Sorry, aber Du solltest da vielleicht etwas in Deinen komplexen Erklärungsversuchen herunterschalten.
Wahrscheinlich hast Du Dir irgendwie eine gehackte Version von Electrum eingefangen, der Du dann Deinen Seed anvertraut hast. Wahrscheinlich wurde beim Deinstallieren der Anwendung vom OS eine Deinstallationsroutine - als Bestandteil des Packages angestossen, die dann Deinen Seed irgendwohin „nach Hause telefoniert“ hat. Der Empfänger konnte dann seine Coins abräumen, dafür spricht ja auch, dass lt. Relai es nicht über deren Server lief.
Wie Du oben schreibst, versuchtest Du „eine Menge zu tun“ - das macht es nicht unbedingt besser, wenn Du nicht vom Fach bist und wirklich genau weißt, was Du da tust. Vielleicht solltest Du das Ganze möglichst einfach halten und Dir eine Hardware-Wallet zulegen und dann den Seed niemals in irgendwelche Softwarelösungen eingeben. Ebenso wie bei Backup & Co. versuche ich bei wirklich wichtigen Dingen alles so einfach und primitiv zu halten wie irgendwie möglich.
Hoffe Du hast nicht allzuviel Lehrgeld gezahlt …
BTW:
„Security by Obscurity“ ist nicht die Lösung, auch in closed Source können Hacker Schadcode einschleusen. Gerade im Sicherheitsbereich hat Open Source den Vorteil, dass es deutlich schneller auffällt, wenn jemand da irgendwas „bestückt“.
Das kann doch dann problemlos auch mit z.B. der Bitbox-App passieren. Da nutzt die Cold-Wallet dann ja rein gar nichts mehr, wenn der Seed in der App angezeigt werden kann?
OK, stimmt, hab’s gerade ausprobiert, die Worte werden tatsächlich nur auf der Bitbox angezeigt, ich hatte irgendwie in Erinnerung, dass man die in der App sehen würde…
Er hat seindn Seed, seine Wörter in einer fake version der electrum app eingegeben.
Diese überträgt diese dann an die Betrüger die damit das Wallet wiederherstellen.
Die Hardware-Wallet war defacto mein Start in den Space. Dass ein Hersteller sich selbst als Bedrohung wahrnimmt (Anti-Klepto), hatte mir derart imponiert, dass ich wissen wollte, wie ernst es „die da um den Bitcoin herum“ mit der Abwesenheit eines Alleinherrschers nehmen, weil zentrale Instanzen bisher nie so richtig wegzudenken waren. Anarchie und große Gesellschaftsstrukturen ist halt nicht einfach mit einander zu verknüpfen.
Ab diesem Punkt wird es wirklich schwierig. Der Playstore ist diese zentrale Instanz. Dann wechselt man auf APKs und sieht sich damit konfrontiert die Echtheit selbst zu überprüfen.
Währenddessen sind Apps wie Relai längst in unerreichbare Ferne gerückt, weil sie auf diese zentrale Instanz aufbaut.
Dann kommen die Updates, wissend, dass mit jedem Mal das Risiko einhergeht, dass die App bzw. der Server, zu dem Daten gesendet werden, kompromittiert sein können.
Nun, meine Zustimmung hast du. So pauschal gesprochen verbietet sich jede Form von Software-Wallet. Wolltest du auf solch eine Entscheidung hinaus? Mit diesem Gedanken gehe ich tatsächlich schwanger. Die Frage ist aber, ab wann kann denn jemand sicher sein, dass er vom Fach ist? Wenn du selbst hacken kannst und weißt worauf du dich einlässt? Die letzte Schwachstelle ist ja immer der Anwender! Den zu umgehen bedeutet eine zentrale Instanz. Wir drehen uns im Kreis mit dieser Argumentation, gerade hier im btc-space!
Dennoch, keep it simple ist andererseits auch nicht gleichzusetzen mit have fun - stay poor.
Es braucht einen Mittelweg: Lightning ohne handy macht keinen Sinn - ohne Dinge wie Lightning macht bitcoin langfristig für den Endbenutzer keinen Sinn… irgendwann erzählen wir unseren Kindern, dass wir tatsächlich selber Transaktionen im Main Layer durchgeführt haben - damals in grauer Vorzeit…
Nach besten Wissen und Gewissen. Ich unterscheide zwischen meinem engen Familienkreis und allen übrigen. Ich bleibe im Allgemeinen bzgl. Bitcoin, wenn mein Name und meine Anschrift dem Gegenüber bekannt ist. Über dieses potentielle Sicherheitsleck sollte man gründlich nachdenken.
