Pages:
Author

Topic: Trezor one gehacked - page 3. (Read 1012 times)

jr. member
Activity: 33
Merit: 4
June 02, 2021, 07:55:56 AM
#47
Ich frage mich gerade, ob man sich die Trezor Seite nicht einfach in den Lesezeichen speichern soll, damit man bestimmt nicht auf eine falsche Seite reinfällt.

Das ist definitiv empfehlenswert.



Und wie erkennt man denn mit Sicherheit, ob man sich auf der Richtigen Seite befindet? Wohl nur an der Webadresse nehme ich an.

Unter anderem.
Ganz sicher kann man sich da trotzdem nicht sein, da ja der eigene Rechner kompromittiert sein könnte.

Aber genau aus diesem Grund besitzt man ein Hardware Wallet. Da sind die Kryptos trotz kompromittiertem Rechner sicher.
Es ist nur wichtig, niemals den Mnemonic Key irgendwo einzugeben. Und im Falle von Trezor, eben nur wenn das Hardware Wallet es auf dem eingebauten Display anzeigt. Niemals irgendwelchen Aufforderungen einer Website bzw. des eigenen Rechners nachkommen.

Das Hardware Wallet ist die schützende Instanz, nicht irgendeine Software auf dem Rechner.



Um ein defektes oder verlorengegangenes Hardware-Wallet wiederherzustellen reichen die 24 Worte oder muss man auch den Privatekey dazu besitzen? Ich frage mich das wegen der sicheren Aufbewahrung.

Die 24 Wörter (=Mnemonic Code) zusammen mit einem eventuellen Passwort (falls du eins verwendet hast um deinen Mnemonic Code zu schützen) sind alles was du benötigst.
Jegliche Private Keys können aus diesem Mnemonic Code errechnet werden.



Wenn ich so lese, was im Umgang mit Kryptos alles schief gehen kann, frage ich mich ernsthaft, ob man sich am Anfang nicht besser einen Anbieter wie Revolut suchen soll, der zwar keine echten Kryptos anbietet, man aber auch kein Risiko hat, etwas zu verlieren, es sei denn, man verkauft oder kauft zu einem ungünstigen Kurs. Man hat keinen Seed, kein Wallet nichts… Man kauft BTC, wenn der Kurs tief ist, und verkauft wieder wenn der Kurs hoch ist (einfach gesagt) und bekommt gleich wieder Fiat Geld und hat auch gleich eine Kreditkarte dazu. Ok, die Gebühren sind etwas hoch aber dafür hat man kaum ein Risiko das man tragen muss.

Ich persönlich sehe das Risiko bei einer Auseinandersetzung mit dem Thema (evtl. ein paar Stunden?) bereits geringer als bei solch einem Service.
Denn im Endeffekt besitzt du keine BTC wenn du keine Private keys besitzt.

Falls der Anbieter kompromittiert wird, ist dein Geld weg. So etwas kam schon oft genug bei anderen Exchanges vor.
Und falls dein Endgerät kompromittiert wird (Handy, PC, ..) stehen die Chancen auch nicht gerade schlecht, dass dein Account bei Exchange X geplündert wird.

Ein Hardware Wallet zusammen mit gesundem Missvertrauen und zumindest ein wenig Ahnung ist so ziemlich die beste Kombination aus Nutzerfreundlichkeit und Sicherheit.


Danke für deine Antworten. So ganz ohne ist das Thema Kryptos und Sicherheit eben doch nicht.
Ich bin auch davon ausgegangen, dass im Falle eines Diebstahls auf Revolut, sich die Bank kulant zeigen würde.
member
Activity: 72
Merit: 12
June 02, 2021, 07:38:59 AM
#46
@bob123
bin da vielleicht nicht zu 100% informiert aber kann man nicht bei Ledger die Keys auch auslesen? Bei Trezor weiß ich das. Die raten dann halt zu einer passphrase weil sie das Problem nicht lösen können (brauchen einen neuen Chip) aber so zumindest unschädlich machen können.

