Topic: Trezor one gehacked - page 4. (Read 944 times)

Ihr kennt Euch alle so gut aus - hat nicht einer eine Idee, wie ich auch über so einen gemeinen Weg meine Coins wiederbekomme?  ( blöder Scherz! )

Gerne nehme ich Anregungen, wie ich in Zukunft verfahren soll.
Neuen Laptop? Was für eine wallet? Kein zusätzliches Virenprogramm mehr?

Ich denke das es eine Phishing Seite war das zu all dem geführt hat !

Habe da mal noch etwas gefunden das könnte ein wenig aufschluß geben wegen dem seed.


Source : https://blog.trezor.io/phishing-attacks-are-targeting-trezor-users-4edac4cb96fa

Und habe auch dies hier noch gefunden :

https://blog.trezor.io/phishing-attacks-used-to-steal-your-coins-recommended-reading-a39c0679c55d

Das müsste nicht einmal ein Rootkit sein.
Eine "ganz normale" Malware wäre dazu auch in der Lage. Zusammen mit der Kompromittierung des Browsers und/oder durch Einspeisung eines eigenen Zertifikates ist da dann auch das schöne grüne Schloss zu sehen.

Dass der eigne Rechner nicht kompromittiert ist, ist die Grundvoraussetzung für alle Sicherheitsprotokolle und -mechanismen im Internet.




Ist vielleicht nicht die beste Analogie, aber durchaus vergleichbar.




Ich bezweifle, dass Trezor hier irgendetwas überprüfen kann.
Deren Webseite ist mit sehr hoher Wahrscheinlichkeit nicht von irgendeinem Angriff betroffen gewesen.

Für mich klingt das nach entweder 1) Malware auf dem Rechner oder 2) Zugriff über eine Phishing Seite.

Welches war der erste Laptop und welcher für den zweiten Versuch. Wo habt ihr den neueren Laptop gekauft? Neu oder gebraucht?

Der Mnemonic Code eines Hardware Wallets sollte nie an einem Rechner eingegeben werden.

Ich glaube Trezor hat hier eine falsche Designentscheidung getroffen und fordert den Mnemonic Code immer über den Rechner an (aber mit einer Anzeige auf dem Trezor Bildschirm, die sagt welches Wort eingegeben werden soll).
Damit müsste der Angreifer trozdem noch 24! = 6.2*10²³ Kombinationen durchprobieren (was unmöglich ist).

Trozdem ist das meiner Meinung nach ein sehr schlechtes Design was eben zu solchen Situationen führen kann.
Besser ist es von vornherein zu sagen "Mnemonic Code nirgens außer direkt am HW Wallet eingeben" wie bei Ledger.




Das ist leider sehr einfach und erfordert kaum Zeitaufwand.
Wenn du eine Webseite aufrufst, wird sie ja auch lokal auf deinem Rechner gespeichert. Eine Seite zu klonen bedarf gerade einmal einige Klicks mit der Maus.




Der Mnemonic Code ist das, was viele hier fälschlicherweise als "Seed" bezeichnen. Die 12- oder 24- stellige Kombination aus Wörtern.
Der Seed wird dann aus dem Mnemonic Code berechnet und ist eine 256 bit Zahl.




Leider bringt Antiviren Software selten etwas :/

Solch eine Software erkennt entweder bereits weit verbreitete und bekannte Malware- und Phishing seiten oder Malware welche sehr sehr auffällig agiert.
Alles andere bleibt unentdeckt, und es ist relativ einfach Malware zu erstellen die von keiner Antiviren Software erkannt wird.




Windows 7 würde ich unter keinen Umständen mehr benutzen.
Das Betriebssystem ist outdated und besitzt viele bekannte und leicht auszunutzende Sicherheitsrisiken.

Am besten komplett verabschieden von diesem Betriebssystem.

Den Vergleich mit einer e-mail, die nach sensiblen Daten fragt, ist etwas weit her geholt.
Bitte dann vielleicht mal diese Internetseite prüfen lassen.

Wenn sich trezor selbst mal zurückmelden würde, könnten die das übernehmen...

Theoretisch kann ein in anderem Kontext eingefangenes Rootkit auch bewirken, dass der Hostname trezor.io zu einer anderen IP aufgelöst wird, auf welcher eine Fake-Website gehostet wurde.
Ich will aber nicht spekulieren was hier wirklich passiert ist.

Sry für die verspätete Antwort - bin auf Arbeit, hatte bereits einen Roman geschrieben, bin aber rausgeflogen - bei mir klappt aber auch gar nichts...  