Vor allem in diesem Punkt liegen die Schutzmaßnahmen auf der Hand. Der Einzige „trade-off“ ist durchgehende Disziplin und Bescheidenheit.
Sollen wir mal eine Umfrage starten, wer alles Relai nutzt?
Und wer Sorge darum hat, ob das nächste Update evtl. nicht von Relai stammt, sondern von dritten, die weniger Gutes im Sinn haben?
Ich vermute, die Leute würden mich für einen Weltuntergangspropheten halten, der einfach alles anzweifelt, wenn ich die Umfrage starte.
Wenn man ein Hot Wallet nur als Zwischenstation nutzt und nie größere Beträge darin aufbewahrt, dient es auch als Indikator für die Sicherheit des Smartphones oder Computers. Denn wenn die mal geplündert wird und der Seed hat das Gerät nie verlassen, dann weiß man ganz genau dass das Gerät mit Schadsoftware infiziert ist. Es ist damit eine ziemlich teure aber auch effektive Antivirensoftware.
Die Scammer platzieren Fake Apps im Playstore.
Diese werden erst entfernt wenn genug Leute diese gemeldet haben, kann Tage dauern.
Wenn man in der Zeit die App lädt ist man der betrogene.
Bei mir waren es damals wrapped eth die aus dem Verkauf 3 NFTs da waren.
Die Täter habe chargenweise dann auf uniswap die coins in XMR Monero geswapped, damit hat sich dann auch jegliches weiteres tracken erledigt gehabt.
@Knecht, ich verstehe, dass du frustriert bist. Tatsächlich besteht das größte Verlustrisiko bei Bitcoin im Unwissen der Neueinsteiger. Unterstützt wird das noch durch die regelmäßige Aufforderung zur Self-Custody. Dabei wäre eine custodial Lösung zum Einstieg evtl. schlauer.
Genau so ist es. Eine Software-Wallet ist wie auch jede Lightning-Wallet für Kleinbeträge gedacht. Alles andere gehört auf die Hardware-Wallet.
Ich weiß aber aus eigener Erfahrung, dass man einige Zeit braucht bis man das gelernt und verstanden hat. Zu Beginn hatte ich auch alles auf Software-Wallets liegen.
Wenn man Dienste wie Relai oder Pocket nutzt, kann man deshalb direkt für den Kauf eine Adresse oder sogar einen Account der eigenen Hardware-Wallet angeben, auf welche dann direkt ausgezahlt wird.
Eine, sogar die wichtigste Regel um Verluste zu vermeiden bleibt, dass man niemals seinen Seed irgendwo außerhalb seiner Hardware-Wallet eingeben darf! Solange die Hardware-Wallet sicher ist, sind dann auch die Coins sicher.
Hardware-Wallets kann man überall und auch abwechselnd an verseuchte Rechner und unterschiedliche Wallet-Software anschließen. Solange man auf der Wallet selbst keine Transaktion signiert und man jede Adresse auf dem Gerät prüft, passiert nichts. Man hat durch die Hardware-Wallet also hohe Sicherheit und auch Flexibilität bei der Rechner- und Wallet-Wahl.
Gibt man seinen Seed hingegen schlimmstenfalls in mehreren Software-Wallets ein, hat man ein unvergleichbar hohes Risiko.
Ich weiß nicht genau was du damit meinst. Natürlich könnte eine Schwachstelle in der Relai App, genau wie in jeder anderen Broker- oder Software-Wallet, einen Verlust bedeuten. Deshalb am besten immer direkt oder zumindest regelmäßig auf die Hardware-Wallet schieben.
Ist der Google Play Store und der App Store von Apple halbwegs sicher, wenn ich zum Beispiel die RelaiApp, ConbaiseApp oder KrankenApp oder BisonApp neu installieren muss? Woher weiß ich, dass die Software da sicher ist?
Hattest du sie bereits einmal, gibt es im AppleStore ein anderes Zeichen beim Download. Wie‘s bei Android ist, weiß ich nicht. Aber so weißt du, wenn es einmal die richtige war, dass es bei Neuinstallation die gleiche ist.
Du, glaub mir: das bin ich nicht und war ich auch nicht. (…grundlegend verunsichert schon)
Ich habe nur erst alles aus meinem Hirn herausgequetscht, was mir so einfiel, dann habe ich dem Kundensupport von Relai entlockt, was ich nur irgendwie konnte, ohne zu unfreundlich zu werden.
