklich sicher? Bist du dir ganz sicher, dass du keine Phishing Software installiert hast? Hast du die Metamask App geprüft?

Also ICH persönlich würde mich dann nicht mehr sicher fühlen und hätte massive Bedenken wenn ich da Coins "lagere" die mehrere Tausend Euro Wert sind.

Es kommt also auch drauf an, wie viel Wert du damit "speichern" willst bzw. wie viel das für dich persönlich wert ist.
Und das ganze stellst du in Vergleich mit dem Aufwand, welchen du jetzt hättest.

[MrRapid]

vor 2 Minuten schrieb Amsi:

Das kommt auf viele Faktoren drauf an.
Ist dein PC wirklich sicher? Bist du dir ganz sicher, dass du keine Phishing Software installiert hast? Hast du die Metamask App geprüft?

Also ICH persönlich würde mich dann nicht mehr sicher fühlen und hätte massive Bedenken wenn ich da Coins "lagere" die mehrere Tausend Euro Wert sind.

Es kommt also auch drauf an, wie viel Wert du damit "speichern" willst bzw. wie viel das für dich persönlich wert ist.
Und das ganze stellst du in Vergleich mit dem Aufwand, welchen du jetzt hättest.

Ja es ist die offizielle Metamask App auf Metamask.io gedownloadet und keine phising Software. 

 

Aufwand wäre gering nur die ETH Coins Transaktionen würden ein wenig kosten.

[Bierschwabe]

Kann man bei Metamask denn 24-Wörter eingeben? Du sagst ja die haben eigentlich 12 Wörter...

Google spuckt folgendes für die Verknüpfung von Ledger und Metamask aus. Da geht das ganze aber über Ledger-Live...

https://www.ledger.com/de/academy/der-sicherste-weg-metamask-mit-einer-ledger-hardware-wallet-zu-verwenden

[MrRapid]

vor 24 Minuten schrieb Bierschwabe:

Kann man bei Metamask denn 24-Wörter eingeben? Du sagst ja die haben eigentlich 12 Wörter...

Google spuckt folgendes für die Verknüpfung von Ledger und Metamask aus. Da geht das ganze aber über Ledger-Live...

https://www.ledger.com/de/academy/der-sicherste-weg-metamask-mit-einer-ledger-hardware-wallet-zu-verwenden

Ja kann man. Ich habe die 24 Wiederherstellungswörter meines Ledgers direkt bei Metamask eingegeben. Das sollte man laut Ledger Akademie besser nicht machen. Also nicht direkt Seeden. Jetzt habe ich halt Angst dass ich gehackt werde wobei ich wie gesagt die offizielle Metamask.io App gedownloadet habe also es handelte sich nicht um eine phising-app. 

Also ich habe keine Metamask Wallet erstellt und dann mit dem Ledger verknüpft. 

[fox42]

vor 41 Minuten schrieb MrRapid:

Aber meinst du jemand anders kann die 24 Wörter klauen nur weil ich sie bei Metamask eingegeben habe?

Ganz ehrlich? Wieso schafft man sich einen Ledger an? -> Damit man dieses Risiko ausschließen kann. Vielleicht war es ja doch nicht die 100% echte Version von Metamask, sondern eine leicht geänderte Variante, die dann ein paar Stunden zum Download bereit stand.

Ich würde zusehen, neue 24 Wörter zu generieren. Die musst du dir dann sichern, dann du immer dran kommst (Wohnungsbrand, PC schrott, Vergesslichkeit, ...) und andere niemals dran kommen (Einbruch, Ehekrise, ...). Idealerweise wirst du diese 24 Wörter nie wieder brauchen, sie sind aber der eine Schlüssel zu all deinen Coins.

Eine leichtgewichtige Lösung kann sein, alle Coins auf eine Exchange zu schicken, den Ledger zu resetten und die Coins dann auf den neu eingerichteten Ledger zu schicken.

[MrRapid]

vor 6 Minuten schrieb fox42:

Ganz ehrlich? Wieso schafft man sich einen Ledger an? -> Damit man dieses Risiko ausschließen kann. Vielleicht war es ja doch nicht die 100% echte Version von Metamask, sondern eine leicht geänderte Variante, die dann ein paar Stunden zum Download bereit stand.

Ich würde zusehen, neue 24 Wörter zu generieren. Die musst du dir dann sichern, dann du immer dran kommst (Wohnungsbrand, PC schrott, Vergesslichkeit, ...) und andere niemals dran kommen (Einbruch, Ehekrise, ...). Idealerweise wirst du diese 24 Wörter nie wieder brauchen, sie sind aber der eine Schlüssel zu all deinen Coins.