Wir meldeten uns für den trezor immer über google chrome an ( alles andere machen wir über firefox ), oben im Adressfeld "trezor.io", es öffnet sich direkt die homepage mit https, Doppelpunkt, slash, slash trezor.io und wir konnten uns verbinden. Die Seite sah und sieht aus wie immer.
Dass die seeds für den Notfall sind ist klar, aber woher soll man wissen, dass es keiner ist, wenn das Programm sagt "Hallo, da stimmt was nicht mit dem update, seeds eingeben"?
Nachher ist man immer schlauer und es ist dann einfach zu sagen "hätte", aber wenn die Hacker inzwischen so gut sind, dass die homepage aussieht wie immer ( das soll kein Lob sein! ), dann sind Normalanwender solchen Subjekten ausgeliefert.
Der Coinbestand unseres Freundes wurde nicht angetastet, er hat seine Schäfchen schnell "ins trockene gebracht". Auch er wurde nach den seeds gefragt.

Mit Mnemonic Code meinst Du mein Kennwort mit den 4-6 Ziffern? Nun, im trezor erscheint die Tastatur in immer unterschiedlicher Reihenfolge und meine Zahlen gebe ich dann per Mausklick auf den jeweiligen Punkten auf dem Bildschirm ein. Diese Verbindung muss doch eingegeben werden, um überhaupt meinen trezor mit dem Bildschirm zu verbinden!?

Inzwischen bin ich nicht nur tieftraurig, sondern auch enttäuscht und verärgert über ach so sichere Programme. Erst kürzlich haben wie noch ein Avira-Schutzpaket gekauft und selbst der hat das pishing nicht erkannt!

Das erste update wurde an unserem Zweit-Wohnsitz über WLAN versucht durchzuführen, aber da die Internetverbindung oft schlecht ist, haben wir es später "zu Hause" nochmal gemacht.
Der eine Laptop läuft auf Windows 10, der andere auf Windows 7. Der neuere, den wir extra für Krypto gekauft haben, reagierte dann nicht mehr auf Buchstabeneingabe. Die vielen Hinweise aus dem Netz, wie auch vom Windows-Forum, brachten keinen Erfolg, weder F-Kombinationen noch die Möglichkeit ins BIOS zu kommen. Die einzelnen Versuche weiß ich schon gar nicht mehr nach dem Schreck. Windows-Forum riet mir dann doch einen Fachmann aufzusuchen und das Gerät neuzuinstallieren.
Auch fällt mir gerade folgendes ein: als wir den neuen trezor one im Windows-10-Laptop verbunden haben, musste ich auch die seeds eingeben.
Aber wie gesagt, den kläglichen Rest vom trezor haben wir runtergenommen...

Ich danke für die Anteilnahme und entschuldige mich für das Durcheinander ( Spiegel meines Empfindens gerade   )

@nixwisser

Du warst ja vor 30 Minuten erst online im Forum. Wie Du merkst, wollen Dir hier einige helfen damit so etwas wenigstens nicht wieder passiert.
Kannst Du auch unsere Fragen beantworten und was ist aktuell mit dem Coinbestand von dem Freund, der das gleiche "Update" vorgenommen hat?

Wo genau hast du den Mnemonic Code eingegeben?

Ein Update erfordert keine Eingabe des Mnemonic Codes.

Daraus lässt sich schließen, dass dein Trezor nicht gehackt wurde. Leider scheint es so als hättest du deinen Mnemonic Code freiwillig an eine Malware rausgegeben?
Mit dem Hardware Wallet hatte das nichts zu tun. Das ist vergleichbar mit einer Email in der man nach der Kreditkarennummer gefragt wird, da ist die Sicherheit der Bank ebenfalls nicht gebrochen, sie wurde nur umgangen.

Ja das wundert mich ebenfalls und sollte eigentlich in der regel nicht der fall sein.
Man gibt ja auch nicht bei einem update von seiner bank App (sofern man eine benutzt) auf seinem Smartphone seine geheimzahl ein oder ?
Der seed wird ja nur gebraucht um zugriff auf die wallet zu bekommen , derjenige der denn Seed hat kontrolliert die wallet.
Eventuell wäre es Informativ wenn der OP mal den Link posten kann wo er dieses update gemacht hat , bitte so schreiben das man den Link nicht anklicken kann.
Dann könnten wir uns die sache etwas genauer anschauen und eventuell auch andere und neue User warnen.

Auf jeden Fall komplett löschen, einige Laptops haben auch im BIOS ein secure Erase... Bei einem Update einen SEED eingeben, wäre mir was ganz neues... Den SEED gibt man "normal" doch nur auf der Hardwarewallet ein und nicht bei der Software oder verwechsle ich da etwas?

Hört sich für mich schwer nach einer Phishing seite an wo der download gemacht wurde .
Manchmal ist der Link den ihr liest und seht nicht der eigentlich link und somit gelangt ihr zu einer Fake seite.
Ich würde empfehlen das laptop ode die laptops platt zu machen und alles neu aufsetztenso das du auf der sicheren seite bist.

