Nachdem mich das Thema nicht loslässt, habe ich nochmal ein paar Stunden recherchiert bzw. versucht Flows nachzuvollziehen.
Erkentnisse.
bc1qdw8vtyrtycspfg0mpftltakwjx8e8ygkauqxap (Scammeradresse) ist ja die Adresse an die das Geld der Bitbox ausgezahlt wurde.
die Adresse besitzt 64 weitere Eingänge, die ich versucht habe nachzuverfolgen.
Kommen von ganz verschiedenen Providern:
coinbase, bitpanda, bitstamp, bittrex, coinpayments.net, binance, bitcoin.de, kraken, binance, nicehash, bybit, Luno, VIABTC
Der größte Eingang auf die Scammeradresse kommt von 18PKcCgt1rrqQ8aVbThtLfpWQMbPQv4s5Z (13 BTC), wenn man das nachverfolgt landet man im Ursprung bei Mt. Gox und BTC-e
Ein Ausgang aus der Scammeradresse war bc1q4tz9wus88t0s7pvr4m9tfnjk35n6su58mvl3ph
18PKcCgt1rrqQ8aVbThtLfpWQMbPQv4s5Z hat eine Verbindung zu der Ausgangsadresse: Er hat einen kleinen Testbetrag auf diese Ausgangsadresse geschickt.
Somit spekuliere ich, dass Gelder von Mt. Gox und BTC-e und die ganzen gehackten BTC aus vielen Exchanges gemischt und weiter über Coinjoin-Adressen weitergeleitet wurden.
Wirklich schade, dass wir nie erfahren werden, was hier genau passiert ist.
@Soapp
Zum Kauf und transferieren auf die Bit Box habe ich immer nur mein Handy benutzt.
Mein Mann hat seine Coins über sein Handy mit seinem eigenen App Zugang gekauft.
Ich kaufe meine Coins bei Coinfinity und sende sie dann über meine kopierte Empfangsadresse auf die Bit Box.
Ich habe auf meiner Wallet
3 Konten ( Empfangsadressen)
meine eigene
Enkeltochter
für meinen Mann auf der noch keine Coins waren
Dann habe ich bei Coinfinity 2 Sparpläne angelegt,
einen für mich und einen für meine Enkeltochter,
die Coins werden ebenfalls über die kopierte Empfangsadresse auf die Bit Box gesendet
Ich selbst habe keine Transaktion vorgenommen.
Wie schon gesagt wollte ich die Coins nur zum Sparen und Halten.
Die Käufe liefen immer gleich ab und ohne Probleme.
Bitpanda war eine einmalige Transaktion.
Alle weiteren Coins habe ich über meine Coinfinity App gekauft.
@BTCommander
Eine Verifizierung musste ich nicht vornehmen
Das beisst sich jetzt aber mit der Aussage, dass dein Mann selber Coins mit der Bitbox-App gekauft hat.
Dein Mann hatte also Zugriff auf dein Vermögen ?
Was mir die ganze Zeit im Kopf herumschwirrt und wovor ich mich wirklich scheue zu fragen, ist Folgendes:
Ist dein Mann vielleicht auf einen Scam hereingefallen, bei dem versprochen wird, dass man die doppelte Menge an Bitcoin zurückbekommt, wenn man Bitcoin an eine bestimmte Adresse schickt? Er wollte es vielleicht für dich machen.
Eine Sache würde mich noch wahnsinnig interessieren, habe ich schon öfter gefragt: Wie wurden die Seedwörter versiegelt ?
PS: Kinder habt ihr auch, oder ? Wissen die was davon ?
Nein mein Mann hat mit meinen Käufen und meiner Bit Box überhaupt nichts zu tun.
Er hat über seinen eigenen. Account bei Coinfinity auf seinem Handy Coins gekauft. Diese wurden nicht auf meine Bit Box gesendet.
Ich hatte lediglich ein Konto in meiner Bit Box für ihn eingerichtet.
Auf das noch nichts gesendet wurde.
Also hat er mit dem ganzen Ablauf nichts zu tun. Seine Käufe sind bis heute seperat und kamen nicht mit meinem Handy und meiner Bit Box in Kontakt. Wie hatten vor seine Coins auf das für ihn eingerichtete Konto zu senden, als wir aber bemerkt hatten das meine Coins verschwunden waren haben wir das nicht gemacht.
Die Wörter hatte ich auf ein Blatt Papier geschrieben und diese dann in eine Wallet von Seedor geprägt. Den Umschlag habe ich versiegelt und so gekennzeichnet, dass wenn er geöffnet werden würde ich das sofort erkennen kann bzw. dass es auch niemand einfach austauschen könnte(Kennzeichnung nachahmen). Die Seedor Wallet habe ich mit den mitgelieferten Etiketten versiegelt
Ich denke dass wir dich als Auslöser des Hacks ausschliessen können.
Meiner Meinung nach hast du alles richtig gemacht.