Aber klar ist eine Frage der Abwägung von verschiedenen Aspekten.
legendary
Activity: 1624
Merit: 2481
June 02, 2021, 07:29:37 AM
#45
Ich frage mich gerade, ob man sich die Trezor Seite nicht einfach in den Lesezeichen speichern soll, damit man bestimmt nicht auf eine falsche Seite reinfällt.

Das ist definitiv empfehlenswert.



Und wie erkennt man denn mit Sicherheit, ob man sich auf der Richtigen Seite befindet? Wohl nur an der Webadresse nehme ich an.

Unter anderem.
Ganz sicher kann man sich da trotzdem nicht sein, da ja der eigene Rechner kompromittiert sein könnte.

Aber genau aus diesem Grund besitzt man ein Hardware Wallet. Da sind die Kryptos trotz kompromittiertem Rechner sicher.
Es ist nur wichtig, niemals den Mnemonic Key irgendwo einzugeben. Und im Falle von Trezor, eben nur wenn das Hardware Wallet es auf dem eingebauten Display anzeigt. Niemals irgendwelchen Aufforderungen einer Website bzw. des eigenen Rechners nachkommen.

Das Hardware Wallet ist die schützende Instanz, nicht irgendeine Software auf dem Rechner.



Um ein defektes oder verlorengegangenes Hardware-Wallet wiederherzustellen reichen die 24 Worte oder muss man auch den Privatekey dazu besitzen? Ich frage mich das wegen der sicheren Aufbewahrung.

Die 24 Wörter (=Mnemonic Code) zusammen mit einem eventuellen Passwort (falls du eins verwendet hast um deinen Mnemonic Code zu schützen) sind alles was du benötigst.
Jegliche Private Keys können aus diesem Mnemonic Code errechnet werden.



Wenn ich so lese, was im Umgang mit Kryptos alles schief gehen kann, frage ich mich ernsthaft, ob man sich am Anfang nicht besser einen Anbieter wie Revolut suchen soll, der zwar keine echten Kryptos anbietet, man aber auch kein Risiko hat, etwas zu verlieren, es sei denn, man verkauft oder kauft zu einem ungünstigen Kurs. Man hat keinen Seed, kein Wallet nichts… Man kauft BTC, wenn der Kurs tief ist, und verkauft wieder wenn der Kurs hoch ist (einfach gesagt) und bekommt gleich wieder Fiat Geld und hat auch gleich eine Kreditkarte dazu. Ok, die Gebühren sind etwas hoch aber dafür hat man kaum ein Risiko das man tragen muss.

Ich persönlich sehe das Risiko bei einer Auseinandersetzung mit dem Thema (evtl. ein paar Stunden?) bereits geringer als bei solch einem Service.
Denn im Endeffekt besitzt du keine BTC wenn du keine Private keys besitzt.

Falls der Anbieter kompromittiert wird, ist dein Geld weg. So etwas kam schon oft genug bei anderen Exchanges vor.
Und falls dein Endgerät kompromittiert wird (Handy, PC, ..) stehen die Chancen auch nicht gerade schlecht, dass dein Account bei Exchange X geplündert wird.

