Topic: Electrum Wallet plötzlich leer - unbekannte Auszahlung (Read 699 times)

So ärgerlich das jetzt auch ist, du solltest dir aus dem Kopf schlagen die Coins jemals wieder zu bekommen.

Die Blockchain ist zwar öffentlich und halbwegs schnell erklärt aber dein Vorhaben ist nicht so einfach machbar.
Hier grundlegende Infos zu den Mixern:
https://www.wi.uni-muenster.de/sites/wi/files/public/department/itsecurity/mbc13/mbc13-moeser-presentation.pdf (Punkt 3)
Oder mit etwas mehr Text: https://www.heise.de/ct/artikel/Spurensicherung-Wie-die-Blockchain-Kriminelle-ueberfuehrt-4427702.html

Egal ob Mixer oder nicht. Bitte stelle die Sicherheit sicher bevor du erneut in BTC investierst.

Kann man das irgendwie einsehen oder erkennen ob sie durch so einen besagten coinmixer gegangen sind??

Wenn man die Adressen von meiner angefangen bis zu dieser wo sie momentan liegen?

Theoretisch ist eine Verfolgung möglich. Aber je nachdem wie die nachfolgenden Transaktionen aufgebaut sind (z.B. Vermischung mit anderen UTXO), kannes unter Umständen schwierig bis Unmöglich werden herauszufinden wo "deine BTC" sich befinden.
Zudem können die BTC entweder auch mittels CoinJoin oder einem Mixer anonymisiert werden. Dann sind deine Chancen nahezu bei Null.

Leider wird sich bei solch geringen Mengen nichts tun. Anzeige erstatten kannst du natürlich trozdem.

Klar kann man Anzeige erstellen... hier 2 Anlaufstellen die mir dazu einfallen:

Österreich - https://bundeskriminalamt.at/306/start.aspx
Deutschland - https://www.bka.de/DE/UnsereAufgaben/Deliktsbereiche/Cybercrime/cybercrime_node.html

Leider wird eine länderübergreifende Ermittlung ziemlich aussichtslos sein und wenn man sich ehrlich ist vermutlich nicht in Relation zu den Kosten stehen.
Es gibt auch Übersichten der Exchange Wallets: https://bitinfocharts.com/top-100-richest-bitcoin-addresses.html (hier die cold wallets, gibt auch andere Übersichten) aber das wird leider auch nicht helfen. Auch wenn du rausfindest wo deine BTC jetzt unterwegs sind stehen die Chancen schlecht jemals wieder Zugriff darauf zu erhalten.

Es ist auf jeden Fall sehr wichtig die Ratschläge aus diesem Therad zu beachten und dir ein sauberes System zuzulegen.

Wäre eine Rückverfolgung eventuell möglich wenn der Hacker/Dieb, die Bitcoins sich über einen Exchange die in Verbindung mit seinen Namen läuft, auszahlen lassen würde?

Kann man irgendwie nachvollziehen wo die gestohlen Bitcoins zurzeit gelagert sind?

Exchange / Börse usw,...

Wenn sie auf einer namentlich registrierten Börse gelanden würden müsste doch theoretisch strafrechtlich die Nachverfolgung irgendwie ausfindig machbar sein, oder??

Malware nistet sich im System ein, indem Registry, Autostart, andere Prozesse etc. manipuliert und/oder übernommen werden.

Es ist durchaus möglich, dass fortgeschrittene Malware z.B. andere ausführbare Datein (.exe) infiziert.
Dadurch ändert sich jedoch die Signatur der Datei. Das heißt, dass z.B. der PDF Reader von Acrobat wenn er gestartet wird, jetzt nicht mehr als "von Adobe" signiert, sondern "von unbekannter Hersteller" (o.Ä.) dargestellt wird. Das fällt also auf.

Aber: Dateien - im Sinne von Text, Bild, oder Video - werden nicht infiziert, da diese ja auch nicht auf dem System ausgeführt, sondern nur von einer Software interpretiert werden.
Sollte eine Sicherheitslücke in der zu interpretierenden Software (z.B. Videoplayer, PDF-Reader, etc..) bekannt sein, wäre es theoretisch schon möglich solche Dateien zu infizieren um den Rechner daraufhin wieder zu kompromittieren.
Hier reden wird dann aber schon von sehr fähigen Angreifern. Das hat mit dem "Ich habe mich aus versehen einen Virus heruntergeladen" (99%+) nichts mehr zu tun.


Daten (Bild, Text, Video, ...) lassen sich also immer noch gut retten.
Die sollten dann aber auch nur von aktueller Software (Kein PDF-Reader mit dem Update-Stand von 2013) geöffnet werden. Dann ist in den aller meisten Fällen alles gut.

Und wenn die kompromittiert sind?

---

Wer schaut sich diese Adressen an und reagiert dann entsprechend? Also schauen Exchanges da drauf?
Was ist mit der Möglichkeit eines Mißbrauchs, wenn da "jeder" melden kann?

Wenn es sich um alt bekannte und weit verbreitete Malware handelt, ja.
Andernfalls, nein.

Sicher kannst du dir nie sein. Aber wenn du weiterhin Windows 7 nutzen möchtest, dann macht es auch keinen Sinn Malware zu entfernen.

Hat es irgendeinen Grund, dass du weiterhin ein Betriebssystem nutzen möchtest das nicht mehr unterstützt wird und das End-of-Life erreicht hat?

Würde ein vollständiger Viren mit Kaspersky Internet Security dies erkennen?

Nein.

Du nutzt Windows 7. Das ist outdated, hat eine Menge Sicherheitslücken, wichtige Sicherheitsmechanismen fehlen und ist zusammenfassend gesagt ein offenes Scheunentor.

Das hat nichts mit einem "Hacker" zu tun. Jedes 13 jährige Kind, dass googlen kann, kann einen Windows 7 Rechner automatisiert kompromittieren.


Sichere deine wichtigsten Daten, formatiere deine Festplatte und installiere Windows 10.

Okay, gut. Weil dann hättest du etwas mehr machen müssen.... -> schnellstens die Coins sicher wegbewegen.


So schade ich es auch finde, aber das kannst du jetzt nur als teures Lerngeld abhaken und unser Angebot annehmen: Fragen, fragen, fragen.

Nein
Habe ich nicht mehr

Vielleicht.
Hast du dein System überprüft? Keylogger? Trojaner o.ä.
Generell solltest du schnellstens auf Win10 umsteigen.  Vorher offline deine Seeds auf Papier aufschreiben.

Und dann mal deine Klartextdaten
löschen (vorher auf Papier aufschreiben) und niemals ohne Verschlüsselung irgendwo extern speichern....wenn es denn schon so wichtig ist, etwas extern (ohne physischen Zugriff), zu speichern.

Du hast eigentlich zwei Dinge gemacht, die absolut verheerend sind: Altes OS und Klartextdaten.

Hast du denn noch Wallets, auf denen was drauf ist?

---

Wenn du dich nicht damit auskennst, dann helfen wir hier gerne.
Ausfindig machen ist nicht unmöglich. Das würde aber nur gehen, wenn sich der Adressenbesitzer irgendwann mal outet. Also z.B. bei einer Exchange, ber der er KYC gemacht hat.

Ich kenne mich mit Blockchain kaum aus aber ich sehe er hat es bereits auf andere Wallet verschoben und sicherlich auch zu einem exchange für die Auszahlung transferiert.

Besteht eine Möglichkeit ihn darüber irgendwie ausfindig zu machen??

Hab die Adresse jetzt mal gemeldet beziehungsweise reported auf einigen Seiten bei dennen es möglich ist !
Wird zwar nicht viel bringen aber eventuell hielft es anderen die dadurch gewarnt werden.

Gemeldet habe ich diese hier :

https://www.bitcoinabuse.com/reports/1HJi3QpLzc8QMGwTGhkU9ZLaWE2FiZaFHD
https://www.bitcoin-spam.com/abuse/bitcoin/1HJi3QpLzc8QMGwTGhkU9ZLaWE2FiZaFHD

War ein Hacker im Spiel?

Dein Windows 7

Das ist leider sehr schwierig. Lafu hatte einen Thread erstellt wo es in diese Richtung geht.

Bitcoin-Spam (Scam) und andere Coin adressen melden!

Die von dir genannte Adresse: 1HJi3QpLzc8QMGwTGhkU9ZLaWE2FiZaFHD ist dort noch nicht bekannt.
https://www.bitcoin-spam.com/search?q=1HJi3QpLzc8QMGwTGhkU9ZLaWE2FiZaFHD

Und auch wenn würde es leider nicht viel helfen denn für solche Fälle gibt es keine Ansprechpartner die helfen können... so ist das System eben wie wir wissen.
Tut mir sehr leid für deinen Verlust und trotzdem würde ich sehr gern wissen wie es dazu kam.

Hast du dein System auf kompromittierende Tools geprüft?

Habe es überprüft.

Das Update dass ich heruntergeladen habe war eine Originalsoftware.


Was würde jetzt noch in Betracht kommen?


Lässt sich anhand der Adressen Verfolgung meiner Bitcoins irgendwie herauslesen ob dies ein Profi war?

Vielleicht erhalten wir ja noch eine Rückmeldung bzgl. der Verifikation der Signatur.
Das würde schon mal etwas Klarheit bringen.



Aber davor definitiv ein Backup (falls noch nicht vorhanden) erstellen.
Windows neigt ja gerne mal dazu bei Updates einige Nutzerdaten, inbesondere Ordner wie AppData, worin z.B. das Electrum Wallet standardmäßig liegt, zu löschen 

Klar da hast du (natürlich) recht!
So hatte ich es auch gemeint. Also vom Verhalten her kann es nur ein Fremdzugriff oder das mehrfach erwähnte Fake Update sein. Das gleiche Verhalten in einer anderen Version wäre lt. meinen Infos das erste Mal aufgetreten und das können wir daher ziemlich sicher ausschließen.

Das Upgrade von Windows 7 auf Windows 10 ist auch heute noch möglich.
Passt hier gut rein und so kannst du auch ohne Neuinstallation sicher(er) werden
https://www.chip.de/news/Windows-10-kostenlos-Windows-7-gratis-aktualisieren_127005018.html

Keiner dieser Leute, hat sich die offizielle Version von electrum heruntergeladen.
OP hat dies ja angeblich getan. Klarheit bringt hier aber wirklich nur die Verifikation der Signatur.

Entweder liegt es eben an der bösartigen malware version von electrum, oder der mnemonic code wurde entwendet.
Im Klartext auf einem mit dem Internet verbundenen Windows 7 rechner.. das schreit leider schon danach 


OP, ich würde dir dringend empfehlen auf (zumindest) Windows 10 upzudaten.
Windows 7 ist sicherheitstechnisch wirklich unterste Schublade.

Mir hat das Thema keine Ruhe gelassen und daher habe ich mich im Electum Teil des Forums umgesehen.
Dabei habe ich mMn. ziemlich sicher die Ursache für dein Problem gefunden!

1) Lost 1400 btc after using old Electrum!
2) Have I benn stolen?
Auch hier beschrieben: https://github.com/spesmilo/electrum/issues/5072#issuecomment-683356052

Bitte prüfe wie gesagt die Datei... hier auch nochmal beschrieben.
Das mit der InAppMeldung, dem Update und dem Verlust der BTC klingt immer nach der gleichen Ursache.
Wäre also komisch wenn es bei dir mit einer anderen Ursprungsversion das gleiche Verhalten gibt.

In Klartext.

Keiner hatte Zugriff darauf.

Ich erinnere mich als ich am 16.10 die Zahlung durchführen wollte kam eine Meldung von nicht möglich da zu alte Version, sollte ein Update durchführen. Das ich dann auch tat. Aber vergewisserte mich das ich auf der richtigen Website bin was ich auch war.

Aber so eine Meldung von wegen senden nicht möglich hatte ich bislang noch nie gesehen.

Ich prüfe später Angang des Tutorials ob es die Original Datei war.

OK... eher nicht so gut. Also verschlüsselt, keypass oA. oder direkt in einem Textfile im Klartext?
Hat sonst noch jemand dein Google Kennwort? Verwendet ggf. den gleichen Account oder hat physisch Zugriff auf deinen PC?

Klar Familie geht vor und da möchte man auch niemanden verdächtigen aber wie sieht es mit Bekannten, Technikern oder anderen Auffälligkeiten aus? Oder es war ganz banal ein Stück malware/keylogger. PC schon darauf geprüft?

Digital auf meiner Festplatte und OneDrive sowie Google Drive.

Sorry für meine späte Antwort

Also zurückbekommen wirst du deine Coins leider nicht. Wenn sie weg sind, sind sie weg.

Um jedoch herauszufinden was genau passiert ist, sodass das nicht noch einmal passiert, könntest du diesem Guide folgen um die Signatur deiner portablen Datei zu verifizieren.

Wenn sich herausstellt, dass du keine infizierte Version von electrum verwendet hast, dann wurde möglicherweise dein mnemonic code entwendet (Du hast immer noch nicht darauf geantwortet wie du deinen mnemonic code aufbewahrt hast).

Die andere Möglichkeit beinhaltet die Kompromittierung deines Rechners.
Das wäre bei Windows 7, welches schon lange keine Sicherheitsupdates mehr erhält, erhebliche Sicherheitslücken aufweist und die in Win10 enthaltenen Sicherheitsmechanismen nicht besitzt, nicht unwahrscheinlich.


Daher, nochmal die wichtigste Frage:
Wie hast du deinen mnemonic code aufbewahrt? Digital? Auf dem Papier? An welchem Ort?

Wenn du keine Lust hast darauf zu antworten, wonach es ja auch aussieht.. da ich sie dir nun zum dritten Mal stelle, dann sag es einfach.
Sie einfach zu ignorieren bringt dich nicht weiter und zeigt uns nur, dass es keinen Sinn macht dir zu helfen.

Ich habe die Portale Version von electrum genutzt

Ich habe die Datei noch.

Allerdings habe ich die Portable Version genutzt.

Kannst du die Version, die du jetzt besitzt, am besten in einer virtuellen Maschine und ohne Internet mal starten und schauen, welche Version das nun ist?

Edit: Ich lese gerade, du hast Windows 7 benutzt.   Da erhärtet sich bei mir der Verdacht, dass du dir da was eingefangen hast. Win 7 wird nicht mehr supportet.
Und wenn das wirklich so ist, dann wäre es sinnvoll, den Rechner nicht mehr zu benutzen.

Ich befürchte nicht in der Form die dir helfen würde.
Bzw. helfen kann man leider sowieso nicht mehr... wenn nur dafür sorgen, dass sowas nicht nochmal passiert!

Wenn du nicht von der betroffenen Version gekommen bist würde ich Eletrum selbst vorsichtig zu 99,9% ausschließen.
Klingt eher nach Keylogger oder anderer Malware auf deinem Client (Anwenderfehler mal ausgeschlossen).

Um das Electrumproblem auszuschließen wäre es noch gut wenn du die Installationsdatei hättest.
Also wie von bob123 angesprochen und finden solltest du sie unter: "C:\Users\deinUser\Downloads"
Die Vergleichssignatur ist auf https://electrum.org/#download zu finden.

Aber wie gesagt befürchte ich fast, dass es nicht daran liegt und die Ursache schwieriger zu lokalisieren sein wird.

Vor dem Update war es Version 3.3.8

Welche Version war das VOR dem Update?

Gibt's da keine Möglichkeit zur Zurückverfolgung?

Windows 7 habe ich genutzt

Am 16.10 habe ich das Update installiert.
Noch eine Überweisung getätigt.

Danach nicht mehr genutzt.

Am 19.10 wieder eingeloggt und meine Wallet war leer

Tut mir leid was dir passiert ist.

Ich reihe mich mal bei den Fragen ein.
Welches OS benutzt du?
Wie ist der genaue Ablauf? Also wann hast du es zuerst geöffnet, wann das update, wann wieder eingeloggt, wann waren die Coins weg?
Welche Version war das vor dem Update und welche nach dem Update?

Höchstwahrscheinlich hast du hierbei Malware installiert.
Der Verlauf ist nichts-aussagend, genauso wie die website.

Wichtig ist, ob die Signatur übereinstimmt. Hast du die Signatur der Datei überprüft?
Falls nicht, hast du die Datei noch (Installationsdatei / Portable Version) ?


Insgesamt sind die wahrscheinlichsten Möglichkeiten:

• Rechner mit Malware infiziert
• Backup vom Mnemonic Code wurde geklaut / geleakt
• Jemand war an deinem Rechner

Wie speicherst du dein Backup? Digital? Cloud, Mail? Oder nur auf einem Stück Papier (und wo? An einem sicheren Ort?) ?

Leider gibt es solche Probleme immer Mal wieder wenn man so durch die Kommentare sieht:
https://github.com/spesmilo/electrum/issues/6580

Im Normalfall (also sagen wir mal vorsichtig zu 99,999%) kann das Programm selbst nichts dafür.
Wir müssen jetzt versuchen rauszufinden was genau bei dir passiert ist.

Wenn das Update von vor Version 3.3.4 war gibt es eine Erklärung.
Hast du das Update direkt gestartet oder electrum gesucht?
Es gibt nämich aktuell falsche Google Suchtreffer! Siehe: https://www.reddit.com/r/Electrum/comments/jatokt/when_google_electrum_something_suspicious_came/

Musstest du im Zuge des Updates irgendwo deinen Private Key eingeben?
Hast du den Private Key irgendwann mal zum Claimen von Airdrops (oder BTC-Forks) verwendet?

Wenn du tatsächlich von einer neuen Electrum-Version aus upgegradet hast hat entweder Electrum ein massives Problem oder das ist nicht der Grund und jemand kam an deinen privaten Schlüssel.

Es war allerdings Version 3.3.8 die Aufforderte zur Update Installation.

Zu erst einmal ist dein Fall @iracer natürlich extrem bitter. Und die Summe von 0.55 BTC ist definitiv kein Zuckerschlecken. Aber leider zeigt der Fall wieder einmal wie unsicher Software-, Web- und mobile Wallets sind. Gerade bei größeren Summen sind wirklich nur Hardware- bzw. Paper-Wallets eine sinnvolle Lösung, um seine Coins langfristig zu verwahren.

---

Wie von @nullCoiner & @bct_ail bereits beschrieben haben Electrum Versionen, die älter als Version 3.3.4 eine Schwachstelle und sind anfällig für Hacks/Phishing. Anbei nochmal die Zitate aus dem anderen Thread:


Und hier nochmal die Antwort von @bct_ail:

---

Gegebenenfalls wäre es sinnvoll wenn wir im @OP dieses Threads nochmal eine große Warnung anbringen, damit nicht noch mehr User auf diese Schwachstelle hereinfallen. Ein Hinweis könnte, z.B. so aussehen:

Warnung: Electrum Versionen die älter als Version 3.3.4 sind, sind anfällig für Phishing!

Die Verlinkung führt zum Ausgangszitat von @nullCoiner im anderen Thread.

Quelle: https://electrum.org/#home

Was für adressen sind das alles ?
Sorry für die vielen fragen aber nur so können wir eingrenzen was passiert ist !

Hast du was installiert die letzten tage oder gestern ?

Hast du irgendeine Webseite besucht wo irgendwas eventuell nicht so wie immer war ?

Ich würde aufjedenfall überall die passwörter ändern und auch nachschauen ob deine email adresse gehackt wurde.

