Topic: Trezor one gehacked - page 3. (Read 1012 times)

Danke für deine Antworten. So ganz ohne ist das Thema Kryptos und Sicherheit eben doch nicht.
Ich bin auch davon ausgegangen, dass im Falle eines Diebstahls auf Revolut, sich die Bank kulant zeigen würde.

@bob123
bin da vielleicht nicht zu 100% informiert aber kann man nicht bei Ledger die Keys auch auslesen? Bei Trezor weiß ich das. Die raten dann halt zu einer passphrase weil sie das Problem nicht lösen können (brauchen einen neuen Chip) aber so zumindest unschädlich machen können.

Aber klar ist eine Frage der Abwägung von verschiedenen Aspekten.

Das ist definitiv empfehlenswert.




Unter anderem.
Ganz sicher kann man sich da trotzdem nicht sein, da ja der eigene Rechner kompromittiert sein könnte.

Aber genau aus diesem Grund besitzt man ein Hardware Wallet. Da sind die Kryptos trotz kompromittiertem Rechner sicher.
Es ist nur wichtig, niemals den Mnemonic Key irgendwo einzugeben. Und im Falle von Trezor, eben nur wenn das Hardware Wallet es auf dem eingebauten Display anzeigt. Niemals irgendwelchen Aufforderungen einer Website bzw. des eigenen Rechners nachkommen.

Das Hardware Wallet ist die schützende Instanz, nicht irgendeine Software auf dem Rechner.




Die 24 Wörter (=Mnemonic Code) zusammen mit einem eventuellen Passwort (falls du eins verwendet hast um deinen Mnemonic Code zu schützen) sind alles was du benötigst.
Jegliche Private Keys können aus diesem Mnemonic Code errechnet werden.




Ich persönlich sehe das Risiko bei einer Auseinandersetzung mit dem Thema (evtl. ein paar Stunden?) bereits geringer als bei solch einem Service.
Denn im Endeffekt besitzt du keine BTC wenn du keine Private keys besitzt.

Falls der Anbieter kompromittiert wird, ist dein Geld weg. So etwas kam schon oft genug bei anderen Exchanges vor.
Und falls dein Endgerät kompromittiert wird (Handy, PC, ..) stehen die Chancen auch nicht gerade schlecht, dass dein Account bei Exchange X geplündert wird.

Ein Hardware Wallet zusammen mit gesundem Missvertrauen und zumindest ein wenig Ahnung ist so ziemlich die beste Kombination aus Nutzerfreundlichkeit und Sicherheit.

Ohje, dass tut mir in der Seele weh, wenn ich höre, dass Leute Ihr Vermögen verlieren, welches sicherlich hart angespart wurde.
Ich frage mich gerade, ob man sich die Trezor Seite nicht einfach in den Lesezeichen speichern soll, damit man bestimmt nicht auf eine falsche Seite reinfällt.
Und wie erkennt man denn mit Sicherheit, ob man sich auf der Richtigen Seite befindet? Wohl nur an der Webadresse nehme ich an.
Um ein defektes oder verlorengegangenes Hardware-Wallet wiederherzustellen reichen die 24 Worte oder muss man auch den Privatekey dazu besitzen? Ich frage mich das wegen der sicheren Aufbewahrung.
Wenn ich so lese, was im Umgang mit Kryptos alles schief gehen kann, frage ich mich ernsthaft, ob man sich am Anfang nicht besser einen Anbieter wie Revolut suchen soll, der zwar keine echten Kryptos anbietet, man aber auch kein Risiko hat, etwas zu verlieren, es sei denn, man verkauft oder kauft zu einem ungünstigen Kurs. Man hat keinen Seed, kein Wallet nichts… Man kauft BTC, wenn der Kurs tief ist, und verkauft wieder wenn der Kurs hoch ist (einfach gesagt) und bekommt gleich wieder Fiat Geld und hat auch gleich eine Kreditkarte dazu. Ok, die Gebühren sind etwas hoch aber dafür hat man kaum ein Risiko das man tragen muss. Das soll jetzt keine Werbung für Revolut sein, ist einfach nur so ein Gedanke von mir, den man sich vielleicht als Anfänger machen sollte/könnte. Ich bin selber auch Anfänger und möchte nichts falsch machen.

Ach ja, was ich noch fragen wollte. Muss man denn sein Hardware Wallet unbedingt aktuell halten und jedes Update installieren?

Das ist und bleibt Geschmackssache.

