Bitcoins von Wallet gestohlen. Was tun?

An dieser Stelle möchte ich vor https://bitcoinpaperwallet.com warnen. Dort auch offline erstellte Paperwallets sind nach Ende 2018 als nicht mehr sicher anzusehen und viele haben bereits beträchtliche Mengen an Coins verloren. (Gilt sehr wahrscheinlich auch für ltcpaperwallet.com und dogepaperwallet.com, da es, soweit ich das mitbekommen habe, derselbe Website-Besitzer dahinter steckt.)

TL;DR: Finger weg von der Seite und auch offline niemals nutzen!! Leider taucht die oben genannte und inzwischen als Scam zu bezeichnende Website sehr weit oben in Google Suchergebnissen auf, wenn man nach „Bitcoin paper wallet“ sucht. @Google: ihr macht einen Scheißjob, um vor betrügerischen Sites zu schützen (ich bin mir sicher, daß die Website schon öfter bei Google als betrügerisch gemeldet wurde)!

Kurzer Hintergrund:
2013 hat Canton Becker die Website in in diesem Thema auf bitcointalk.org vorgestellt. Der Code zur Erzeugung von zufälligen Private Keys war Open Source und an dem von bitaddress.org angelehnt, der als „sauber“ angesehen werden kann, weil zigfach geprüft (Achtung: stets und ausschließlich „offline“ verwenden!).
2014 habe ich selbst den Code von bitcoinpaperwallet.com geprüft und nachdem mir der „sauber“ aussah auch mindestens zwei Paperwallets damit offline erstellt und mit Coins beladen. Eine davon wurde im Frühjahr 2021 familienintern entleert, die andere ist immer noch mit Coins beladen und ich betrachte die nachwievor als sicher.
Im August 2018 hat Canton Becker die Website verkauft. Sein Original-Code der Seite ist auch weiterhin auf Cantons Github zugänglich und wohl auch immer noch genauso „sauber“, wie zuvor von anderen auch auf bitcointalk.org diskutiert und geprüft.

Der oder die neuen Besitzer der Website haben sehr merkwürdigen Javascript-Code eingebaut, der sich eine gewisse Mühe gibt, zu verschleiern, wie hier Seeds gewählt werden. Ich bin kein Code-Analyse-Profi, aber man kann Stellen im Code der Seite finden, wo klar wird, daß hier Private Keys für die Gauner vorhersehbar berechnet werden bzw. Seeds für verwendete Pseudozufallsgeneratoren vorhersehbar sind.
Auch wenn die Seite so tut, als könne ein User auch offline Entropie durch Mausgezappel und Anderes erzeugen, bekommt ein Anwender dieser Seite einen Code untergejubelt, der Private Keys aus einem sehr endlichen Seed-Suchraum generiert. Für den Anwender sieht es so aus, als würden zufällige Private Keys generiert, was aber nicht der Fall ist. Ich konnte das mit einfachen Modifikationen des Javascript-Codes für mich leicht nachweisen (und ich bin kein Coder).

Wer auch immer für den Javascript-Code der Website verantwortlich ist, kann damit erstellte Private Keys offenbar nachvollziehen und Paperwallets abräumen, was auch in der Vergangenheit mehrfach passiert ist und vermutlich weiterhin passieren wird.

Siehe auch:

5 „Gefällt mir“