Habe ich evtl. eine Fake Bitbox erhalten?!

Hallo Leute,

Ich habe mir hier jetzt extra mal einen Account erstellt, weil mir das folgende Thema einfach keine Ruhe lässt:

Ich habe mir zwei Bitboxen bestellt und diese nun auch erhalten. Da ich absolut auf „Nummer-Sicher“ gehen wollte, habe ich nicht bei Amazon, sondern direkt bei Shift Crypto in der Schweiz bestellt. Was mich nun arg beunruhigt und wahrscheinlich auch dazu führen wird, dass ich die Teile zurückschicke ist die Tatsache, dass als Absender „Karl HODLmayr“ und nicht Shift Crypto auf dem Paket steht.

Die deutsche Versandadresse (so wie sie auf der Shift Crypto-Homepage angegeben ist) stimmt zwar, aber warum sollte ein seriöses Unternehmen wie Shift Crypto so einen Spaßnamen wie „Karl HODLmayr“ als Absender angeben?! Das is doch fishy as fuck. Ich mein, ich will doch mein Vermögen nicht auf ein Gerät von fucking Karl HODLmayr ziehen. Da habe ich doch kein peace of mind, sondern lebe in der ständigen Angst, dass eines Tages (wenn ich genug BTC für den Supply Chain Attacker akkumuliert habe) alles wech is.

Was würdet ihr tun? Habt ihr euer Paket auch von diesem ominösen Spaß-Namen zugeschickt bekommen?

Ich danke euch für Antworten!

3 „Gefällt mir“

Eigentlich zu deinem Schutz.

Bei einem Paket wo „Shift Crypto“ drauf steht weiß sofort jeder um was es hier geht - und das erhöht das Risiko einer Supply-Chain Attacke.

Der Absender „Karl HODLmayr“ ist mir persönlich jetzt auch neu, kann sein dass der Versand aus Deutschland unter diesem Pseudonym läuft. Das müsste @Stadicus dann bestätigen können.

Aber davon abgesehen, du musst dir eigentlich keine Sorgen machen. Eine gefälschte BitBox02 würde den attestation check mit der BitBox App nicht bestehen - das läuft über den Secure Element. Es kann nur von Shift signierte Software auf der Hardware installiert werden.

Wenn jemand die BitBox02 öffnet wird sie damit auch direkt physisch zerstört.

Mehr dazu im Threat Model:

2 „Gefällt mir“

Auch meine BitBoxen kamen vom lieben Karl :sweat_smile:. Also alles gut würde ich sagen.

2 „Gefällt mir“

Oh das ging ja schnell mit ner Antwort! Vielen Dank dafür! :slightly_smiling_face:

Ja, dass auf dem Paket nicht „Shift Crypto“, sondern nur „Shift Germany“ gedruckt wird, um das Risiko einer Supply Chain Attack zu minimieren, hatte ich auch schon gelesen.

Shift Crypto geben auf ihrer Webseite ja sogar extra die deutsche Versandadresse an:

Shift Germany
Tierbergstr. 4
70469 Stuttgart

damit man sich nicht wundert. Aber da steht eben nichts von „Karl Hodlmayr“, also warum steht es dann auf meinem Paket? Das finde ich schon ziemlich beunruhigend.

Und dass jeder secure chip vor Auslieferung seine individuelle Prüf-Nummer von Shift Crypto verpasst bekommt, hatte ich auch schon gelesen. Aber was ist, wenn der Chip zwar original ist, in der Bitbox sich aber (ich nenne es mal) eine technische scam-Erweiterung befindet, welche schlicht die Transaktion umleitet? D.h. der Chip ist zwar original, aber die Transaktion kommt nicht bei mir an. Ich bin aber technisch nicht wirklich versiert, weiß also nicht, ob sowas tatsächlich möglich ist :man_shrugging:t2:

Aber wie dem auch alles sei: Ich möchte gerne sicher sein, dass Shift Crypto „Karl Hodlmayr“ als Versender angibt, dann ginge es mir schon besser.

Das beruhigt ja schon etwas, oder wir haben bald beide keine coins mehr :grin:

Aber danke für Deine Antwort!