Eine leichtgewichtige Lösung kann sein, alle Coins auf eine Exchange zu schicken, den Ledger zu resetten und die Coins dann auf den neu eingerichteten Ledger zu schicken.

Ja das denke ich mir auch. Ich war mir dessen nicht bewusst dann mache ich das so und zahle eben ein paar Euro Transaktionsgebühren 

[Cricktor]

Die Sicherheit deiner Wallet und deren Private Keys und der Mnemonic Wörter (die 12/24 Wörter) beruht darauf, daß diese Geheimnisse sicher in der Hardware-Wallet gespeichert sind und nicht auf ein Online-Gerät gelangen können und sollen (die Hardware-Wallet selbst ist immer ein Offline-Signiergerät, hat niemals selbst von sich aus eine Netzwerkverbindung). Metamask als Browser-Erweiterung ist so ziemlich das Gegenteil von offline.

Wenn du die Mnemonic Wörter deiner Hardware-Wallet auf einem Online-Gerät z.B. in Metamask eingegeben hast, hast du keine verifizierbare Sicherheit dafür, daß deine Mnemonic Wörter stets sicher bleiben. Du könntest Malware auf deinem Rechner haben; du könntest andere aktive problematische Browser-Erweiterungen haben, die dich ausspionieren oder Tastatureingaben mitlesen; deine Mnemonic Wörter können in irgendeiner Form in temporären Browserdaten gespeichert sein und diese Daten könnten in falsche Hände geraten.

Du hast dann einfach jegliche sichere Kontrolle über deine Mnemonic Wörter quasi aufgegeben und den Schutz untergraben, den eine Hardware-Wallet bietet. Das macht man aus gutem Grund nicht und daher der Rat von @Amsi, neue und sichere Mnemonic Wörter zu erstellen und diese NIEMALS ohne Grund und Verständnis der zugrundeliegenden technischen Details digital zu verarbeiten.

Beim Notieren der Mnemonic Wörter auf Papier würde ich mindestens folgende Daten mit notieren:

• Datum und Uhrzeit
• Grund für die Erstellung
• welche Soft- oder Hardware hat die Wörter erzeugt
• ggf. welche Coin-Accounts man erstellt hat (laufend aktualisieren; kann auch separat von den Wörtern sein, aber mit eindeutigem Bezug, so daß die Zuordnung Mnemonic Wörter <--> Accounts eindeutig ist)
• jedes Mnemonic Wort korrekt nummerieren und sauber und leserlich mit wasserunlöslichem Stift notieren
• ggf. Derivation Path(s) / Wallet-Ableitungspfade mit notieren, wenn man weiß und verstanden hat, was das ist und daß die auch wichtig sind bzw. sein können

Daran denken: orts-redundante Kopien nicht vergessen zu erstellen und sicher zu verwahren, damit ein Verlust maximal unwahrscheinlich wird. Absolut Niemand darf deine Mnemonic Wörter je zu Gesicht bekommen, der nicht von dir dazu berechtigt wurde (100%iges Vertrauen vorausgesetzt).

[MrRapid]

vor 42 Minuten schrieb Cricktor:

Die Sicherheit deiner Wallet und deren Private Keys und der Mnemonic Wörter (die 12/24 Wörter) beruht darauf, daß diese Geheimnisse sicher in der Hardware-Wallet gespeichert sind und nicht auf ein Online-Gerät gelangen können und sollen (die Hardware-Wallet selbst ist immer ein Offline-Signiergerät, hat niemals selbst von sich aus eine Netzwerkverbindung). Metamask als Browser-Erweiterung ist so ziemlich das Gegenteil von offline.

Wenn du die Mnemonic Wörter deiner Hardware-Wallet auf einem Online-Gerät z.B. in Metamask eingegeben hast, hast du keine verifizierbare Sicherheit dafür, daß deine Mnemonic Wörter stets sicher bleiben. Du könntest Malware auf deinem Rechner haben; du könntest andere aktive problematische Browser-Erweiterungen haben, die dich ausspionieren oder Tastatureingaben mitlesen; deine Mnemonic Wörter können in irgendeiner Form in temporären Browserdaten gespeichert sein und diese Daten könnten in falsche Hände geraten.

Du hast dann einfach jegliche sichere Kontrolle über deine Mnemonic Wörter quasi aufgegeben und den Schutz untergraben, den eine Hardware-Wallet bietet. Das macht man aus gutem Grund nicht und daher der Rat von @Amsi, neue und sichere Mnemonic Wörter zu erstellen und diese NIEMALS ohne Grund und Verständnis der zugrundeliegenden technischen Details digital zu verarbeiten.

