Base64 Code von wallet.dat File

AndyKay · 29. Dezember 2023 um 08:27

Guten Morgen liebe Leute, bin begeistert, dass ich das Forum gefunden habe, gibt ja kaum hilfreiche deutschsprachige Foren🥺

Ich habe eine Frage, vielleicht kann mir ja jemand weiterhelfen, es betrifft das Decodieren von einer alten wallet.dat Datei, die ich vererbt bekommen habe, besser gesagt, es ist der Computer meines verstorbenen Onkels, worauf sich diese Datei befunden hat, der Computer und die Datei dürften gleich alt sein, soweit ich sehen konnte, wurde die wallet.dat Datei 2011 erstellt. Darauf befinden 0,01xxxx BTC.

Zugegeben, ich bin technisch nicht der Versierteste und ich habe mich mithilfe von Onkel Google umgesehen, dabei habe ich gelesen, dass ich aus dem File den BASE64 Code ziehen kann und wenn ich diesen Code umwandle, hätte ich das Passwort.

Soweit so gut, ich habe von der wallet.dat Datei den Base64 Code erhalten, der hat über 5 Millionen Zeichen und sieht (nicht vollständig) so aus:

AAAAAAEAAAAAAAAAYjEFAAkAAAAAEAAAAAkAAAAAAACVAwAAAAAAAAAAAAAAAAAAIAAAALoTvgEFCAAAPua9qIUxAA……ca. 5 Millionen weitere Zeichen!

Decodiere ich das, bekomme ich keine reine Zeichenfolge, sondern es sieht dann so aus:

=T��|-;:6F[*w)�� fromaccount�n1034 timesmart 1300202056��}��#�tx�&vQ,P$=/S~6d5ubGb~Y[��1[X1~0$v fx)��G0D d[ꎹka|OvkӘǟXюz
((I=QVP+o.ݑGAfQLMFjw)w]w
aIO϶4}uwHX> !``L��vbܶ"~`4gv)p@4��v.UN<I3VL

Das ist auch nur ein kurzer Auszug, denn im Texteditor hat diese Zeichenanzahl über 25.000 Zeilen!?

Deshalb meine Fragen nun:

Was mache ich falsch?
Könnte das Wallet beschädigt sein?

Anmerkung: Wenn ich es in Bitcoin-Core lade, funktioniert es einwandfrei, bis auf die Tatsache, dass ich keinen Zugriff auf die BTC habe, aber ich sehe die Transaktionen, die BTC-Adresse(n) usw., wenn ich sie abfrage!

Cricktor · 29. Dezember 2023 um 12:25

Da du das Passwort oder die Passphrase der damaligen BitcoinGUI, heute Bitcoin Core, wallet.dat nicht kennst, hast du nur zwei Optionen. Dein Onkel hat es irgendwo dokumentiert und diese Dokumentation findet sich noch irgendwo (möglicherweise sogar auf seinem Computer, obwohl das natürlich nicht empfehlenswert und sicher gewesen wäre) oder du musst per Brute-force das Passwort oder die Passphrase der wallet.dat knacken. (Eine dritte Option ist natürlich, es gänzlich zu lassen, aber dieser Weg ist wohl nicht das, was du dir vorgestellt hast.)

Zum Knacken einer Bitcoin Core wallet.dat gibt es Anleitungen, wie man das mit Hashcat oder anderen optimierten Tools anstellen kann. Diese Anleitungen beschreiben auch, wie man die AES-verschlüsselte Portion der wallet.dat korrekt aus dieser extrahiert, um nur darauf den Brute-force-Angriff durchzuführen.

Sei vorsichtig bei Angeboten von Fremden! Nun sind 0,01xx BTC aktuell nicht soo viel, aber das kann und wird sich ja in Zukunft ändern. Gib’ die wallet.dat besser nicht weiter (Ausnahme im nächsten Absatz).

Es gibt natürlich einige zuverlässige und vertrauenswürdige Dienstleister, die so einen Passwort-Knacken-Angriff professionell durchführen können. Meines Wissens einer der vertrauenswürdigsten ist Dave von https://www.walletrecoveryservices.com/. ACHTUNG, es gibt Scammer mit sehr ähnlich klingenden Domain-Namen! Schau’ dich genau auf seiner Website um, beachte die Regeln der Kommunikation usw. usf.
Soweit ich mich erinnere, muss man bei Dave Nichts vorab bezahlen und zahlt einen prozentualen Anteil, meist 20%, einer geknackten Wallet im Erfolgsfall. Genauer gesagt bekommst du nur im Erfolgsfall die restlichen 80% der Wallet von ihm übertragen.

Allerdings wäre es gut, möglichst viel Details zum möglichen Passwort oder einer Passphrase zu wissen, was in deinem konkreten Fall kaum wahrscheinlich ist. Das schmälert natürlich erheblich die Erfolgsaussichten, außer dein Onkel hat ein wirklich mieses Passwort verwendet. Leider kann man einen Verstorbenen nicht mehr befragen… (Falls er eine Frau hatte, die noch lebt, sollte man diese befragen, weil es möglich ist, daß dein Onkel ihr etwas gesagt hat oder z.B. bestimmte Passwörter immer wieder verwendet oder nur geringfügig variiert hat. Eine mögliche Quelle für Passwort-Inspirationen ist ein Browser-Passwort-Speicher deines Onkels, der aber meist auch mit einem Master-Passwort gesichert ist oder sein kann.)