Wenn man die BitBox02 öffnet geht sie kaputt, habe ich oben geschrieben.

Ich würde mit der Antwort von @Bert auch meine Hand ins Feuer legen dass das mit dem Karl schon so stimmt! :slight_smile:

Den Wortwitz verstehst du aber schon, oder?

2 „Gefällt mir“

Aber wenn das safe ist, dass die Bitbox sich wirklich nicht zerstörungsfrei öffnen lässt, dann könnte sich Shift Crypto doch eigentlich jede Vorsichtsmaßnahme bzgl. Supply Chain Attack sparen. Aber gut wenn dem wirklich so ist, dann beruhigt das ja eigentlich zu 100 %.

Und ja, ich hab’s schon verstanden mit Karl HODLmayr (deshalb hab ich oben ja auch „Spaßnamen“ und das „HODL“ groß geschrieben).

Is ja auch echt witzig, quasi das Max Mustermann des Crypto-Spaces. Aber beim Gedanken, dass das Gerät dann evtl. nicht von Shift Crypto stammt, ist die Witzigkeit halt schnell verflogen.

1 „Gefällt mir“

Wir von Shift Crypto versenden in Deutschland aus unserem eigenen Lager, welches von unserem Partner, der Holdmayr GmbH betrieben wird (wir selber haben keinen Firmensitz in Deutschland). Da eine individuelle Person als Absender angegeben werden muss, lag ein möglichst deutsches Alias nahe.

Wir selber waren nicht direkt in die Namensgebung der Firma involviert, und ich kann verstehen, dass dieser kleine Inside-Joke bei dir gemischte Gefühle ausgelöst hat. Die meisten Rückmeldungen waren bislang aber positiv, und was wäre denn das Leben ohne kleine Easter Eggs? :wink:

Lange Rede, kurzer Sinn: es ist korrekt, dass du das Paket vom Karl Hodlmayr erhalten hast.

13 „Gefällt mir“

Hallo Stadicus,

Du hast meine Frage wirklich perfekt beantwortet:

Link zum Nachweis der Firmen-Existenz, Erklärung wie/warum es zu diesem Alias-Namen kam und ein abschließender Satz, der die Antwort klipp und klar auf den Punkt bringt. Top!

Nun traue ich mich meine coins auf meine erhaltenen Bitboxen zu transferieren :+1:

Ein Tipp von mir: Meines Erachtens wäre es von Vorteil, wenn ihr auf eurer Webseite bei der Angabe der deutschen Versandadresse auch das „Karl Hodlmayr“ mit aufnehmt. Das würde sicher viele Leute, die die Adresse verifizieren wollen beruhigen.

Liebe Grüße

2 „Gefällt mir“

Und bzgl. meines Tipps: So bescheuert es auch klingen mag, aber auch mir würde es damit besser gehen, wenn ich auf eurer Webseite das „Karl Hodlmayr“ lesen würde. (ich weiß, is für mich zwar jetzt eigentlich irrelevant, da Du mich ja nun aufgeklärt hast, aber ich bin halt etwas bescheuert :grin:)

1 „Gefällt mir“

Danke für dein offenes Feedback. Ich habe den Kontaktnamen für den Versand ab Deutschland nun übrigens auf „Jo Keller“ geändert. Wahrscheinlich ist das wirklich nicht der Ort für kleine Spässchen… :slight_smile:

Die Wissensdatenbank (unter BitBox Support) ist aktualisiert:

https://shiftcrypto.support/help/de-de/17-bestellungen-versand/170-von-wo-aus-wird-meine-bestellung-verschickt

4 „Gefällt mir“

Unsere Gesellschaft wenn jede Firma so schnell auf Feedback reagieren würde wie Shift Crypto:

12 „Gefällt mir“

Ich kann mich der Antwort von Sutterseba nur anschließen :+1::+1::+1:

Und was das easter-egg betrifft, so musste ich bei „Karl Hodlmayr“ ja zunächst auch schmunzeln, aber 2 Sekunden später dachte ich:

„Aber bei aller Lustigkeit, Du willst doch Deine coins nicht auf ein Gerät transferieren, welches Du von einer Fun-Adresse zugeschickt bekommen hast. Denn es geht hier ja nicht um’n bissl fun, sondern um meine life savings. Da will man keinen fun, sondern Verifizierbarkeit“.