Ein Hardware Wallet zusammen mit gesundem Missvertrauen und zumindest ein wenig Ahnung ist so ziemlich die beste Kombination aus Nutzerfreundlichkeit und Sicherheit.
jr. member
Activity: 33
Merit: 4
June 02, 2021, 07:18:18 AM
#44
Ohje, dass tut mir in der Seele weh, wenn ich höre, dass Leute Ihr Vermögen verlieren, welches sicherlich hart angespart wurde.
Ich frage mich gerade, ob man sich die Trezor Seite nicht einfach in den Lesezeichen speichern soll, damit man bestimmt nicht auf eine falsche Seite reinfällt.
Und wie erkennt man denn mit Sicherheit, ob man sich auf der Richtigen Seite befindet? Wohl nur an der Webadresse nehme ich an.
Um ein defektes oder verlorengegangenes Hardware-Wallet wiederherzustellen reichen die 24 Worte oder muss man auch den Privatekey dazu besitzen? Ich frage mich das wegen der sicheren Aufbewahrung.
Wenn ich so lese, was im Umgang mit Kryptos alles schief gehen kann, frage ich mich ernsthaft, ob man sich am Anfang nicht besser einen Anbieter wie Revolut suchen soll, der zwar keine echten Kryptos anbietet, man aber auch kein Risiko hat, etwas zu verlieren, es sei denn, man verkauft oder kauft zu einem ungünstigen Kurs. Man hat keinen Seed, kein Wallet nichts… Man kauft BTC, wenn der Kurs tief ist, und verkauft wieder wenn der Kurs hoch ist (einfach gesagt) und bekommt gleich wieder Fiat Geld und hat auch gleich eine Kreditkarte dazu. Ok, die Gebühren sind etwas hoch aber dafür hat man kaum ein Risiko das man tragen muss. Das soll jetzt keine Werbung für Revolut sein, ist einfach nur so ein Gedanke von mir, den man sich vielleicht als Anfänger machen sollte/könnte. Ich bin selber auch Anfänger und möchte nichts falsch machen.

Ach ja, was ich noch fragen wollte. Muss man denn sein Hardware Wallet unbedingt aktuell halten und jedes Update installieren?



legendary
Activity: 1624
Merit: 2481
June 02, 2021, 05:43:06 AM
#43
Trezor 1 < Ledger < Trezor T Grin

Das ist und bleibt Geschmackssache.

Wer sein Augenmerk auf Hardware Sicherheit legt, der ist mit einem Trezor nicht gerade gut bedient. Vor allem da der Seed mit physischem Zugriff innerhalb weniger Minuten extrahiert werden kann.

Eine generelle Rangordnung festzulegen ist kaum möglich.
Hängt meiner Meinung nach alles von den Bedürfnissen eines einzelnen Nutzers und dem individuellen Threat Model ab.
member
Activity: 72
Merit: 12
May 31, 2021, 07:37:53 AM
#42
Ah ok. Ich habe halt nur den Trezor T. Das ist beim Model 1 dann wirklich sehr schlecht gelöst da gebe ich dir recht.

Also wer dann auch noch die Passphrase rausgibt dem ist nicht mehr zu helfen sorry. Ich meinte damit aber mehr, dass KEIN Prozess im Rahmen eines Updates JEMALS nach der Passphrase fragen wird. Mit dem Seed kann das bei einigen wenigen speziellen updates schon mal passieren.

Trezor 1 < Ledger < Trezor T Grin
legendary
Activity: 1624
Merit: 2481
May 31, 2021, 06:59:26 AM
#41
Also ganz kurz dazu:
Ich habe sowohl Ledger als auch Trezor (allerdings den T) getestet und würde das so nicht unterschreiben.
Ich musste 1. NIE meinen Seed bei updates eingegeben bisher (gab es aber in der Vergangenheit wenn sonst Kompatibilitäten verloren gegangen wären) aber zum Wiederherstellen und co. habe ich meinen Seed wenn dann immer direkt am Trezor T eingegeben.

Du kannst den Recovery Prozess eines Trezor One hier nachlesen: https://wiki.trezor.io/User_manual:Recovery__T1.
Im Grunde läuft der Recovery Prozess exakt so ab wie ich ihn beschrieben habe. Der Mnemonic Code wird (durchgewürfelt) im Rechner eingegeben während das HW Wallet dir sagt welches Position des Mnemonic Codes jetzt eingegeben werden soll.