Meines Erachtens jede/r, der im Vorfeld Geld sehen möchte für so einen Service, ist ein Scammer.

sutterseba · 29. Dezember 2023 um 12:32

Eine deutschsprachige Alternative wäre auch ReWallet:

Gibt auch ein Interview mit zwei Mitarbeitern auf dem YouTube-Kanal: https://youtu.be/YRNTcjxhFW0

AndyKay · 29. Dezember 2023 um 13:01

Danke für die ausführliche Antwort! Den Computer habe ich schon durchsucht, hier ist nicht gespeichert, vielleicht hat er es ja wo anders notiert, mal sehen! Es handelt sich ja nicht um ein Vermögen, aber auch das wäre ein wenig Geld und es wäre nur schade, wenn es weg wäre.

Herumsenden würde ich sowas nicht, da lass ich es lieber vorher…

DANKE!

AndyKay · 29. Dezember 2023 um 13:04

Bedanke mich auch für diesen Tipp, werde ich mir dann nach Silvester Gedanken machen! Es eilt nicht.

AndyKay · 30. Dezember 2023 um 12:07

Ich möchte das Thema noch einmal kurz aufgreifen, da ich aus Langeweile und weil die Frau krank ist, noch ein wenig recherchiert habe und da bin ich auf einen Artikel gestoßen, der interessant klingt, ich zwar nichts damit anfangen kann, aber vielleicht kann mich jemand aufklären.

Da hat der geschrieben, er hätte ein Wallet via ECDSA Short Signature wiederhergestellt, dabei hat er mehrere Schritte durchlaufen:

Zuerst hat er sich eine Transaktion von seiner Wallet gesucht, es machte den Eindruck, dass es eine bestimmte Transaktion gewesen ist und nicht eine x-beliebige.

Dann hatte er auf einmal einen RawTX Wert und hat dann mit einem Tool, eine Signatur errechnet, die wie folgt ausgesehen hat:

R = 0x00000000000000000000003b78ce563f89a0ed9414f5aa28ad0d96d6795f9c63

S = 0x0a963d693c008f0f8016cfc7861c7f5d8c4e11e11725f8be747bb77d8755f1b8

Z = 0x521a65420faa5386d91b8afcfab68defa02283240b25aeee958b20b36ddcb6de

Hier meinte er dann, der Secret Key wäre Wert mit „K“ und der begann mit 0x7ffffffff……usw., im Anschluss hatte er folgende Signatur:

K = 0x7fffffffffffffffffffffffffffffff5d576e7357a4501ddfe92f46681b20a0

R = 0x00000000000000000000003b78ce563f89a0ed9414f5aa28ad0d96d6795f9c63

S = 0x0a963d693c008f0f8016cfc7861c7f5d8c4e11e11725f8be747bb77d8755f1b8

Z = 0x521a65420faa5386d91b8afcfab68defa02283240b25aeee958b20b36ddcb6de

Anscheinend hat er dann den Private Key mit folgender Formel berechnet:

Privkey = ((((S*K) – Z) * modinv(R,N))

Nach dem Berechnungsvorgang hatte er die WIF und HEX Key

Nun meine Gedanken dazu und auch meine Fragezeichen:

Auch wenn es nicht einfach aussieht, aber wenn das so funktionieren würde, dann wären Leute, die sowas verstehen eigentlich ja auch in der Lage, jedes BTC-Wallet zu hacken bzw. den PrivateKey herauszufinden, oder sehe ich hier etwas falsch

Was sind eigentlich diese K,R,S,Z Werte? Habe dazu zwar einige Seiten gefunden, ganz verstehe ich es nicht, weil R,S,Z kann man anhand einer Transaction auch Online errechnen, doch wo kommt dieser „K“-Wert für den Secret Key tatsächlich her:question:

Ist nur aus reinem Interesse, weil ich die Thematik, da es mich jetzt ja ein wenig betrifft, auch sehr interessant finde, vielleicht kann mir hier jemand das für „Dumme“ erklären😆

Auf alle Fälle wünsche ich Euch einen guten Rutsch ins neue Jahr:champagne:

Darlax · 11. März 2024 um 22:12

Hallo! Freut mich zu sehen, dass jemand ein ähnlichss Problem hat Ich habe heuer meine Leidenschaft in der Datenwiederherstellung entdeckt und investiere seit 2 Monaten gute 90-100h pro Woche, um meine Skills zu verbessern. Auf der Suche nach verschiedensten Daten in meinem aller ersten Laptop konnte ich Daten bis ins Jahr 2010 wiederherstellen und bin im Jahr 2011 über eine Bitcoin QT Datei gestolpert. Anscheinend habe ich mich damals bereits mit 14 Jahren mit BTC beschäftigt, an dass ich mich absolut nicht erinnern kann. Da ich leider nicht ganz fündig werde, ob Mining mit dieser Software möglich war, bin ich mir natürlichnauch nicht sicher, ob sich überhaupt etwas darauf befindet. Hab hier und da was von CPU Mining gelesen, was heutzutage nix wert ist, aber bedenke, wenn ich den Mining Prozess laufen gehabt habe, von Mitte 2011-2014(letzten Daten die ich dazu gefunden habe) könnte ja durchaus was drauf sein, oder ?

Meine Frage hierzu wäre mal, wie groß ist eine wallet.dat im Bytes ? (zum vergleichen mit meiner )

Gibts ne Möglichkeit vorher irgendwie nachsehen zu können, was und ob etwas darauf ist ? Ist der PublicKey irgendwo sichtbar in anderen Dateien ?