Und weshalb hast Du’s jetzt in „Keller“ und nicht in „Hodlmayr“ geändert? Ich mein, Du wirst ja nich mal eben den Namen der Versandfirma geändert haben.

Falls es Dir lieber sein sollte, dass „Hodlmayr“ nicht im Zusammenhang mit Shift Crypto genannt wird (warum auch immer), dann bin ich gerne bereit, meinen gesamten thread hier zu löschen, musst Du nur sagen.

Liebe Grüße

1 „Gefällt mir“

Wir versenden weiterhin als „Shift Germany“, aber bei UPS muss man einen normalen Namen als Kontaktperson angeben. Das ist jetzt halt „Jo“ (den wir in echt haben, und auf für Newsletter etc. verwendet wird) und „Keller“ als gebräuchlichen deutschen Nachnamen.

1 „Gefällt mir“

O.k., alles klar, und vielen Dank nochmal für Deine Antworten und die Änderung auf eurer Webseite!!!

Sorry, eine Sache noch:

Ist zukünftig evtl. angedacht, dass man sich eure Produkte direkt in Stuttgart abholen kann oder ist und bleibt dass nur ein Versandzentrum ohne Abholmöglickeit? (wobei ich von Letzterem ausgehe, aber fragen kann man ja mal)

Valide Frage, aber nein, leider geht das nicht.

O.k., trotzdem abermals danke für Deine Antwort!

Top Support den Shift Crypto (insbesondere Du) liefert :+1:

Sorry, dass ich nochmal eine Frage nachschiebe, wobei deren Beantwortung neben mir auch wieder Anderen hilfreiche Aufklärung liefern dürfte:

Werden die Bags, in welche der Bitbox-Karton eingeschweißt ist nach dem Verschweißen voll automatisiert abgeschnitten oder legt ihn noch ein Mensch in eine Cutter-Maschine ein?

Ich frage deshalb, weil bei meinen beiden Bitbox-Verpackungen an der einen Verpackung fast genau auf der Linie der Verschweißung abgeschnitten worden ist, wohingegen bei dem anderen Bag mehr „stehen gelassen“ worden ist. D.h. hier befindet sich nach der Verschweißung (also in Richtung vom Bitboxkarton weg, also am Bag-Rand) noch ein ca. 5 mm breiter unverschweißter (stehengelassener) Rand (ich hoffe es ist verständlich, was ich meine).

Diese unterschiedlichen Abschnitte wären ja nicht weiter verwunderlich, wenn der Bag noch von einem Menschen abgeschnitten wird. Wenn es allerdings vollautomatisch geschieht, dann sind derartige Abschnitt-Unterschiede ja eher unüblich und somit evtl. verdächtig.

p.s. Oder werden die Bags gar nicht abgeschnitten, haben also schon von vorn herein ihre endgültige Länge und nur die Verschweißung wird mal mehr oder mal weniger nah an den Rand gesetzt? (Ja, ich nehme mal an, so wird’s wohl eher sein, anstatt eines endlos-Bags der immer gecuttet wird)
Wobei sich auch dann ja trotzdem wieder die Frage nach der Automatisierung stellen würde.

Also lange Rede, kurz: Macht das alles ne Maschine oder ein Mensch mit Maschine?

Oder werden die Bags gar nicht abgeschnitten, haben also schon von vorn herein ihre endgültige Länge und nur die Verschweißung wird mal mehr oder mal weniger nah an den Rand gesetzt? (

Das ist richtig. Die Bags sind schon geschnitten, werden aber direkt nach dem Verpacken manuell in der Vakkuum-Maschine verschweisst. Daher kann die Schweissnaht etwas varieren, sollte aber immer innerhalb des weissen Aufdrucks sein. Dadurch würde beim Öffnen und neu Verschweissen der Aufdruck auf einer Seite fehlen.