Einzahlung auf Electrum wurde direkt an fremde Adresse weitergeleitet

[vike28]

Habe soeben eine Einzahlung auf meine electum Wallet getätigt und diese wurde direkt an eine mir unbekannte Adresse:

bc1q3q60qrstxp2g0rn87jmha7a56nex45x95ff4aw

versendet.

Auf diese Adresse sind bereits mehrere Zahlungen gesendet worden.

Was ist da passiert??

Bitte um Hilfe!!!

Habe soeben eine Einzahlung auf meine electum Wallet getätigt und diese wurde direkt an eine mir unbekannte Adresse:

bc1q3q60qrstxp2g0rn87jmha7a56nex45x95ff4aw

versendet.

Auf diese Adresse sind bereits mehrere Zahlungen gesendet worden.

Mein Guthaben das bereits auf der Wallet war, ist drauf geblieben. war ist nicht versendet worden.

Was ist da passiert ??

Die Überprüfung der Signatur ist gültig.

Die Transaktion an die unbekannte Adresse, wurde sofort bei Eingang der coins weitergeleitet.

Es stand bei der ausgehenden Transaktion: 
Unconfirmed parent 

Edit:

Habe es erneut mit einem kleinen Beitrag versucht. Wieder wird meine Einzahlung direkt an die gleiche unbekannt Adresse versendet.

 

Wo liegt das Problem?

Bearbeitet 22. Januar 2023 von vike28

[Jokin]

vor 7 Stunden schrieb vike28:

Wo liegt das Problem?

Woher hast du die Electrum-Software?

Wie hast du die Quelle gefunden?

Es gibt immer wieder Scammer, die Google-Anzeigen schalten, die zu ihren kompromittierten Electrumversionen führen. Da die Anzeigen oben stehen, klicken genügend Menschen drauf.

Daher immer selber die Adresse im Browser eingeben.

vor 8 Stunden schrieb vike28:

Habe es erneut mit einem kleinen Beitrag versucht. Wieder wird meine Einzahlung direkt an die gleiche unbekannt Adresse versendet.

War das nicht vollkommen logisch? Oder willst du es nun nochmal mit unterschiedlichen Beträgen und unterschiedlichen Zeiten versuchen?

Deine Electrumversion ist nicht ok. Der damit erzeugte Seed ist ebenso nicht vertrauenswürdig.

[rheingold]

vor 8 Stunden schrieb vike28:

Habe soeben eine Einzahlung auf meine electum Wallet getätigt und diese wurde direkt an eine mir unbekannte Adresse:

bc1q3q60qrstxp2g0rn87jmha7a56nex45x95ff4aw

versendet.

Kann es sein, dass deine Electrum-Adresse in der Zwischenablage durch bc1q3q60qrstxp2g0rn87jmha7a56nex45x95ff4aw ersetzt wurde? Oder wurden die Transaktion an deine Electrum-Adresse geschickt und von da aus an bc1q3q60qrstxp2g0rn87jmha7a56nex45x95ff4aw?
Im ersten Fall dürfte dein PC im 2 Fall deine Electrum-Wallet kompromittiert  sein.

[BTCinvestor]

Eine wichtige Fragestellung von @rheingold

Der Vollständigkeit halber:

Wann/wie hast du dieses Wallet eingerichtet?

(Neuer Seed oder hast du einen vorhandenen importiert? Wie kam das jetzt noch vorhandene Guthaben da drauf?)

 

Wenn eine gefakede Electruminstallation nicht auszuschließen ist, würde ich schnellstmöglich das noch vorhandene Guthaben versuchen zu sichern. Allerdings nicht über die installierte Electrum-Software. Denn die könnte ja auch beim Senden krumme Dinge drehen.

Ich würde mir die Original-Version installieren und den Seed importieren, und dann das vorhandene Guthaben auf eine andere Wallet schicken.

https://electrum.org/#download

 

Solltest du allerdings eine andere Fakesoftware installiert haben, welche Adressen ersetzt, würde auch das nichts bringen. Dann muss die andere Fakesoftware erst weg.