Wer sein Augenmerk auf Hardware Sicherheit legt, der ist mit einem Trezor nicht gerade gut bedient. Vor allem da der Seed mit physischem Zugriff innerhalb weniger Minuten extrahiert werden kann.

Eine generelle Rangordnung festzulegen ist kaum möglich.
Hängt meiner Meinung nach alles von den Bedürfnissen eines einzelnen Nutzers und dem individuellen Threat Model ab.

Ah ok. Ich habe halt nur den Trezor T. Das ist beim Model 1 dann wirklich sehr schlecht gelöst da gebe ich dir recht.

Also wer dann auch noch die Passphrase rausgibt dem ist nicht mehr zu helfen sorry. Ich meinte damit aber mehr, dass KEIN Prozess im Rahmen eines Updates JEMALS nach der Passphrase fragen wird. Mit dem Seed kann das bei einigen wenigen speziellen updates schon mal passieren.

Trezor 1 < Ledger < Trezor T

Du kannst den Recovery Prozess eines Trezor One hier nachlesen: https://wiki.trezor.io/User_manual:Recovery__T1.
Im Grunde läuft der Recovery Prozess exakt so ab wie ich ihn beschrieben habe. Der Mnemonic Code wird (durchgewürfelt) im Rechner eingegeben während das HW Wallet dir sagt welches Position des Mnemonic Codes jetzt eingegeben werden soll.

Das ist einfach ein schlechtes Design, dass den Nutzer zwingt seinen Mnemonic Code (wenn auch durchgewürfelt) im Rechner einzugeben.




Eine Passphrase schützt nur bedingt gegen Phishing. Dann fragt die Software halt auch gleich nach der Passphrase.
Wer seinen Mnemonic Code preisgibt, wird das auch mit der Passphrase tun.

Also ganz kurz dazu:
Ich habe sowohl Ledger als auch Trezor (allerdings den T) getestet und würde das so nicht unterschreiben.
Ich musste 1. NIE meinen Seed bei updates eingegeben bisher (gab es aber in der Vergangenheit wenn sonst Kompatibilitäten verloren gegangen wären) aber zum Wiederherstellen und co. habe ich meinen Seed wenn dann immer direkt am Trezor T eingegeben.

Ja die Passphrase wird bei Trezor am PC erfragt und nur auf einen extra Klick hin kann man auch am Gerät selber den Seed eingeben.
Ich habe mich am Ende bei Trezor (auch weil sie zuerst die Shamir Share Seed (Aufteilung des Seeds) am Laufen hatten) besser gefühlt.

-> Zum Thema hier: Coins weg. Nicht Trezor "Schuld". Nächstes mal: Passphrase benutzen!!!!! Die wird NIE bei einem update benötigt auch nicht wenn mit Seed wiederhergestellt werden muss! Außerdem kannst du mit einer Passphrase auch ein "fake" Wallet erstellen um gegen andere Szenarien gesichert zu sein.

Ja das wäre mal ein Anfang und wir könnten uns die sache genauer anschauen wo die Coins hin gegangen sind .
Eventuell sind ja die Adressen irgendwo schon mal aufgetaucht oder gesehen worden .
Zudem kann man dann auch die Adressen reporten und melden so das diese gemarkt sind .
Bringt zwar nicht viel ist aber ein kleiner schritt um Aufmerksam darauf zu machen das es eine Hacker adresse ist .

Allgemein betrachtet, ein sicheres Betriebssystem zusammen mit brain.sh.
Auf Hardware Wallets bezogen: Niemals den Mnemonic Code irgendwo eingeben.




Hardware Wallets sind die beste Kombination aus Sicherheit und Nutzerfreundlichkeit. Damit fährt man eigentlich ganz gut.
Es ist eben nur wichtig den Mnemonic Code niemals in den Rechner einzutippen.

Und wenn doch, dann nur nach Aufforderung des Hardware Wallets. Einfach mal den Recovery Prozess von Trezor anschauen.
Nur so sollte der Mnemonic Code eingegeben werden, niemals anders.




Naja, Trezor hat eine sehr schlechte Designentscheidung getroffen bei dem der Mnemonic Code in den Rechner eingetippt wird, aber in einer zufälligen Reihenfolge.
Die exakte Reihenfolge ist auf dem Bildschirm des Trezors sichtbar.
Wenn da der Rechner infiziert ist, hat der Angreifer zwar alle 24 Wörter, aber eben in falscher Reihenfolge. Das macht dann immer noch 24! = 6.2 * 10²³ verschiedene Möglichkeiten was nicht gebruteforced werden kann.

