Nuri Vault Passwort vergessen

Sorry, vielleicht war ich hier jetzt schon einen Schritt zu weit…
Ich bezog mich darauf, dass Du NACHDEM Du über das BitGo Recovery-Tool wieder an Deine BTC kommst, diese dann direkt an die BitBox sendest.

1 „Gefällt mir“

Hallo
Vielen vielen Dank für die zahlreiche Meldungen.

Also wie ich es hier herauslesen kann, brauche ich, so oder so, den „BitGo Schritt“ zur Wiederherstellung.

Ich kann dann quasi anstatt eine Adresse von einer vertrauten Person anzugeben einfach die Adresse von der BitBox nutzen, dann „landen“ die Cions in meiner BitBox.
Korrekt?
Ohne der BitGo App ist das versenden von meiner Vault direkt auf meine BitBox nicht möglich?
Dafür brauche ich immer mein (vergessenes) Vault Passwort.

Habe ich soweit richtig verstanden?
LG

Jap, das stimmt so!

1 „Gefällt mir“

Ok…
Wie es aussieht muss ich den Weg über die BitGo gehen…
Ich werde echt unruhig wenn ich dran denke dass etwas schief laufen könnte …
Und durch die Angabe von meinen 12 Wörtern… ist es nicht zu riskant diese einzugeben? Dass sie jemand durch die app „abfangen“ kann?
Ich bin leider nicht so gut „geschult“ in Sachen BTC
:woman_shrugging:
LG

Was ist die Alternative? Sofern du die coins zeitnah transferierst sehe ich da kein Problem.

1 „Gefällt mir“

Stimmt auch wieder.
Ich versuch’s sobald ich die Bitbox bekomme.
Danke :blush:

Der verwendete Computer sollte am besten sicher frei von Malware sein. Wenn du dir darüber nicht sicher sein kannst, dann würde ich den Weg über eine möglichst sichere „Basis“ gehen:

  • TAILS USB-Bootstick erstellen
  • TAILS (ein Debian Linux) booten
  • Linux-Variante des BitGo Recovery Tools runterladen und in TAILS installieren
  • Nuri-Vault Recovery nach Anleitung fortsetzen

Wenn du mit einem relativ überschaubaren Debian Gui System überfordert bist, dann halt Fallobstgarten- oder Windoof-Computer. Letzterer ist sicherlich die malware-gefährdetste Plattform.
Wenn du Windows nutzen musst und auf deinem Fensterspielplatz aller möglicher Schamott drauf ist, dann ist da ein gewiss größeres Risiko. Toi, toi, toi!

2 „Gefällt mir“

Das Risiko halte ich aber alleine schon aus dem Grund überschaubar dass es sich um die Nuri Vault handelt. Keine Malware dieser Welt kann mit einer 2/3 Multisig die auf einem nicht-standardisierten Ableitungspfad sitzt etwas anfangen. Das kann mir niemand erzählen. Auch manuell ist man als Angreifer ohne das BitGo Tool aufgeschmissen. Solange das Tool selbst nicht kompromittiert ist kann eigentlich nicht viel passieren.

Das müsste dann schon ein zielgerichteter Angriff sein. Sehr unrealistisch. Das soll jetzt aber nicht bedeuten leichtsinnig mit den Backups umzugehen, bitte trotzdem vorsichtig sein. Aber mach dir bitte keinen Stress. :slight_smile:

Der Weg über Tails wäre natürlich optimal, aber auch nochmal deutlich komplexer für einen Anfänger.

4 „Gefällt mir“

Das ist sehr wichtiger Aspekt für mich dass ich „erst alles offline vorbereiten kann“
Danke vielmals sutterseba :ok_hand:

Liebe Community

An alle die mir Tipps gegeben habt nochmals ein dickes DANKE :heart:

Ich berichte nach dem ich durch bin mit dem Wiederherstellungsprozzes.