Also nichts überstürzen, und falls möglich sicherheitshalber auf einem komplett anderen System weiterarbeiten.

Bearbeitet 22. Januar 2023 von BTCinvestor

[rheingold]

vor 7 Minuten schrieb BTCinvestor:

Wenn eine gefakede Electruminstallation nicht auszuschließen ist, würde ich schnellstmöglich das noch vorhandene Guthaben versuchen zu sichern. Allerdings nicht über die installierte Electrum-Software. Denn die könnte ja auch beim Senden krumme Dinge drehen.

vor 9 Stunden schrieb vike28:

Die Überprüfung der Signatur ist gültig.

Nehme an, damit ist die gpg-Signatur der Wallet gemeint.

Hier mal der fingerprint von ThomasV
6694 D8DE 7BE8 EE56 31BE  D950 2BD5 824B 7F94 70E6
Vielleicht kann das noch jemand bestätigen.
Auf jeden Fall wie von @BTCinvestorgeschrieben, nichts überstürzen.

[Amsi]

vor 42 Minuten schrieb rheingold:

Hier mal der fingerprint von ThomasV
6694 D8DE 7BE8 EE56 31BE  D950 2BD5 824B 7F94 70E6
Vielleicht kann das noch jemand bestätigen.

Bestätige.

[Cricktor]

Bestätige:

pub   rsa4096 2011-06-15 [SC]
      6694 D8DE 7BE8 EE56 31BE  D950 2BD5 824B 7F94 70E6
uid        [ unbekannt] Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org>
uid        [ unbekannt] ThomasV <thomasv1@gmx.de>
uid        [ unbekannt] Thomas Voegtlin <thomasv1@gmx.de>
sub   rsa4096 2011-06-15 [E]

 

[nickZ]

Hört oder ließt sich gehakt. 

[BTCinvestor]

Ja, die Frage ist nur: An welcher Stelle?

[Cricktor]

vor 22 Stunden schrieb vike28:

Mein Guthaben das bereits auf der Wallet war, ist drauf geblieben. war ist nicht versendet worden.

Was ist da passiert ??

Die Überprüfung der Signatur ist gültig.

Soll das heißen, die Signatur der heruntergeladenen Electrum-Wallet-Datei ist gültig und somit kann davon ausgegangen werden, daß die davon installierte Electrum Wallet sehr wahrscheinlich OK ist. Spätere Veränderungen durch Malware können natürlich nicht ausgeschlossen werden.

Hast du die Electrum Wallet denn gerade erst heruntergeladen, Signatur überprüft und dann gerade erst installiert und  verwendet oder ist das alles schon länger her?

Ist deine Electrum Wallet mit einem Passwort/Passphrase gesichert (ich meine damit nicht die optionale Mnemonic Passphrase)?

vor 22 Stunden schrieb vike28:

Habe soeben eine Einzahlung auf meine electum Wallet getätigt und diese wurde direkt an eine mir unbekannte Adresse:

bc1q3q60qrstxp2g0rn87jmha7a56nex45x95ff4aw

versendet.

Du hast dir also von deiner Electrum Wallet eine Empfangsadresse generieren lassen, diese in die Zwischenablage kopiert und dann für den Transfer von z.B. einer Börse dort für eine Auszahlung in deine Electrum Wallet wieder eingefügt.

Hast du beim Einfügen die Transfer-Zieladresse nochmal sorgfältig überprüft? (Es genügt ja eine Handvoll Zeichen der Zieladresse am Anfang (nach dem 1..., 3... oder bc1q...) und vom Ende der Adresse zu überprüfen.)