Beim Notieren der Mnemonic Wörter auf Papier würde ich mindestens folgende Daten mit notieren:

• Datum und Uhrzeit
• Grund für die Erstellung
• welche Soft- oder Hardware hat die Wörter erzeugt
• ggf. welche Coin-Accounts man erstellt hat (laufend aktualisieren; kann auch separat von den Wörtern sein, aber mit eindeutigem Bezug, so daß die Zuordnung Mnemonic Wörter <--> Accounts eindeutig ist)
• jedes Mnemonic Wort korrekt nummerieren und sauber und leserlich mit wasserunlöslichem Stift notieren
• ggf. Derivation Path(s) / Wallet-Ableitungspfade mit notieren, wenn man weiß und verstanden hat, was das ist und daß die auch wichtig sind bzw. sein können

Daran denken: orts-redundante Kopien nicht vergessen zu erstellen und sicher zu verwahren, damit ein Verlust maximal unwahrscheinlich wird. Absolut Niemand darf deine Mnemonic Wörter je zu Gesicht bekommen, der nicht von dir dazu berechtigt wurde (100%iges Vertrauen vorausgesetzt).

Okay vielen Dank. Ich werde gleich Zuhause es so machen wir amsi es gesagt hat. Ich werde die Coins nicht auf eine Exchange schicken sondern von Ledger zu Ledger. Ist aufwändiger aber so zahle ich bei meinen Ethereum Coins nur ETH als Gebühr und nicht die Coins an sich wenn ich sienwieder von der Exchange zum Ledger schicken würde. 

 

Ich habe nun draus gelernt. Danke euch für dieses super teaching 

[Cricktor]

vor 3 Stunden schrieb Amsi:

3) Neue Empfangsadressen generieren und notieren.

Ganz besonders sorgfältig kontrollieren, daß man keine Fehler dabei macht. Händisch notieren empfehle ich nicht und sollte auch nicht nötig sein (keine öffentliche Coin-Adresse ist irgendwie menschenfreundlich und zum manuellen Notieren gut geeignet/gedacht).

Am besten stets die Adressen per Copy/Paste und passender Beschriftung zur Vermeidung von Verwechslungen in eine Textdatei übertragen und sorgfältig und vollständig auch mit dem Ledger Nano abgleichen/verifizieren, damit Zwischenablage-Malware keine Chance hat. Bei jedem Copy/Paste die Adresse (besonders bei ETH) vollständig überprüfen! Bei Bitcoin-Adressen genügt es am Anfang und Ende so 6-8 Zeichen zu verifizieren (hierbei wird der Adresspräfix 1..., 3... oder bc1... nicht mitgezählt).

[MrRapid]

vor 37 Minuten schrieb Cricktor:

Ganz besonders sorgfältig kontrollieren, daß man keine Fehler dabei macht. Händisch notieren empfehle ich nicht und sollte auch nicht nötig sein (keine öffentliche Coin-Adresse ist irgendwie menschenfreundlich und zum manuellen Notieren gut geeignet/gedacht).

Am besten stets die Adressen per Copy/Paste und passender Beschriftung zur Vermeidung von Verwechslungen in eine Textdatei übertragen und sorgfältig und vollständig auch mit dem Ledger Nano abgleichen/verifizieren, damit Zwischenablage-Malware keine Chance hat. Bei jedem Copy/Paste die Adresse (besonders bei ETH) vollständig überprüfen! Bei Bitcoin-Adressen genügt es am Anfang und Ende so 6-8 Zeichen zu verifizieren (hierbei wird der Adresspräfix 1..., 3... oder bc1... nicht mitgezählt).

Alles klar danke

[BTCinvestor]

vor 10 Stunden schrieb Amsi:

1) ... bis  6) ...

ergänze ich mal um

7) Die alten 24 Wörter unbedingt aufbewahren.

@MrRapid

Je nach dem, wem du mal was von einer Adresse geschickt bzw. eine Adresse gegeben hast, wo du deine Adressen gespeichert oder hinterlegt hast, könnte es passieren, dass du doch mal wieder unerwartet Zugriff darauf brauchst. Wäre blöd, wenn da doch wieder was drauf landet, und du nicht mehr dran kommst. 

 

Bearbeitet 25. August 2022 von BTCinvestor

[Cricktor]

vor 1 Stunde schrieb BTCinvestor:

7) Die alten 24 Wörter unbedingt aufbewahren.

Oh ja, danke, daß du darauf hinweist! Am besten niemals alte Wallets und deren wichtige Details wegwerfen, vernichten. Man kann nie wissen, was noch so kommt und wozu man die dann doch nochmal braucht.

Bearbeitet 25. August 2022 von Cricktor

[BTCinvestor]

Nur mal so als Beispiel, für alle die sich grad fragen, was denn alles passieren kann, und warum man die alten 24 Wörter aufbewahren sollte.

