In dieser Woche habe ich bei Relai wieder einmal morgens einen kleinen Betrag umgetauscht.
Als ich später nach dem Abendessen meine Softwallet öffnete, um den Eingang der Sats zu kontrollieren, blieb mir die Spucke weg:
Der Kontostand betrug 0€! Wenige Minuten zuvor ist der gesamte Bestand an bitcoin versendet worden.
Ich brauchte wohl an die 5 Minuten Schockstarre bis diese Realität tatsächlich in meinem Hirn verarbeitet worden war.
In den Tagen danach hatte ich weniger damit zu kämpfen, dass ich dem verlorenen Geld hinterher geweint hab oder Bitcoin für ein unsicheres Zahlungssystem gehalten habe.
Vielmehr standen die gegenwärtig zur knallharten Realität gewordenen Fakten im krassen Gegensatz zu meinem Selbstbild „der Herr im eigenen Hause zu sein“!
Meine komplette Ahnungslosigkeit über die Vorgänge und Umstände dieses Diebstahls gingen mit einer derart tiefgreifenden Verunsicherung einher und widersprachen so völlig meinem Aufwand an Sicherheitsvorkehrungen, von dem ich glaubte, dass dieser mir einen deutlich größeren Schutz böte.
Auch wenn ich kein ITler oder Programmierer bin, so kann man doch eine Menge tun: So hab ich z.B. meine kompletten Finanzen auf ein anderes Nutzerkonto auf meinem Handy outgesourced, auf dem keine Apps installiert sind wie z.B. Messenger, Social Media, Browseraktivitäten, Videospiele, Ladesäulen-Apps, etc. Mit GrapheneOS hab ich auch eine Infrastruktur, die die jeweiligen Apps sehr stark abschottet und in seinen Rechten beschneidet.
Offensichtlich hat nichts davon auch nur in geringster Weise geholfen.
Der Blick auf die verfolgte Adresse, auf der der btc-Betrag hin überwiesen worden ist, fühlt sich wie ein Zeugnis meiner Ohnmacht an.
Ich stehe seit einigen Tagen mit Relai im regen Austausch. Langsam kommt Licht ins Dunkel. Einfach ist die Kommunikation mit Relai aber nicht. Ich werde wohl eine Anzeige gegen unbekannt machen für den unwahrscheinlichen Fall, dass die Coins auf eine Exchange gesendet und darüber eingefroren werden könnten.
Erklärung Nr.1:
Brut-force-attack; mein Seed ist erraten worden. (Unwahrscheinlich - dient eher dazu, die eigenen Inkompetenzen mittels Zufälligkeiten zu kaschieren.)
Erklärung Nr.2: Mein Betriebssystem und damit die Relai-App ist komprimiert worden und unter fremde Kontrolle gelangt. (wirkt etwas hysterisch, fatalistisch, ein wenig nach Weltuntergangsstimmung - es klärt vor allem nicht die Frage wie und warum das passiert!)
Erklärung Nr.3: Mein Seed ist geleakt. (okay, wie und wann soll das passiert sein? Nein, ich habe meinen Seed nicht gepostet!)
Irgendwann suchen die Magengeschwüre nur noch nach Plausibilitäten. - Aber, um der Wahrscheinlichkeit ins Auge zu schauen: eine schlüssige Beweisführung mit zwingendem Ergebnis ist Wunschdenken und illusorisch, insbesondere bei bitcoin.
Dennoch, es spricht mittlerweile viel für 1 konkretes Szenario:
Mitte letzten Jahres habe ich hier einen Thread verfasst: # Relai-Softwallet auf Sparrow/Electrum wiederherstellbar?
Daraufhin habe ich die Electrum Wallet aus dem Playstore herunter geladen (oder Electrum.org?)
Leider konnte die App meinen Relai-Seed nicht so wiederherstellen, dass ich eine Transaktionshistorie dieser Wallet sah. (???)
Ich habe meinen Seed direkt wieder gelöscht und geduldig auf niedrigere Gebühren gewartet.
Indes blieb die Electrum Wallet auf meinem Handy installiert.
Letztes WE erzählte mir mein Bruder von einem Leak bei Electrum:
https://cointelegraph.com/news/number-of-infected-electrum-bitcoin-wallets-reaches-152-000
Mit mulmigen Gefühl löschte ich nun diese Electrum Wallet vorsorglich am Montag Abend, setzte einen Kauf bei Relai ab und ging ins Bett.
Am Dienstag Abend wurde die Relai Wallet leergeräumt.
Nach einigem hin und her, konnte mir der Technische Support von Relai bestätigen, dass diese ominöse Transaktion nicht über den Server von Relai ans btc-Netzwerk gesendet worden ist, folglich auch nicht aus der Relai Wallet heraus initialisiert worden ist.
All das lässt den 2. Erklärungsversuch unwahrscheinlich und unplausibel erscheinen, muss man doch als Angreifer weitreichende Kontrolle über Display und Keyboard erlangen, um aktiv den Seed aus der Relai Wallet auszulesen.
Dagegen erscheint der Weg wie mein Relai-Seed geleakt worden sein könnte immer nachvollziehbarer.
Wunderlich: erst mit dem Löschen der Electrum App nahm es sein Lauf (ein bisschen wie burned notice, bei der die Hackersoftware sich anschließend selbst zerstört). In den 6 Monaten davor boten sich zuweilen 4stellige Honeypots, die nicht genutzt wurden.
Anmerkung: den kompromittierten Relai seed hab ich übrigens noch einmal auf einer neuen Electrum Wallet erfolgreich installiert: funktioniert! (Die Wallet ist zwar ziemlich bedienerunfreundlich und unhandlich, aber dieses Mal ging’s…)
Electrum ist übrigens komplett Open Source - Bei Exodus Wallet heißt es dagegen, dass sie nicht den ganzen Code offenlegen, um zu erschweren, dass Hacker eine perfekte Kopie der Wallet mit ihrem Code bestücken können und das völlig hürdenlos.
Interessanter tradeoff von Open Source - nie darüber nachgedacht…
Vllt. kann jemand von euch noch ein paar Dinge dazu steuern.