Auf was für einen Rechner ist deine Electrum Wallet installiert und was ist da sonst noch so drauf? Alltags-Computer? Hast du irgendeine neue Software vor kurzem installiert? Sonst irgendwelche Auffälligkeiten auf dem verwendeten Rechner?

vor 22 Stunden schrieb vike28:

Die Transaktion an die unbekannte Adresse, wurde sofort bei Eingang der coins weitergeleitet.

Es stand bei der ausgehenden Transaktion: 
Unconfirmed parent

Vielleicht könntest du die Transaktions-IDs deiner eigenen Transaktionen hier veröffentlichen? (Musst du aber nicht, wenn du nicht möchtest.)

Ich interpretiere das folgendermaßen und bitte dich das zu bestätigen oder zu korrigieren:

Dein Transfer von woauchimmer auf eine Empfangsadresse wurde im Bitcoin-Netzwerk "registriert" (dein Electrum zeigte die Einzahlung zunächst als "Unconfirmed" an, die Transaktion war zunächst noch unbestätigt. Electrum würde das bis zur Bestätigung in einem Block dann als "Unconfirmed" anzeigen. Bevor deine Einzahlung auf eine Empfangsadresse bestätigt wurde (nochmal: hast du die überprüft und war die korrekt?), tauchte zeitnah eine zweite Transaktion mit der "Unconfirmed parent" auf, die deine Einzahlung auf deine Electrum-Wallet-Adresse auf die dir unbekannte Zieladresse bc1q3q60qrstxp2g0rn87jmha7a56nex45x95ff4aw sozusagen "weitergeleitet" hat.

Das Ausgeben deiner anscheinend noch unbestätigten Einzahlung in deine Electrum Wallet dann in Richtung der unbekannten Adresse erfordert allerdings den Besitz des Private Keys deiner Einzahlungsadresse. Das ist sonst anders nicht möglich.

Da aber vorhandenes Guthaben dir bisher nicht aus deiner Electrum Wallet gestohlen wurde, spricht das nicht so sehr dafür, daß ein Dieb deine Mnemonic Wörter deiner Electrum Wallet kennt.

Der komplette Ablauf dieser unschönen Sache ist noch etwas nebulös, finde ich. Vielleicht kannst du das nochmal so im Detail darstellen, daß man die unklaren Stellen auflösen kann. Wichtig wäre meines Erachtens Schritt für Schritt darzulegen, wie du vorgegangen bist. Angefangen, von wo wurde Electrum genau heruntergeladen, wie verifiziert, wann wurde die Electrum Wallet erstellt. Wie hast du dann genau die Einzahlung in deine Electrum Wallet vorbereitet und durchgeführt. Von wo genau sollte in deine Electrum Wallet eingezahlt werden?

Mir ist noch etwas rätselhaft, wie die Schadsoftware an den bzw. die beiden Private Keys deiner einen oder zwei Empfangsadressen deiner Electrum Wallet gekommen sein soll. Auf jeden Fall ist da etwas faul.

 

Aktuell und bisher sind auf die Adresse bc1q3q60qrstxp2g0rn87jmha7a56nex45x95ff4aw vom 19.1.2023 an 29 Transaktionen eingegangen und bisher sind alle UTXOs mit einer Summe von 0,07445513 BTC nicht weiter ausgegeben worden.

Spannend!

Bearbeitet 22. Januar 2023 von Cricktor

[vike28]

Am 22.1.2023 um 09:03 schrieb rheingold:

Oder wurden die Transaktion an deine Electrum-Adresse geschickt und von da aus an bc1q3q60qrstxp2g0rn87jmha7a56nex45x95ff4aw?
Im ersten Fall dürfte dein PC im 2 Fall deine Electrum-Wallet kompromittiert  sein.

So war es.