Dann hab ich mit Vertrauten in meiner Umgebung gesprochen und nun trigger ich euch als Community, um alles zu sammeln was so in euren Köpfen herumspukt. Das heißt ja nicht, dass irgendjemand mit seiner Perspektive richtig liegt.
Aber genau das würde ich jetzt eine dezentrale Annäherung an die wie auch immer geartete Wahrheit nennen, in der Erklärungsansätze und zukünftige Sicherheitsvorkehrungen sich geballt an einem Ort tummeln.
Auf dieses Detail, das den Unterschied machen und vllt. einen leichten Vorteil für die Zukunft bringen könnte, wäre ich jetzt nicht gekommen: immer erst mit dem Handy auf die Relai-Seite gehen und von dort aus den Link zum Playstore nutzen, um da den Installations-/Update-button nutzen.
In einem Umfeld, in dem Menschen über den offiziellen Google Playstore optisch gleichaussehende Schadsoftware heruntergeladen haben, macht jedes kleine Detail einen Unterschied. Und meine Electrum Wallet sah exakt gleich aus und wurde zuletzt auch nur 1x im Playstore angeboten.
In einer Welt ohne 100% Sicherheit heißt das Motto: alles was irgendwie nützt, vor allem dann, wenn es sich um eine high-Risk-App handelt, die primär Betrüger anzieht, weil dort Geld zu holen ist und dann auch noch anonymisiert und adhoc finalisiert.
Beim Hacken einer Banking-App im SEPA-Raum muss man erstmal auf ein Konto Zugriff haben, auf das man gefahrlos überweisen kann, ohne sofort seinen Namen oder persönliche Spuren preis zu geben. Solche kriminelle Energie muss ja auch im Verhältnis zum erwarteten Gewinn stehen; 500€ ist da eher mager… nicht so bei Krypto-Wallets…
Jedenfalls vielen Dank für euren wertvollen Input, sowohl bei denen, die aufgeschreckt in Aufruhr geraten wie auch denen, die mit konstruktiven Maßnahmen darauf antworten.
Genau das war meine Hoffnung beim Posten. Das ist Community!
Beispielsweise, würde bei Bison eine Überweisung mit Identifikation durch pers. Telefonnummer per SMS beim verschieben oder überweisen das verschwinden des Guthabens verhindern. Welche Erfahrungen gibt es bei den Anbietern?
Bei solchen Sicherheitsvorkehrungen bin ich stets auf eine Art rote Linie gestoßen. self-custodial bedeutet halt auch, dass die Hürden beim Zugriff von dir selbst organisiert und verwaltet werden, nicht vom Anbieter.
Zum anderen ist kyc eine graduelle Entwicklung hin zur Aufgabe jeglicher Verantwortung. So etwas beginnt mit der Speicherung und Verwahrung persönlicher Daten beim Anbieter, über die Legitimation bis hin zur Rechtfertigung gegenüber dem Anbieter, indes dieser am Ende die Autorität zur Gewährung von Transaktionen inne hat.
Hier Transaktionen mit solch einer Hürde zu beaufschlagen erzielt nur dann einen Effekt, wenn der Wallet-Seed wie hier bei Relai nicht mit anderen Wallets kompatibel oder wiederverstellbar ist. Genau dies entmachtet den Nutzer in einer Weise, den self-custody aus guten Gründen zu verhindern weiß. Wenn eine Bank die Überweisung zu Relai oder Pocket wortlos unterbindet, passiert im Grunde das gleiche, nur zum früheren Zeitpunkt. Not your keys… macht dich zum unfreiwilligen Baumwollpflücker der FIAT-Großgrund-Drittinstanzen.
Eine Methode, mit der die Relai-App auf ihre rein technische Unversehrtheit geprüft werden kann, ohne auf den Playstore vertrauen zu müssen, bevor sie zu einer derart gewichtigen Funktion wie einer Wechselstube und (Lightning-)Geldbörse wird, wäre in meinen Augen essentiell!
Dies hätte mich zwar nicht vor diesem Electrum-Fehler geschützt. Aber im Angesicht solch einer hervorstechenden Sicherheitsfunktionsprüfung hätte sie als erzieherisches Vorbild dienen können, um mir zu suggerieren, dass ich dies bei der Electrum-Wallet nicht vorfinde.
Ich möchte noch mal betonen: es war meine Verantwortung, mein Fehler, meine Nachlässigkeit, meine Unbedarftheit, mein Spieltrieb. Ich will nun das Beste draus machen…