Ziemlich doof, wenn man in den folgenden denkbaren Szenarien die alten 24 Wörter nicht mehr hat.

Szenario 1:
Du hast bei einer Börse immer wieder mal Coins gekauft und auf deine Hardwarewallet geschickt. Deine Auszahlungsadresse hast du auf der Börse hinterlegt, ist ja komfortabel.
Nun crasht der Bitcoin und du nutzt die Gelegenheit und gehst all in. Natürlich schickst du die gekauften Coins gleich wieder an deine Hardwarewallet.
SHIT - da war ja noch die alte Adresse hinterlegt…

Da bist du absolut selbst schuld!

Szenario 2:
In der Vergangenheit hast du deinem Schwiegervater Bitcoin erklärt. Er hat es verstanden und ist eingestiegen. Er hat sich ebenfalls eine Hardwarewallet gekauft, und du hast ihm das ganze gezeigt und ihr habt zur Übung auch ein paar Satoshis hin- und hergeschickt.
Beim nächsten Besuch:
„Vielen Dank Junge, dass du mich zu Bitcoin gebracht hast. Ich will euch was gutes tun. Daher habe ich euer vorgezogenes Erbe in Bitcoin angelegt und euch übertragen. Deine Adresse hatte ich ja noch.“
SHIT happens!

Da hast du absolut keinen Einfluss drauf!

 

Fazit:
Auch wenn du denkst, du brauchst die alten 24 Wörter nicht mehr, könnte es Szenarien geben, an die du nicht denkst.
In beiden Fällen würdest du dich durch wegwerfen der 24 Wörter selbst aussperren. Daher immer archivieren, um den Zugriff zu ermöglichen.

Bearbeitet 25. August 2022 von BTCinvestor

[MrRapid]

So Leute, ein GROßES DANKE an euch. Habe nun all meine Coins wie Amsi es beschrieben hat zum neuen Seed gesendet. 
Muss nur noch die unstakingperiod von 21 Tagen bei Cosmos abwarten dann habe ich alle Coins erfolgreich transferiert

Jetzt fühle ich mich wieder sehr sicher denn diesesmal gebe ich die 24 Wörte nie wieder irgndwo ein 😃

Kann sein dass die Chance gering war gehackt zu werden aber dennoch war es mir wichtig. Mir ist echt schwummerig geworden wo ich wind bekommen habe dass ich irgendwie mist gebaut habe. 

Die Aktion hat jetzt so 3 Stunden gedauert bei sehr sorgfätigem arbeiten. 

Jetzt bin ich Blockchain-Profi  

Bearbeitet 25. August 2022 von MrRapid

[MrRapid]

vor 1 Stunde schrieb BTCinvestor:

Nur mal so als Beispiel, für alle die sich grad fragen, was denn alles passieren kann, und warum man die alten 24 Wörter aufbewahren sollte.

Ziemlich doof, wenn man in den folgenden denkbaren Szenarien die alten 24 Wörter nicht mehr hat.

Szenario 1:
Du hast bei einer Börse immer wieder mal Coins gekauft und auf deine Hardwarewallet geschickt. Deine Auszahlungsadresse hast du auf der Börse hinterlegt, ist ja komfortabel.
Nun crasht der Bitcoin und du nutzt die Gelegenheit und gehst all in. Natürlich schickst du die gekauften Coins gleich wieder an deine Hardwarewallet.
SHIT - da war ja noch die alte Adresse hinterlegt…

Da bist du absolut selbst schuld!

Szenario 2:
In der Vergangenheit hast du deinem Schwiegervater Bitcoin erklärt. Er hat es verstanden und ist eingestiegen. Er hat sich ebenfalls eine Hardwarewallet gekauft, und du hast ihm das ganze gezeigt und ihr habt zur Übung auch ein paar Satoshis hin- und hergeschickt.
Beim nächsten Besuch:
„Vielen Dank Junge, dass du mich zu Bitcoin gebracht hast. Ich will euch was gutes tun. Daher habe ich euer vorgezogenes Erbe in Bitcoin angelegt und euch übertragen. Deine Adresse hatte ich ja noch.“
SHIT happens!

Da hast du absolut keinen Einfluss drauf!

 

Fazit:
Auch wenn du denkst, du brauchst die alten 24 Wörter nicht mehr, könnte es Szenarien geben, an die du nicht denkst.
In beiden Fällen würdest du dich durch wegwerfen der 24 Wörter selbst aussperren. Daher immer archivieren, um den Zugriff zu ermöglichen.

Wird und wurde gemacht. Behalte natürlich beide Seeds

Bearbeitet 25. August 2022 von MrRapid