[mahatma]

vor 22 Minuten schrieb vike28:

So war es.

wie @rheingold weiter oben richtig angemerkt hat, in diesem fall dürfte deine electrum-wallet kompromittiert sein.  Sie scheint ja selbstständig ne Transaktion von deiner adresse, auf der die sats erstmal angekommen sind (ist das soweit richtig?) auf ne weitere unbekannte adresse durchgeführt zu haben.

also handelt es sich um 2 unterschiedliche transaktionen? wieviel blöcke sind denn zwischen den beiden transaktionen?

hast du in deiner wallet sonst noch guthaben? weil eigentlich müsste sich die wallet bei kompromittierter electrum version selbst leeren, denk ich mal... oder hast du guthaben drauf, das immer noch drauf ist, und nur neu einkommende transaktionen werden "weitergeleitet"?

 

Bitte beantworte wenns geht die Frage nach den Transaktionen. Sind es zwei unterschiedliche, abgeschlossene und in Blöcke aufgenommene Transaktionen? Wieviel Blöcke sind dazwischen?

 

PS: ok, tschuldigung, lesen hilft, also du hast Guthaben in der wallet, welches nicht geleert wurde?? ok.... dann beantwort doch bitte die frage nach den transaktionen, du sagst nur, wurde "direkt weitergeleitet"... sinds zwei unterschiedliche transaktionen? in welchen Blöcken? geh bitte auf die konkrete frage ein, das hilft ja allen wenn sowas geklärt, verstanden wird.

Bearbeitet 23. Januar 2023 von mahatma

[mahatma]

ok, mal bischen durch den blockexplorer geklickt...

scheint tatsächlich immer 2 transaktionen in einen block zu packen, einmal die ursprüngliche, und dann direkt ne tx mit dem gleichen betrag, von der adresse des besitzers an die des betrügers...

beispiel in block 773139:

tx    14f8868206697e67b3b042c0fc246869db0065d6fd72f15f8dddf62ad12554da

22145 sats auf bc1qj740ag8uw9pp4tp2rkee924jznc746yqcvc0eq46yqcvc0eq eingezahlt.

im gleichen block 

tx   de1f803dbfcdfe2a097f01a7608c4c068ff002c8508ae6983198db29d3d6c848

22145 sats auf bc1q3q60qrstxp2g0rn87jmha7a56nex45x95ff4aw45x95ff4aw

ausgezahlt...

den spass hat er auf der gleichen adresse 5 mal gemacht, als gebühr immer ne glatte summe, 20000, 10000 oder 5000 sats angeboten.

 

wusste gar nicht das das geht... man kann ne transaktion gleich hinterherschieben, ohne das die erste bestätigt wurde? wieder was gelernt...

Aber das bedeutet ja ganz klar, der Angreifer kennt den private Key der Zieladresse.

und gleichzeitig ist die Wallet nicht abgeräumt, also kennt er den Seed der Wallet wohl nicht??

Das passt eigentlich nicht so richtig zu ner manipulierten Electrum Version, oder? Oder doch, und der Angreifer lässt sich Zeit?

 

Würde jedenfalls schleunigst mein Guthaben in Sicherheit bringen, aber NICHT MIT DER GLEICHEN WALLET!!!

Bzw: Kann der Angreifer das nicht unterbinden? Und schickt selbst ne Tx los, sobald er sieht das die Wallet geleert werden soll?

Würde den betroffenen PC auslassen, nen neuen Seed erstellen, in ner neuen, sauberen Umgebung ne garantiert saubere Wallet installieren (doppelt und dreifach überprüfen von checksum, signature etc...), mit dem alten Seed starten und das ganze Guthaben auf ne Adresse des neuen Seeds schicken... dabei gut tx gebühren reinpacken, damit das schnell über die bühne geht. könnte ein angreifer den mempool überwachen und sofort ne "falsche" tx hinterherschicken und die echte rausdrängen?

Was sagen da die Experten dazu??

 

 

[willi9974]

vermutlich hat der Angreifer einen oder mehrere PrivKeys der kompromittierten Wallet oder die Walletsoftware selbst kompromittiert und macht per RBF solange die TX noch im Mempool ist eine TX replacement auf seine Wallet

https://en.bitcoin.it/wiki/Transaction_replacement

 

Frage:

Was passiert wenn du eine TX von einem clean Device aus machst und nur 5 EUR oder so versendest, wird das auch replaced?