Das ist einfach ein schlechtes Design, dass den Nutzer zwingt seinen Mnemonic Code (wenn auch durchgewürfelt) im Rechner einzugeben.



-> Zum Thema hier: Coins weg. Nicht Trezor "Schuld". Nächstes mal: Passphrase benutzen!!!!! Die wird NIE bei einem update benötigt auch nicht wenn mit Seed wiederhergestellt werden muss!

Eine Passphrase schützt nur bedingt gegen Phishing. Dann fragt die Software halt auch gleich nach der Passphrase.
Wer seinen Mnemonic Code preisgibt, wird das auch mit der Passphrase tun.

member
Activity: 72
Merit: 12
May 30, 2021, 02:23:13 PM
#40
Trozdem ist das meiner Meinung nach ein sehr schlechtes Design was eben zu solchen Situationen führen kann.
Besser ist es von vornherein zu sagen "Mnemonic Code nirgens außer direkt am HW Wallet eingeben" wie bei Ledger.

Also ganz kurz dazu:
Ich habe sowohl Ledger als auch Trezor (allerdings den T) getestet und würde das so nicht unterschreiben.
Ich musste 1. NIE meinen Seed bei updates eingegeben bisher (gab es aber in der Vergangenheit wenn sonst Kompatibilitäten verloren gegangen wären) aber zum Wiederherstellen und co. habe ich meinen Seed wenn dann immer direkt am Trezor T eingegeben.

Ja die Passphrase wird bei Trezor am PC erfragt und nur auf einen extra Klick hin kann man auch am Gerät selber den Seed eingeben.
Ich habe mich am Ende bei Trezor (auch weil sie zuerst die Shamir Share Seed (Aufteilung des Seeds) am Laufen hatten) besser gefühlt.

-> Zum Thema hier: Coins weg. Nicht Trezor "Schuld". Nächstes mal: Passphrase benutzen!!!!! Die wird NIE bei einem update benötigt auch nicht wenn mit Seed wiederhergestellt werden muss! Außerdem kannst du mit einer Passphrase auch ein "fake" Wallet erstellen um gegen andere Szenarien gesichert zu sein.
legendary
Activity: 3164
Merit: 3290
May 28, 2021, 11:21:57 AM
#39
Geb doch mal die TX ID‘s von dem Transfer vom Hacker - Eventuell lässt sich was herausfinden.

Ja das wäre mal ein Anfang und wir könnten uns die sache genauer anschauen wo die Coins hin gegangen sind .
Eventuell sind ja die Adressen irgendwo schon mal aufgetaucht oder gesehen worden .
Zudem kann man dann auch die Adressen reporten und melden so das diese gemarkt sind .
Bringt zwar nicht viel ist aber ein kleiner schritt um Aufmerksam darauf zu machen das es eine Hacker adresse ist .
legendary
Activity: 1624
Merit: 2481
May 28, 2021, 10:58:05 AM
#38
Und wie kann man sich dann zusätzlich davor schützen außer brain.exe

Allgemein betrachtet, ein sicheres Betriebssystem zusammen mit brain.sh.
Auf Hardware Wallets bezogen: Niemals den Mnemonic Code irgendwo eingeben.



Gerne nehme ich Anregungen, wie ich in Zukunft verfahren soll.
Neuen Laptop? Was für eine wallet? Kein zusätzliches Virenprogramm mehr?

Hardware Wallets sind die beste Kombination aus Sicherheit und Nutzerfreundlichkeit. Damit fährt man eigentlich ganz gut.
Es ist eben nur wichtig den Mnemonic Code niemals in den Rechner einzutippen.

Und wenn doch, dann nur nach Aufforderung des Hardware Wallets. Einfach mal den Recovery Prozess von Trezor anschauen.
Nur so sollte der Mnemonic Code eingegeben werden, niemals anders.



Habe nur den Ledger, aber wenn man in einer Software den "SEED" eingeben müsste wäre ja der Sinn der HW Wallet verloren?