Ich kenne mich mit Trezor auch nicht aus und bezweifel, dass man bei einem Update den Seed nochmals eingeben muss. Wo hast du den Seed denn eingegeben?

EInige Sachen, die du geschrieben hast, haben mich aufhorchen lassen:


Was meinst du mit zu Hause? Wo habt ihr das Update gemacht?


Was ist mit dem ersten Laptop? Wem gehört der? Welches Betriebssystem ist da drauf? Welche anderen Lösungen brachten keinen Erfolg
Was ist mit dem zweiten Laptop?


Was meinst du damit?

Tut mir echt leid für deinen Verlust, so ganz vertehe ich dies jedoch noch immer nicht, was aber vielleicht auch daran liegt das ich mit einer Trezor Hardware Wallet bisher nur ganz selten im Freundeskreis konfrontiert werde. Dennoch würde ich es aus eben diesem Grund gern verstehen, um notfalls Warnungen aussprechen zu können.


Ihr habt also versucht euch über die Weboberfläche https://wallet.trezor.io und nicht über die Desktop App https://suite.trezor.io/ angemeldet und es kam zur Updatemeldung.
War der Link im Browser unter Favoriten gespeichert oder direkt eingegeben bzw über die Google Suche aufgerufen? In diesem Fall könnte eventuell eine Phishing Webseite im Trezor Look&Feel die Ursache gewesen sein.
Da du aber schreibst das auch der Laptop kurz darauf ein eigenartiges Verhalten zeigte, wäre natürlich auch eine Schadsoftware als Übeltäter möglich. Diese kann u.U. schon länger auf dem Rechner geschlummert haben. Hier wäre eine intensive Prüfung angebracht um auch ggfl. eine weitere Verbreitung im Home-Netzwerk zu unterbinden.
Leider wird dir dies deine Coins nicht wieder bringen aber wenn man versteht was passiert ist, ist man vielleicht in nächster Zeit wachsamer oder kann andere warnen.

So wie ich es kenne, wird bei einem Update lediglich darauf hin gewiesen das man überprüfen sollte ob man seinen Seed im Notfall griffbereit hat, da dies das einzigste Backup ist um auf die Coins der Wallet wieder zugreifen zu können falls beim Update irgend etwas schief geht. Eine aktive Aufforderung zur Eingabe des Seed erfolgte bisher bei einem Update meines Wissens nach nie.  Also genau so wie Real-Duke es auch beschreibt.

Also das klingt alles schon sehr suspekt. Ich habe selbst auch kein Trezor Wallet, aber lt dieser wohl recht aktuellen Beschreibung (https://coinguides.org/update-trezor-wallet-firmware/)
ist es während des Updates an keiner einzigen Stelle nötig den Seed einzugeben.
Man wird lediglich darauf hingewiesen das Upgrade nicht vorzunehmen wenn, wenn der Seed nicht (mehr) verfügbar ist und anschließend etwas schief geht.

Der Trezor funktioniert auf jeden Fall auch ohne das Firmwareupgrade.
Für Spekulationen was hier wirklich passiert ist, gibt es nun jede Menge Raum.

Ich persönlich nutze ein anderes Wallet, darum lässt mich diese Aussage doch etwas fassungslos zurück. Auch bei einem Trezor-Wallet kann es doch nicht sein, dass man bei jedem Update seinen Seed angeben muss? Wenn dem so wäre, würde man ja jedes mal Gefahr laufen gephisht zu werden, wenn man das Gerät auf den neusten Stand bringt.

Spätestens hier hätten alle Alarmglocken angehen müssen. 

So macht man das halt auf keinen Fall.


Einen neuen Seed gibt es so:

https://wiki.trezor.io/User_manual:Wiping_the_Trezor_device

Bevor ihr den verwendet solltet ihr aber das Handbuch sehr gründlich studieren. Insbesondere https://wiki.trezor.io/User_manual:Security_best_practices

Also, richtig gesagt, hat mein Mann dieses update durchgeführt - wie gesagt, so wie die anderen beiden male auch - über trezor.io angemeldet, trezor angeschlossen, dort wurde auf das update hingewiesen, trezor wieder getrennt, beide Tasten auf diesem gedrückt, wieder angeschlossen, update gestartet unter Angabe der seeds. Der update lief bis 40 %, dann blieb er hängen. Trezor getrennt, wieder angeschlossen, update lief wieder nur bis 40 %. Zu dieser Zeit dachten wir an eine Internetunterbrechung. Zu Hause war dann keine Tranzaktion mehr vorhanden, einen neuen trezor gekauft, angeschlossen und dann der Schock! Den neuen trezor haben wir dann leer gemacht.
Wie gesagt, hat der Laptop auch einen weg - da hat ein Mensch, dem ich einen schlimmen Corona-Verlauf wünsche, was schlimmes angerichtet!

Wie bekommt man denn neue seeds?