Man könnte ja ein neues Gerät aufsetzen und eine kleine Test TX machen, nicht gleich die ganzen BTC in Sicherheit bringen, nicht das der Ansatzpunkt nicht der kompromittierte PC ist sondern etwas extern läuft (Keys abgesaugt / mempool monitoring aktiv für alle TX mit bekannten keys welche dann automatisch mit TX replacement umgeleitet werden)

Viele Grüße
Willi

 

[Jokin]

vor 2 Stunden schrieb mahatma:

Was sagen da die Experten dazu??

Das kann eigentlich nicht sein, dass das alte Guthaben noch drauf ist und nur neu reinkommendes Guthaben davon betroffen ist.

Prüf das nochmal.

vor 3 Stunden schrieb willi9974:

und macht per RBF

Nein, das ist kein RBF, denn dazu müsste der Angreifer den PrivKey des ursprünglichen Absenders kennen und die Transaktion in die Wallet wäre geändert anstatt dass es eine weitere geben würde.

[willi9974]

Ich hatte Verstand der Betroffene hatte etwas versendet und im Zielwallet ist es nicht angekommen, da es mit einer anderen Transaktion ersetzt wurde, daher der Gedanke. Schickt er die Transaktion von einem Exchange ist das natürlich ausgeschlossen. Schickt er es von einem anderen privaten wallet kann das schon sein.

[Jokin]

Gerade eben schrieb willi9974:

Ich hatte Verstand der Betroffene hatte etwas versendet und im Zielwallet ist es nicht angekommen, da es mit einer anderen Transaktion ersetzt wurde, daher der Gedanke. Schickt er die Transaktion von einem Exchange ist das natürlich ausgeschlossen. Schickt er es von einem anderen privaten wallet kann das schon sein.

Doch, es ist in der Wallet angekommen - von da aus wurde das Guthaben weiter geschickt.

[willi9974]

Dann konzentriert es sich auf das Wallet oder die Software was noch auf dem Laptop / PC läuft. Außer es wird auch weitergeleitet wenn das vermeintlich kompromittierte Device offline ist. Dann wird’s interessant. 

[Tschubaka]

Am 22.1.2023 um 00:10 schrieb vike28:

Wo liegt das Problem?

So wie es aussieht ist dein Gerät verseucht. Windows-Computer oder ein Handy/Tablet? JA das kann ruckzuck verseucht sein, wenn da noch jede Menge andere Apps, Spiele, Systemtools usw. drauf sind dann ist eine Verseuchung manchmal schon quasi garantiert.

Hast du die Privatekeys von deiner Electrumwallet irgendwo gesichert? Aufgeschrieben? Auf einem USB-STick gespeichert? Irgendwas als Backup?

Wenn du die PRIVATEKEYS hast dann kannst du auf einem sauberen (idealerweise Linux) Gerät eine Wallet installieren. Dort kannst du die Privatekeys importieren. Dadurch wird von dieser Wallet eine Transaktion ausgelöst und die Coins von deiner verseuchten Wallet werden VON DER NEUEN WALLET dann importiert.

Dieser Schritt ist wichtig. Denn würdest du die Coins von der VERSEUCHTEN Wallet aus versenden dann landen die erneut im Nirwana.

Aber durch das IMPORTIEREN der Keys vermeidest du das. Weil eben die NEUE Wallet dann diese Transaktion vornimmt.

Der Seed nutzt in diesem Falle garnix denn wenn du den in eine neue Wallet importierst dann wäre nichts gewonnen. Denn der Angreifer kennt diesen Seed warscheinlich bereits. Somit hätte er dann auch auf eine neue Wallet wieder Zugriff.

