ich möchte ein Thema ansprechen, das mir kürzlich durch ein Video aufgefallen ist, in dem John McAfee die Möglichkeit diskutiert, dass Bitcoin-Wallets durch das Mitlesen der Seed-Phrasen über Spyware, geleert werden könnten. Die Malware soll durch das Betrachten von nicht vertrauenswürdigen Videos auf ein Gerät durch eine „Zero-Klick Attacke“ übertragen werden.
Ich bin mir der potenziellen Interessenkonflikte bewusst, die McAfee gehabt haben könnte, da er möglicherweise nur sein eigenes Produkt bewerben wollte. Vielleicht ist das auch nur eine Anfänger-Frage, hat mich allerdings trotzdem zum Nachdenken gebracht.
Meine Fragen an die Community ist daher: Ist es tatsächlich möglich und wahrscheinlich, dass Dritte die Seed-Phrase abfangen können, während man sie sichert? Und falls ja, welche Maßnahmen sollte man ergreifen, um dies zu verhindern? Ist es beispielsweise ratsam, einen separaten PC oder ein Handy zu verwenden, das ausschließlich für Bitcoin/Krypto-Transaktionen genutzt wird?
Vielen Dank im Voraus für eure Einsichten und Ratschläge.
Kurzfassung: Auf einem PC ist es ist absolut möglich. Computer sind komplexe Systeme aus unzähligen Programmen und das Betriebssystem und die verschiedenen Programme die darauf laufen bieten eine große Angirffsfläche. Zero-Day-Sicherheitslücken sind keine Frage des Ob, sondern des Wann. Sie tauchen regelmäßig auf und werden auch weiterhin existieren. Komplexe Software wird niemals frei von Sicherheitslücken werden.
Die Lösung: Hardware-Wallets. Sie sorgen für eine pyhsische Trennung zwischen PC/Smartphone und Bitcoin-Wallet und die verwendete Firmware auf solchen Geräten bietet eine vielfach kleinere Angriffsfläche und bei den meisten Hardware-Wallets sind bisher keine gravierenden Sicherheitslücken gefunden worden.
Empfehlenswert sind Hardware-Wallets die nur Bitcoin unterstützen. Dadurch ist die Firmware vom Umfang viel kleiner und bietet noch weniger Angriffsfläche.
Falls du dich fragst was eine Zero-Klick-Attacke ist. Das sind Exploits (Malware) die dein Smartphone oder dein PC infizieren können ohne dass du als Benutzer dafür was tun musst. Generell gilt ja beispielsweise dass man keine unbekannten Dateien in Emails öffnen soll, weil das Malware sein kann. Aber bei einem zero click Angriff wird das Gerät ohne das zutun des Benutzers infiziert oder auch indirekt durch alltägliche Interaktionen wie das anschauen von Videos. Solche Sicherheitslücken gehören zu den wertvollsten auf dem Markt und es ist nicht sehr wahrscheinlich dass man zum Ziel davon wird. Häufig kaufen das Regierungen auf um die Geräte von Zielpersonen zu überwachen.
Die Wahrscheinlichkeit durch eigenes Fehlverhalten Malware auf dem Gerät zu installieren ist deutlich höher als ein Opfer eines zero click Exploits zu werden.
Vielen Dank für die Informationen. Ich bin mir der Vorteile von Hardware-Wallets bewusst, jedoch gibt es einen Punkt, der mir noch unklar ist: Auch bei diesen Geräten kann man sich die Seed-Phrase anzeigen lassen, die unter Umständen später erneut eingegeben werden muss. Wenn jemand, wie von McAfee erwähnt, Keylogger oder Malware einsetzt, um Bildschirmausgaben zu überwachen, scheint mir die Hardware-Wallet nicht mehr sicher zu sein. Oder ist es mittlerweile so, dass die Seed-Phrase nur auf dem Display der Hardware-Wallet angezeigt und dort eingegeben wird?