Die Wörter nur notiert, nicht photgraphiert
Wörter in Stahl gestanzt und auch versiegelt
Tutorials gelesen, dich informiert
die 24 Wörter nie online irgendwo eingegeben
Was dich vor dem Hack evtl. beschützt hätte wäre ein 25. Wort gewesen
Hast du dich damit schon mal beschäftigt ?
Selbst wenn jemand deine Umschläge öffnet oder deinen Seedor findet, das 25. Wort zum Zugriff auf die Bitbox ist wo anders gesichert. Damit meine ich nicht das Passwort der Bitbox!
Habt ihr eigentlich schon mal alle eure Brokeraccounts gecheckt ? Confinity, Bitpanda etc…
Nicht dass jemand versehentlich das Geld dorthin zurücküberwiesen hat.
Wusste dein Mann das Passwort der Bitbox ?
Wussten deine Kinder das Passwort der Bitbox ?
War das Handy dabei, als die 24 Wörter erzeugt, aufgeschrieben, gestanzt wurden? Was ich meine, konnte die vordere oder hintere Kamera des Handys die Wörter “sehen” und eventuell aufzeichnen. Das wäre nämlich der wahrscheinlichste Angriffsvektor, ein von vorneherein gehacktes Handy.
Vielleicht auch nur eine gefälschte BitBox-App. Im Prinzip reicht bereits letzteres, wenn dir die fake-BitBox-App bei jeder Transaktion ihre eigenen (nicht von der BitBox erzeugten) Adressen anzeigt, könntest du ganz normal mit BitBox und App arbeiten und würdest gar nichts merken. Die fake-Adressen hätten mit deinen 24 Wörtern gar nichts zu tun, aber die fake-App könnte trotzdem Transaktionen durchführen, da sie ja intern den privaten Schlüssel zu ihren selbst erzeugten Adressen gespeichert hat.
Wenn ich das richtig verfolgt habe, wurde bereits verneint, dass irgendwelche Kameras die Möglichkeit gehabt hätten.
Wobei auch die Frage, ob bei Einrichtung oder Seed stanzen jemand dabei war, noch nicht beantwortet wurde (soweit ich das richtig überflogen habe).
Falls eine andere Person dabei ist, darf natürlich auch diese nicht mit dem Handy nebenher rumhantieren, um genau solche Kameraangriffe zu vermeiden.
Es wurde auch bereits erwähnt, dass die Adresse in der App und auf der BitBox genauestens abgeglichen wurden. Da hätte eine Fake App auffallen müssen.
Oder es gibt Fake Apps, die einerseits eine korrekte Zusammenarbeit mit der BitBox visualisieren, aber im Hintergrund doch anders arbeiten.
Aber da die Coins ja über die von der BitBox angezeigten Adresse gelaufen sind, eher unwahrscheinlich.
Am Ende wird irgendwas übersehen. Man hat ja gesehen, dass auf die Zieladresse einiges draufläuft - sicher keine Person aus dem Umfeld die sich bei mehreren die Wörter abgeschaut hat.
Handykamera gehackt, abgehört, what ever - technisch sicher alles möglich, aber auch einfach unwahrscheinlich bei eine Privatperson mit “geringen” Beträgen.
Vorausgesetzt die Bitbox hält was sie verspricht und was dokumentiert ist - beim erstellen der BTC adresse wird kein privat key verwendet, nur wenn eine Transaktion signiert wird und das ist hier auch nicht der Fall (correct me if im wrong). Somit scheidet die Fake software ja auch aus. Und würde es hier eine Sicherheitslücke geben hätte das ein ganz anderes Ausmaß als ein Einzelfall.
Ich würde die Wallet mal als watch only wallet mit der Sparrow App verbinden. Vielleicht erschließt sich da einem mehr
Im Endeffekt finde ich die Bitbox02 (Leger im allgemeinen) als Risikofactor aus der Gleichung garnicht mal so unbedeutend. Trotz das sie eingeschweißt und vom Originalhersteller gekauft worden ist. Sicherheitschip hin oder her und so weiter.
Gäbe es dieses von Dir angedeutete Sicherheitsproblem bei der BitBox, wäre sicher nicht nur eine Bitbox betroffen sondern viele. Und wir hätte schon davon gehört.
Ein Anwendungsfehler oder eine Sache, die dem Threadersteller selbst nicht bewusst ist, ist nach wie vor 1.000x wahrscheinlicher in meinen Augen als dass die BitBox hackbar wäre.
Am Ende ist das auch für Hacker eine Kosten/Nutzen Rechnung. Nur um eine einzige Bitbox zu leeren lohnt sich der Aufwand einfach nicht. Heißt nicht, dass das zu 100% diesen Fall ausschließt, ist aber einfach sehr unwahrscheinlich.
Der Großteil der Angriffe, auch im Unternehmensumfeld, kommen über ganz simple Methoden rein wie phishing, social engineering, kein MFA aktiv, usw
Ja wie soll er das denn schon meinen?
Du stellst die These auf, dass die verwendete Bitbox als Sicherheitsrisiko nicht ausgeschlossen werden sollte, trotz all ihrer Sicherheitsmerkmale. Und das eben ohne jedwede Begründung oder Erklärung warum genau.