Falls du die Privatekeys nicht gesichert hast, nunja dann musst du dich mit iancoleman Mnemonic Seed Converter auseinandersetzen. Das würde ich aber eigentlich nur jemand empfehlen der Erfahrung im Umgang mit Seeds und Keys usw. hat.

[mahatma]

vor 3 Stunden schrieb Jokin:

Das kann eigentlich nicht sein, dass das alte Guthaben noch drauf ist und nur neu reinkommendes Guthaben davon betroffen ist.

Prüf das nochmal.

Das war Aussage des TE, er meint im ersten Post das Guthaben auf seiner Elektrum-Wallet sei noch drauf, nur wenn er was hinschickt wirds direkt weitergeschickt...

Die Adresse die ich mir im Explorer angeschaut hab wurde jedesmal geleert, war allerdings auch vor dem ersten Eingang leer. Und dann ging 5mal was rein, und sofort, jedesmal im gleichen Block, wieder raus.

 

 

vor 2 Stunden schrieb Jokin:

Doch, es ist in der Wallet angekommen - von da aus wurde das Guthaben weiter geschickt.

Wie läuft das denn, wieso kann in ein und dem selben Block ne Transaktion in ner Adresse "ankommen" und sofort weitergeschickt werden? Muss da nicht erstmal eine Bestätigung her, damit die UTXO in das UTXO-Set kommt? Und somit als Eingang für ne Transaktion herhalten kann?

Offensichtlich nicht, war mir aber nicht bekannt dass das möglich ist... 

 

[Cricktor]

Es widerspricht nicht den Konsensregeln, ein noch im Mempool befindlichen unbestätigten UTXO als Input einer weiteren Transaktion zu nutzen. Du musst nur den Private Key haben, um den unbestätigten UTXO ausgeben zu können. Für geleakte oder zu schlechte Brainwallets und somit öffentlich bekannte Private Keys ist das gang und gäbe. Da gibt es vollautomatische Bots.

Z.B. Transaktion 4d9837b2ab7951abe9962b8ce1b22f30b57222807f9fbccfb95029231c1bf5f1 zahlt 17945 Sats auf die Shit-Brainwallet SHA256("correct horse battery staple"), siehe xkcd.com,  (interessante Lektüre hierzu: https://pastebin.com/jCDFcESz) und innerhalb kurzer Zeit erscheint die Transaktion 4bf00c37b14a5185533e7e1273ae6dc7aeaf010748de0d67db8e186d89ff36f2, die die 17945 Sats auf eine Bot-Wallet entwendet. Beide Transaktionen wurden dann im Block 767844 bestätigt.
Da gehen auch größere Beträge ruckzuck perdu: z.B. 2.120.713 Sats, eingezahlt auf Adresse 1LagHJk2FyCV2VzrNHVqg3gYG4TSYwDV4m (Private Key ist binär 0000...0010, wie blöd muss man sein?) mit Transaktion a149d13dd2dcc44366b447de2fc8c15ed7289e93ab3c72a94e94bf80be9b3584, die auch im selben Block von einem Bot wieder abgezogen wurden.
Der letzte mir, ich tracke nur wenige geleakte Private Keys und deren Adressen aus Neugier und Kurzweil, bekannte sehr große Betrag waren 0,9 BTC, Ende Juli 2022, die auch wieder im selben Block geklaut wurden. Einzahlung war 37e166a1e52e96bcfe535738082e328ef8db56aafd6945d9cad6f2afdb34b4a4 auf die dümmste "Brainwallet", die man sich vorstellen kann: SHA256("") [leerer String]... damals ca. 19.000$ futsch, ohne Worte!!

Wallets haben häufig eine Option, mit der du festlegen kannst, ob ein unbestätigter UTXO als Input einer weiteren Transaktion verwendet werden darf.

vor einer Stunde schrieb mahatma:

Wie läuft das denn, wieso kann in ein und dem selben Block ne Transaktion in ner Adresse "ankommen" und sofort weitergeschickt werden?