Trozdem ist das einfach eine blöde Entscheidung gewesen da sie die Nutzer zu falschem Verhalten (siehe dieser Thread) verleitet.

Geb doch mal die TX ID‘s von dem Transfer vom Hacker - Eventuell lässt sich was herausfinden.

Wäre halt echt auch mal intressant von welchem link genau ihr das update gemacht habt !
Es ist nicht immer der richtige link der als ersters bei google auftaucht.
Ich bleibe immernoch dabei das es sich hier um eine phishing seite gehandelt hat wo der download dann gemacht wurde.
Höchstwahrscheinlich dadurch wurde dann der Laptop mit Malware oder Keylogger infiziert.

Hat du die datei noch wo angeblich das update gemacht werden sollte ?
Kann man ja mal auch durch Virustotal schicken und schauen was da rauskommt.

Ich hätte auch noch eine Frage.


Wann genau gab es diese ausgehenden Transaktionen?
Nach dem ersten Versuch des Updates (was bei 40% beendet wurde)?
Oder zum Zeitpunkt als ihr das Gerät per Seed wiederherstellen wolltet?

Ich habe Schwierigkeiten, dass alles in den richtigen Verlauf zu bekommen.

Also ihr habt das 40%-Update zuerst über den neueren Laptop mit Windows 10 über WLAN an eurem Zweit-Wohnsitz gemacht. Später reagierte dieser Laptop nicht mehr auf Tasteneingaben. Zuhause habt ihr dann mit dem älteren Laptop (Windows 7), euren Trezor sowie einen neuen Trezor angeschlossen; beide haben nahezu nichts mehr auf dem Wallet angezeigt.
Ist das richtig so?

Dann folgende Fragen:
Von wo habt ihr beide Trezor gekauft?
Ist das euer Router an eurem Zweitwohnsitz? Ist der Passwortgeschützt?
Wo hatte euer Freund das Update vorgenommen? Auch in eurer Zweitwohnung?

Habe nur den Ledger, aber wenn man in einer Software den "SEED" eingeben müsste wäre ja der Sinn der HW Wallet verloren? Denke auch das ist das Problem, einen "SEED" wo eingeben hat immer einen faden Beigeschmack und da sollte man alles 3 mal kontrollieren, denke auch das man sich da was falsches auf den PC geladen hat.

Aber warum man nicht mehr ins Bios beim Laptop kommt ist mir auch schleierhaft, mir nicht bekannt das eine Schadsoftware ein Bios infiltriert (LoJax ist mir da noch im Hinterkopf aber sonst)? Schleierhaft... Die HDD wird auch erst später initialisiert, eventuell einmal versuchen ohne HDD/SSD ins Bios zu kommen 

https://support.lenovo.com/de/de/solutions/ht500222-recommended-ways-to-enter-bios-boot-menu-thinkpad-thinkcentre-thinkstation

Also ich habe einen trezor.
Bei eigentlich keinem Update muss man seinen seed neu eingeben.
Das ist wohl genau das Problem.

Der neuere Lenovo hat Windows 10 und wurde 2017 neu gekauft (Media Markt).
Der alte Acer hat Windows 7, damals auch neu gekauft ( 2011? ), wird aber nicht für´s Internet genutzt.

Ich würde sagen, dass eure Zukunftspläne einfach einige Jahre verschoben sind. 

Ich weiß nicht, wie die Beantwortung bei anderen aussieht, aber ich habe dir oben zumindest noch Fragen gestellt.


Ansonsten gehe den Thread doch nochmal durch und schaue, ob alle Fragen beantwortet wurden. Es sei denn, du hast kein Interesse an einer Aufklärung.

Es drückt sehr in Magen- und Herzgegend, das kann ich beschwören. Zukunftspläne futsch.
Bleibt nichts anderes übrig, als fleissig weitersammeln und hoffen, dass alles an Wert ins unermessliche steigt.
Nochmal passiert uns das nicht!
Wenn mir etwas komisch vorkommt, habe ich ja nun hier nette Menschen getroffen, die ich fragen kann.

Habe ich irgendeine Frage nicht beantwortet?

Na, wenigstens hast du deinen Humor nicht ganz verloren.

Bevor du wieder durchstartest, lass uns doch erstmal erforschen, was da passiert ist. Selbstverständlich helfen wird dir bei einem Neustart, aber du solltest auch verstehen, was passiert ist, damit dir nicht wieder so etwas passiert.

Wir haben viele Fragen gestellt und wenn du die beantwortest, kommen wir der Ursache sicherlich näher.