Bis bald
LG

1 „Gefällt mir“

Also, wenn ich mal die Seite wechseln und einen Keylogger-Trojaner programmieren sollte, dann würde ich dem bei den häufig zur Verfügung stehenden Ressourcen schon beibringen, auf eine Worteingabe aus der BIP-39-Wortliste (z.B. für Main Key und Backup Key des Nuri Vaults, aber auch für andere Wallets) oder Extended PubKeys/PrvKeys (Copy/Paste-Events) zu achten, dann wird’s nämlich ggf. schnell spannend und lukrativ.
Vorher ist der User auch mal auf dem Github des BitGo-Tools gewesen, d.h. der Klimbim mit dem nicht-standardisierten Ableitungspfad wäre hier nicht wirklich ein Hindernis. Ach, und im Kostüm eines Evil-Blackhats hätte ich auch Zugang zum BitGo-Tool. Man könnte sogar den Sweep des Vaults besser und vorallem schneller als bei einem aufgeregten und schwitzenden User gestalten, der jeden Schritt des Recovery-Prozesses dreimal kontrollieren wird. OK, ok, das wäre natürlich mal ein richtig fieser zielgerichteter Angriff, aber hey, was hindert mich daran in der Maske eines Evil-Blackhats?

Security by obscurity ist kein wirklich sinnvolles Konzept.

Ich gebe dir durchaus Recht, daß das Risiko wahrscheinlich klein ist. Das ändert aber nichts daran, daß man bei der Handhabung von Mnemonic Wörtern und anderen wichtigen Wallet-Dateils eine sichere Computer-Basis, ein malwarefreies Betriebssystem braucht. Wenn Nuri gerade den Bach runtergeht, dann ist Gelegenheit da für zielgerichtete Angriffe. Was gibt dir die Sicherheit, daß es nicht so sein könnte?

Ich bin bei Computer-Security-Themen anders gepolt und es ist mir lieber, wenn die Menschen ein gewisses Sicherheitsbewusstsein entwickeln bzw. sich zumindest vorstellen können, was schief gehen könnte und warum.
Ich mache auch nicht immer alles richtig und gehe auch (hoffentlich nur halbwegs kalkulierbare) Risiken ein.

1 „Gefällt mir“

… dann suchst du die 2/3 Nuri Vault auf m/0/0/20 ab, erzähl mir doch nichts. Das ist jetzt wirklich etwas konstruiert und unrealistisch. :sweat_smile:

Was hier viel wahrscheinlicher ist dass jemand das Tool selbst manipuliert, und z.B. seine Auszahlungsadresse rein schreibt. Man kann als Anfänger nämlich nicht wirklich sehen was da für eine Transaktion gebaut wird, und viele kontrollieren nicht bevor sie veröffentlichen.

Probier mal manuell wiederherzustellen. Das wirst du ohne komplett selbst zu implementieren oder direkt alles von BitGo zu übernehmen nicht hinbekommen.

Das ist viel zu viel Aufwand um den winzigen Anteil Nuri Nutzer unter den Opfern abzufangen. Das müsste wie du auch schreibst dann sehr zielgerichtet sein, was halt wiederum unwahrscheinlicher ist.

Natürlich nicht, aber abstreiten kannst du sie auch nicht. Wenn es um eine single-sig nach Standard gehen würde, dann ist das Risiko die Wörter auf einem online Rechner einzutippen deutlich höher.

Ich habe nicht geschrieben dass man sich leichtsinnig verhalten soll! Ich wollte OP nur etwas den Stress nehmen, da man sich als Anfänger da auch ziemlich rein steigern kann. Wenn man dann auch noch Tails aufsetzen und zum ersten mal ein Programm auf einem Linux Rechner installieren muss, dann wird es wirklich etwas too much.

Wenn es jetzt um riesige Geldbeträge geht, dann ist das wieder was anderes. Aber wir reden hier die ganze Zeit ohnehin schon von einer closed-source Hot Wallet.

:+1:

2 „Gefällt mir“

Das habe ich gestern noch raus editiert, wirklich offline kann man das nicht machen.

Um die Transaktion zu bauen macht das Tool eine API Abfrage um die Adressen abzusuchen. Bis dahin kannst du offline bleiben, aber für den finalen Schritt musst du Internet haben.

1 „Gefällt mir“

Gut :+1::blush:
Danke

Wir haben das inzwischen öfter mal durchforstet; zugegeben mit eher geringem Zeitaufwand von einigen Minuten bis Stunden.

Ich bin nur ein typischer „Nebenbei-Programmierer“. Aber für mich sieht es so aus, als wären alle interessanten Funktionen in closed-source Bibliotheken versteckt (z.B. in der bitgo library).

Also fehlt mir entweder Erfahrung/Wissen, oder das Tool ist schlicht und einfach nicht open-source.

Wenn du die Key Derivation irgendwo im Code findest, höchsten Respekt! Es gibt m.E. nur einige nicht ausreichende Kommentare.

2 „Gefällt mir“