Als es RBF (Replace-By-Fee) als Opt-in noch nicht gab, war CPFP (Child(-Transaction)-Pays-for-Parent(-Transaction) ein Weg, eine Parent-Transaktion mit zu geringer Fee trotzdem aus dem Mempool in einen Block zu befördern, wenn man nämlich durch eine Child-Transaktion einen der Outputs der Parent-Transaktion mit lukrativ ausreichender Fee für den oder die nächsten Blöcke ausgibt. Hierbei wird auch ein unbestätigter UTXO durch eine weitere Transaktion ausgegeben und zwingt die Parent-Transaktion in den Block der Child-Transaktion.

Bearbeitet 23. Januar 2023 von Cricktor

[mahatma]

vor 1 Stunde schrieb Cricktor:

Der letzte mir, ich tracke nur wenige geleakte Private Keys und deren Adressen aus Neugier und Kurzweil, bekannte sehr große Betrag waren 0,9 BTC, Ende Juli 2022, die auch wieder im selben Block geklaut wurden. Einzahlung war 37e166a1e52e96bcfe535738082e328ef8db56aafd6945d9cad6f2afdb34b4a4 auf die dümmste "Brainwallet", die man sich vorstellen kann: SHA256("") [leerer String]... damals ca. 19.000$ futsch, ohne Worte!!

o...m..g..., ich fass es nicht!!!! ich glaub ich lern bots programmieren....

@vike28: haste vielleicht ne brainwallet benutzt?? oder ne ganz normale BIP39 Wallet, mit Seed, und die benutzte Adresse ist eine normale, vom Seed abgeleitete Adresse??

vor 1 Stunde schrieb Cricktor:

Als es RBF (Replace-By-Fee) als Opt-in noch nicht gab, war CPFP (Child(-Transaction)-Pays-for-Parent(-Transaction) ein Weg, eine Parent-Transaktion mit zu geringer Fee trotzdem aus dem Mempool in einen Block zu befördern, wenn man nämlich durch eine Child-Transaktion einen der Outputs der Parent-Transaktion mit lukrativ ausreichender Fee für den oder die nächsten Blöcke ausgibt. Hierbei wird auch ein unbestätigter UTXO durch eine weitere Transaktion ausgegeben und zwingt die Parent-Transaktion in den Block der Child-Transaktion.

cool, danke, was gelernt!

Ja, danach siehts in diesem Fall ja aus, stand ja anscheinend was von "unconfirmed parent" bei der Transaktion...

 

Bleibt die Frage, woher der Angreifer den Private Key der einen Adresse kennt, aber nicht die restliche Wallet leerräumt... was man bei ner manipulierten elektrum version eigentlich erwarten sollte...

@vike28, hast du da noch was zu zu sagen? Jetzt interessierts uns mittlerweile...

[as13h]

Hallo, bin neu hier und finde diesen Vorgang beunruhigend.

1.) Ich habe electrum frisch runtergeladen und bekomme bei der Verifikation folgendes:

gpg: assuming signed data in 'Electrum-4.3.3.tar.gz'
gpg: Signature made Tue 03 Jan 2023 02:20:52 PM CET
gpg:                using RSA key 637DB1E23370F84AFF88CCE03152347D07DA627C
gpg: Can't check signature: No public key
gpg: Signature made Tue 03 Jan 2023 12:15:40 PM CET
gpg:                using RSA key 0EEDCFD5CAFB459067349B23CA9EEEC43DF911DC
gpg: Can't check signature: No public key
gpg: Signature made Tue 03 Jan 2023 11:57:29 AM CET
gpg:                using RSA key 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
gpg: Good signature from "Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org>" [unknown]
gpg:                 aka "ThomasV <thomasv1@gmx.de>" [unknown]
gpg:                 aka "Thomas Voegtlin <thomasv1@gmx.de>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 6694 D8DE 7BE8 EE56 31BE  D950 2BD5 824B 7F94 70E6

Im .asc File sind drei pubkeys, aber offenbar gehört nur die älteste Signatur zu ThomasV, die beiden neueren sind unbekannt.
(Sorry, falls das was Triviales ist, das nur ein Newbie wie ich nicht kapiert.)