Naja, Trezor hat eine sehr schlechte Designentscheidung getroffen bei dem der Mnemonic Code in den Rechner eingetippt wird, aber in einer zufälligen Reihenfolge.
Die exakte Reihenfolge ist auf dem Bildschirm des Trezors sichtbar.
Wenn da der Rechner infiziert ist, hat der Angreifer zwar alle 24 Wörter, aber eben in falscher Reihenfolge. Das macht dann immer noch 24! = 6.2 * 1023 verschiedene Möglichkeiten was nicht gebruteforced werden kann.

Trozdem ist das einfach eine blöde Entscheidung gewesen da sie die Nutzer zu falschem Verhalten (siehe dieser Thread) verleitet.
legendary
Activity: 2971
Merit: 1271
May 28, 2021, 06:40:24 AM
#37
Geb doch mal die TX ID‘s von dem Transfer vom Hacker - Eventuell lässt sich was herausfinden.
legendary
Activity: 3164
Merit: 3290
May 27, 2021, 11:33:44 AM
#36
Wäre halt echt auch mal intressant von welchem link genau ihr das update gemacht habt !
Es ist nicht immer der richtige link der als ersters bei google auftaucht.
Ich bleibe immernoch dabei das es sich hier um eine phishing seite gehandelt hat wo der download dann gemacht wurde.
Höchstwahrscheinlich dadurch wurde dann der Laptop mit Malware oder Keylogger infiziert.

Hat du die datei noch wo angeblich das update gemacht werden sollte ?
Kann man ja mal auch durch Virustotal schicken und schauen was da rauskommt.
staff
Activity: 2548
Merit: 2709
Join the world-leading crypto sportsbook NOW!
May 27, 2021, 09:08:14 AM
#35
Ich hätte auch noch eine Frage.

Mehrere Transaktionen an drei Empfänger wurden angezeigt.

Wann genau gab es diese ausgehenden Transaktionen?
Nach dem ersten Versuch des Updates (was bei 40% beendet wurde)?
Oder zum Zeitpunkt als ihr das Gerät per Seed wiederherstellen wolltet?
legendary
Activity: 2660
Merit: 2229
https://t1p.de/6ghrf
May 27, 2021, 08:50:56 AM
#34
Ich habe Schwierigkeiten, dass alles in den richtigen Verlauf zu bekommen.

Also ihr habt das 40%-Update zuerst über den neueren Laptop mit Windows 10 über WLAN an eurem Zweit-Wohnsitz gemacht. Später reagierte dieser Laptop nicht mehr auf Tasteneingaben. Zuhause habt ihr dann mit dem älteren Laptop (Windows 7), euren Trezor sowie einen neuen Trezor angeschlossen; beide haben nahezu nichts mehr auf dem Wallet angezeigt.
Ist das richtig so?

Dann folgende Fragen:
Von wo habt ihr beide Trezor gekauft?
Ist das euer Router an eurem Zweitwohnsitz? Ist der Passwortgeschützt?
Wo hatte euer Freund das Update vorgenommen? Auch in eurer Zweitwohnung?
legendary
Activity: 3990
Merit: 2695
May 27, 2021, 08:47:50 AM
#33
Also ich habe einen trezor.
Bei eigentlich keinem Update muss man seinen seed neu eingeben.
Das ist wohl genau das Problem.

Habe nur den Ledger, aber wenn man in einer Software den "SEED" eingeben müsste wäre ja der Sinn der HW Wallet verloren? Denke auch das ist das Problem, einen "SEED" wo eingeben hat immer einen faden Beigeschmack und da sollte man alles 3 mal kontrollieren, denke auch das man sich da was falsches auf den PC geladen hat.