Sieht mir ganz danach aus als ob deine email adresse geknackt wurde mit Accounts von anderen seiten wenn alle adressen zu dir gehören.

Edit : Dann war es eine Phishing seite mit einem Fake download der dich gehackt hat !

Shit dann ist klar was passiert ist!
Moment ich editiere den Link gleich hier rein

Hier der Link: https://bitcointalksearch.org/topic/m.55368919
Diese Warnung kam leider zu spät für deinen Fall... es tut mir richtig leid für dich

Ich glaube ich habe einige Tage zuvor ein Update von electrum gedownloadet.

Es erschien eine Meldung über ein Update der ich gefolgt bin.

laut meinem Download Verlauf war es allerdings die original website

Das sind alles meine Adresse.

Es gab nur eine Transaktion auf die Empfängeradresse und die ging von meinem Wallet aus.

Das Guthaben ist das was mir fehlt.

Fuck... das ist richtig bitter
Und jetzt zur Ursachenforschung -> neue Software installiert? In letzter Zeit eine Website besucht die vielleicht das gleiche Kennwort wie dein Electrum wallet verwendet?

Oder eine Adresse in Electrum verwendet die ursprünglich online erstellt wurde?
So ganz ohne Infos kommen leider verschiedenste Sachen in Frage.

Das waren meine 0,55 Bitcoins wo an diese Adresse gegangen sind.

https://www.blockchain.com/btc/address/1HJi3QpLzc8QMGwTGhkU9ZLaWE2FiZaFHD
https://blockchair.com/bitcoin/address/1HJi3QpLzc8QMGwTGhkU9ZLaWE2FiZaFHD

Sieht mir so aus als ob es mehr leute erwischt hat die BTC an einen möglichen Hacker verloren haben !


Source : https://www.blockchain.com/btc/address/1HJi3QpLzc8QMGwTGhkU9ZLaWE2FiZaFHD

Welche von den Adressen ist deine wenn man fragen darf ?

Also wenn du die transaktion nicht gemacht hast sieht es schlecht aus für dich .
Aber nochmals hast du irgendwas installiert die letzten tage oder gestern auf deinem PC oder Smartphone ?
Oder irgendwelche seiten besucht ( eventuell bist auf eine phishing seite gelangt)

Das ist die Empfänger Adresse:

1HJi3QpLzc8QMGwTGhkU9ZLaWE2FiZaFHD

Eventuell kannst die BTC Adresse hier posten wohin die transaktion gemacht wurde wenn es dir nichts ausmacht so kann man eventuell verfolgen wo die BTCs hingegangen sind!

Hast du gestern oder in den letzten tagen irgendwas runtergeladen und installiert auf deinem PC oder Smartphone ?
Eventuell hast du dir damit eine Malware oder so etwas eingefangen , damit werden passwörter und andere sachen an die hacker gesendet ohne das man was mit bekommt.

Ich habe zu dieser Uhrzeit geschlafen.
Ich wollte gerade etwas überweisen und stelle fest dass mein Wallet leer ist.
Mein PC steht zu Hause und uns nicht öffentlicht.

Zugang hat auch niemand darauf.

Wie kann das sein??

Oh, shit! Hast du heute nicht absichtlich etwas überwiesen und nur bei einem Routinecheck bemerkt, dass da etwas passiert ist? Oder wolltest du heute schon etwas überweisen?

Möchtest du vielleicht die Empfangsadresse posten?

Wie das passieren kann? Entweder jemand hat deinen PC verwendet, kennt deinen PK oder hat dir irgendwann wallet + Passwort entwendet. Steht dein PC daheim? Oder irgendwo „öffentlich“? Kann sonst noch jemand Zugriff haben?

Hallo I

ch habe ein großes Problem benötige dringend Hilfe.

Als ich gerade mein electrum Wallet öffnet sah ich eine unbekannte Auszahlung meines Bitcoin Guthaben.

Mein vollständiges Bitcoin Guthaben wurde heute morgen an eine mir unbekannte Adresse ausgezahlt.

Was sind die Gründe was kann ich nun tun??