Ich habe das Programm mit einer kleinen TX getestet, und alles funktionierte wie es soll.

Übrigens gingen gestern morgen auf die erwähnte Adresse bc1q3q60qrstxp2g0rn87jmha7a56nex45x95ff4aw 100 BTC ein, das ist keine Kleinigkeit. Das deutet doch auf eine gewisse kriminelle Energie und Professionalität hin. Die anderen Vorgänge waren vielleicht nur Tests.

Bearbeitet 25. Januar 2023 von as13h
falsch formatiert

[mahatma]

vor 4 Stunden schrieb as13h:

Hallo, bin neu hier und finde diesen Vorgang beunruhigend.

1.) Ich habe electrum frisch runtergeladen und bekomme bei der Verifikation folgendes:

gpg: assuming signed data in 'Electrum-4.3.3.tar.gz'
gpg: Signature made Tue 03 Jan 2023 02:20:52 PM CET
gpg:                using RSA key 637DB1E23370F84AFF88CCE03152347D07DA627C
gpg: Can't check signature: No public key
gpg: Signature made Tue 03 Jan 2023 12:15:40 PM CET
gpg:                using RSA key 0EEDCFD5CAFB459067349B23CA9EEEC43DF911DC
gpg: Can't check signature: No public key
gpg: Signature made Tue 03 Jan 2023 11:57:29 AM CET
gpg:                using RSA key 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
gpg: Good signature from "Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org>" [unknown]
gpg:                 aka "ThomasV <thomasv1@gmx.de>" [unknown]
gpg:                 aka "Thomas Voegtlin <thomasv1@gmx.de>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 6694 D8DE 7BE8 EE56 31BE  D950 2BD5 824B 7F94 70E6

Im .asc File sind drei pubkeys, aber offenbar gehört nur die älteste Signatur zu ThomasV, die beiden neueren sind unbekannt.
(Sorry, falls das was Triviales ist, das nur ein Newbie wie ich nicht kapiert.)

 

Der Fingerprint stimmt mit dem von Amsi bestätigten überein, also hast du eine korrekte, nicht manipulierte Version.

 

vor 4 Stunden schrieb as13h:

Übrigens gingen gestern morgen auf die erwähnte Adresse bc1q3q60qrstxp2g0rn87jmha7a56nex45x95ff4aw 100 BTC ein, das ist keine Kleinigkeit. Das deutet doch auf eine gewisse kriminelle Energie und Professionalität hin. Die anderen Vorgänge waren vielleicht nur Tests.

Krasse Nummer. Das waren Bitcoin von 2012. Seitdem auf der Adresse 1PEdKJGigoAzjXb2uWpGGRJLsi4n3HvJtE, gestern verschoben, und sofort abgefischt...

Bekommen wir von @vike28 noch genauere Infos zu seiner Elektrum Wallet und seiner benutzten Adresse?  BIP39, Brainwallet, Paperwallet oder was anderes?

 

 

 

[..::. o.Z.o.n.e .::..]

vor 20 Minuten schrieb mahatma:

Der Fingerprint stimmt mit dem von Amsi bestätigten überein, also hast du eine korrekte, nicht manipulierte Version.

 

Krasse Nummer. Das waren Bitcoin von 2012. Seitdem auf der Adresse 1PEdKJGigoAzjXb2uWpGGRJLsi4n3HvJtE, gestern verschoben, und sofort abgefischt...

Und wenn Du noch weiter zurück gehst ... wenn ich mich nicht irre. ;o))

https://mempool.space/address/14t9wWayqbtULWCBsijSvK7BYbHUzvyzKH