Bitcoin-Wallets, die mit dem Kommandozeilen-Tool Libbitcoin-Explorer erstellt wurden, sind wegen schlechten Zufallszahlen kompromittiert.
6 „Gefällt mir“
Ich habe „witzigerweise“ selbst mal eine mit dem bx-Tool erstellte Wallet genutzt, bevor ich eine Hardware-Wallet hatte. Da ist es mir beim Schreiben ein paar Mal eiskalt den Rücken runter… 32 Bit Entropie ist schon gruselig. 
Für die „Ich erstelle meine Wallet sicher und offline auf einem Linux-Rechner“ Kandidaten, hier noch ein Auszug aus dem Write-up:
Our story starts on Friday, 21 July 2023. Upon attempting to use a well-protected cryptocurrency wallet, the wallet owner realizes that all of their funds stored in their wallet are gone. This was no accident – they were the victim of a sophisticated theft. The funds were sent to the attacker’s addresses on July 12th, at a time when the hardware wallet wasn’t in use for several days. (Details below)
The generation and use of the affected wallet was unusually strict:
- Generated on an air-gapped Linux laptop with self-compiled software
- Use of BIP39 24 mnemonic word phrase
- Mnemonic securely entered into Ledger & Trezor hardware wallets
- Good PIN and physical security on the hardware wallets
- Mnemonic seed phrase never touched a non-air-gapped computer
- Mnemonic seed backup well-protected
Mehr Details: Milk Sad: /full write-up
5 „Gefällt mir“
Ist etwas über die Sicherheit dieser Paperwallets bekannt?
Damit habe ich vor geraumer Zeit mal einige generiert und verschenkt.
https://www.bitaddress.org
Sofern du den Seiten-Code vom Github von bitaddress.org geholt und verifiziert hast und einer browserabhängigen Javascript-Implementierung eines CSPRNGs vertrauen magst, deine Arbeitsumgebung sicher und offline war und anschließend auch rückstandsfrei gelöscht wurde, könnte man vielleicht ein vorsichtiges „Ja“ sagen, denn der Code von bitaddress.org ist von der Logik her in Ordnung. Wenn vorhanden, nutzt der Code einen CSPRNG, etwas „menschliche“ Entropie fügst du ja mit dem Mausgezappel hinzu.
Ich habe eine fast 10 Jahre alte Paperwallet, die weitgehend auf dem damiligen Code von bitaddress.org basiert. Da ist jetzt nicht so irre viel drauf, aber abgeräumt wurde die noch nicht.
Das beweist allerdings so gut wie garnichts. Meine OpSec von damals war jedenfalls eher bescheiden, weil mein Wissen um solche Dinge auch damals ziemlich bescheiden war. Aber man kann ja dazulernen…
2 „Gefällt mir“