Aber warum man nicht mehr ins Bios beim Laptop kommt ist mir auch schleierhaft, mir nicht bekannt das eine Schadsoftware ein Bios infiltriert (LoJax ist mir da noch im Hinterkopf aber sonst)? Schleierhaft... Die HDD wird auch erst später initialisiert, eventuell einmal versuchen ohne HDD/SSD ins Bios zu kommen  Huh

https://support.lenovo.com/de/de/solutions/ht500222-recommended-ways-to-enter-bios-boot-menu-thinkpad-thinkcentre-thinkstation
copper member
Activity: 475
Merit: 121
May 27, 2021, 07:57:17 AM
#32
Also ich habe einen trezor.
Bei eigentlich keinem Update muss man seinen seed neu eingeben.
Das ist wohl genau das Problem.
newbie
Activity: 13
Merit: 1
May 27, 2021, 04:37:20 AM
#31
Der neuere Lenovo hat Windows 10 und wurde 2017 neu gekauft (Media Markt).
Der alte Acer hat Windows 7, damals auch neu gekauft ( 2011? ), wird aber nicht für´s Internet genutzt.


legendary
Activity: 2660
Merit: 2229
https://t1p.de/6ghrf
May 27, 2021, 03:22:04 AM
#30
Es drückt sehr in Magen- und Herzgegend, das kann ich beschwören. Zukunftspläne futsch.
Bleibt nichts anderes übrig, als fleissig weitersammeln und hoffen, dass alles an Wert ins unermessliche steigt.
Nochmal passiert uns das nicht!
Wenn mir etwas komisch vorkommt, habe ich ja nun hier nette Menschen getroffen, die ich fragen kann.

Habe ich irgendeine Frage nicht beantwortet?


Ich würde sagen, dass eure Zukunftspläne einfach einige Jahre verschoben sind.  Wink

Ich weiß nicht, wie die Beantwortung bei anderen aussieht, aber ich habe dir oben zumindest noch Fragen gestellt.

Der eine Laptop läuft auf Windows 10, der andere auf Windows 7. Der neuere, den wir extra für Krypto gekauft haben, reagierte dann nicht mehr auf Buchstabeneingabe.

Welches war der erste Laptop und welcher für den zweiten Versuch. Wo habt ihr den neueren Laptop gekauft? Neu oder gebraucht?

Ansonsten gehe den Thread doch nochmal durch und schaue, ob alle Fragen beantwortet wurden. Es sei denn, du hast kein Interesse an einer Aufklärung.
newbie
Activity: 13
Merit: 1
May 27, 2021, 02:59:03 AM
#29
Es drückt sehr in Magen- und Herzgegend, das kann ich beschwören. Zukunftspläne futsch.
Bleibt nichts anderes übrig, als fleissig weitersammeln und hoffen, dass alles an Wert ins unermessliche steigt.
Nochmal passiert uns das nicht!
Wenn mir etwas komisch vorkommt, habe ich ja nun hier nette Menschen getroffen, die ich fragen kann.

Habe ich irgendeine Frage nicht beantwortet?
legendary
Activity: 2660
Merit: 2229
https://t1p.de/6ghrf
May 27, 2021, 01:54:07 AM
#28
Ihr kennt Euch alle so gut aus - hat nicht einer eine Idee, wie ich auch über so einen gemeinen Weg meine Coins wiederbekomme?  ( blöder Scherz! )

Gerne nehme ich Anregungen, wie ich in Zukunft verfahren soll.
Neuen Laptop? Was für eine wallet? Kein zusätzliches Virenprogramm mehr?

Na, wenigstens hast du deinen Humor nicht ganz verloren.

Bevor du wieder durchstartest, lass uns doch erstmal erforschen, was da passiert ist. Selbstverständlich helfen wird dir bei einem Neustart, aber du solltest auch verstehen, was passiert ist, damit dir nicht wieder so etwas passiert.

Wir haben viele Fragen gestellt und wenn du die beantwortest, kommen wir der Ursache sicherlich näher.
Pages:
Jump to: