To actually be sure about that, you need to make sure that the hardware (USB flash drive) has not been tampered with and that your online pc is not infected with a malware which spread itself this way onto your USB.
The latter is quite tricky considering that the setup should still be secure even if used with an compromised online PC.

One of the easiest way would be to not use USB flash drives, but webcams and QR codes.
Even tho a possibility exists that a sophisticated malware might exploit a potential vulnerability in the encoding of the QR reading software, that probability is close to zero. At least if you aren't the most looked for criminal in this century.
Using QR's is considered a pretty neat and secure approach to that.

If you definitely want to use USB flash drives, you might as well use a 3rd system as an intermediary which is only used to get the necessary data (unsigned transaction) from the usb device, then formats it, and stores it again on the flash drive.
If you use a virtual machine for that, you can even restore it after each time. But this is is slowly heading towards the level of paranoia at this point.


The easiest and most secure ways are these, where you can actually control the data you are transmitting. Even if your online pc is compromised.
QR codes and webcams are extremely good for this. You could even encode the transaction and simply type it into your offline device. That's secure too, but takes time and isn't very practicable.




It is possible, but quite unlikely i'd say.
At least, there aren't any known cases which do exactly this.

Malware to exfiltrate data from air-gapped devices, does exist. There is malware to exfiltrate data using the sound of hard drives, their led's, the powerline, etc...
But there hasn't been any known case someone losing cryptocurrencies from an air-gapped wallet through something like this.

You won't ever achieve 100% security. It is all about probabilities. And the probability to get your coins stolen from an air-gapped wallet with a few security measurements is relatively low.
At least as long as you don't make it a challenge and ask to get infiltrated.

The releases are signed by the developer using PGP.

After downloading them, you can verify the integrity by verifying the signature (a malicious version of the file would make the signature invalid).

There are quite some tutorials available on how to verify pgp signatures.

In your case:
Check out https://github.com/goatpig/BitcoinArmory/releases and you'll see there is a file called sha256sum.txt.asc.
This file cointains the hashes of the executable files and a pgp signature.

You'd want to check that 1) the signature of the file sha256sum.txt.asc matches the public key of the developer (goatpig) and 2) that the hash of your executable file is the same as seen in sha256sum.txt.asc.


I'd recommend to check out a tutorial on how to verify pgp signatures. You can find some here on the forum as well as by searching on google.
If you still have questions or struggle verifying the signature, feel free to ask.

Ja.



Und?



Pro Privacy ist nicht gleich zu setzten mit einer erhöhtem Risiko seine Coins erst nach einem langwierigen Prozess mit Einkommensnachweisen etc. zu bekommen.
Kein KYC ist ja schön und gut. Aber es gibt eben Gesetzte und die müssen eingehalten werden. AML ist hierbei ein ganz großes Thema.

Nur weil es sich um eine schweizer Firma handelt, sind die nicht immun dagegen.


Das Hauptargument gegen diese Webseite ist, dass du sie bewirbst. Du - ein Spammer.

You can download it from the Releases section on github.

What CPU are you using?
Are you trying to run armory on your desktop pc? Or a small mini computer (e.g. raspberry pi) ?

Is it a possible attack vector? Yes, definitely.
Is it a "big security fail"? No, definitely not.

Most malware is not sophisticated enough to exfiltrate data from air-gapped devices.
The most common malware people lose funds to is a simple clipboard hijacking malware (which only changes the clipboard) and a malicious version of electrum (which supposedly also only steals BTC from the electrum wallet).
Long story short: BTC thieves are kind of narrow-minded and wouldn't be able to create (or even think of) such a malware which could exfiltrate the data from an air-gapped device.


Now, to circumvent the security risk in your specific example:
Verify the signature prior moving it to your offline device / installing it. This way, you won't install any malware on your air-gapped device.

It would most probably fix your problem but isn't recommended.



Are you only accessing these files/folders from your ubuntu machine from now on?
If so, you are free to change the owner to your current ubuntu owner:


Replace USER with your user and FOLDER with the folder containing all other folders and files.

Then the last option would be that you sent the funds yourself.

If this is not the case, then someone actually knew your mnemonic code, seed or private key. Or someone had access to your computer.
If your OS is windows 7 for example, that's already a strong indication for what happened.




You should find out how that happened.
It your machine is compromised, more of your data is at risk (e.g. accounts, passwords, mail addresses, etc..).

Did you download any new software in the few days/weeks before 30.10 ? Did you open your wallet before your BTC got stolen?

If your android device is not rooted, you can not just simply access the content of a given application since all the files and folders are owned by that application.
The unix filesystem permissions are preventing the access.

Using adb together with run-as requires the application to have the debuggable flag to be set to true, which is highly unlikely for an application out of beta.

Those people will hopefully also read all the replies which state that the person agreed to pay that fee by choosing to create a 2FA wallet.

I wouldn't say a majority doesn't read stuff like that. The people who don't read this when creating a wallet are the people who will lose their coins in the future due to not paying attention to the importance of their mnemonic code or OpSec.

While i don't have any reliable data for this, i don't think this applies to the majority.




But this would also mean that the user has to use the lightning network.
That would be too much for newbies and isn't necessary yet. I think this would overcomplicate things for them.

Generally, i agree with this. This would be nice feature to have.

"The problem" is that you don't have the private keys for your address.

No one can help you with that. You need to find out how and when you created that watch only wallet.
You had to use an address, public key or master public key on purpose.

You need to gain access to the corresponding private key or master private key or mnemonic code from which the private key(s) is/are derived.

Tools, welche diese Information zusammentragen sind mir persönlich nicht bekannt.

Jedoch sind einige Cold Wallet Adressen von bekannten Börsen öffentlich bekannt.
Du könntest natürlich den Bestand auf diesen Adressen beobachten.

Entspricht aber auch nicht zu 100% dem aktuellen Bestand, da ja immer einiges auf dem Hot Wallet liegt.
Und ob da wirklich immer die gleiche Menge darauf liegt (oder ob das z.B. vom Volumen abhängt) ist nicht bekannt, und daher lässt sich auch kein kleiner Trend feststellen.

Bei großen Mengen an BTC die dazu kommen oder ausbezahlt werden reichen diese Daten natürlich trotzdem aus.

Ein paar Flash speicher mit einem verschlüsselten Container haben nichts mit einem Hardware wallet zu tun.

Ohne jegliche Hardware Sicherheitsmechanismen, handelt es sich auch nicht um ein Hardware wallet.
Deine Art Coins aufzubewahren bietet eine deutlich größere Angriffsfläche als Hardware Wallets.




Zunächst, ist der letzte Commit knapp einen Monat her. Armory ist nicht outdated und wird immer noch weiter entwickelt.

Und ja, es gibt weitere Optionen für ein Offline wallet setup.
Zum Beispiel mit Electrum. Eine Offline Instanz (mit den Keys) und eine Online Instanz (mit dem master public key), die als Watch-only Wallet fungiert.

Ja... nein.

Ich würde jedem von solchen Services abraten.

Registriert euch ordentlich bei einer ordentlichen Börse. Falls nicht, heult nicht rum wenn es Probleme bezüglich Herkunftsnachweisen, Eingefrorenem Guthaben oder Sicherheitslücken gibt.




Ach ja?
Wer sind denn die "vielen Nutzer" die dankbar waren?



Doch, haben sie.
Aber das verstehst du nicht. Und ich habe ehrlich gesagt auch keine Lust dir das jetzt erklären zu müssen. Du bist vermutlich alt genug um das selbst herauszufinden.



Leider klappt das nicht so ganz.. In meinen Augen bist du einer von vielen Ref spammern.
Und dass dein Post nicht gelöscht wird liegt hier nur an der (viel zu) lockeren Moderation..

Das trifft doch auf (so gut wie) alle BTC Automaten zu.

Ich verstehe überhaupt gar nicht wieso es einen Bedarf dafür gibt.
Es ist umständlicher, riskanter und ist mit höheren Kosten verbunden. Das mit den Kosten macht ja auch Sinn, immerhin kostet es ja einiges solche Automaten aufstellen zu dürfen, aufzustellen und abzusichern.
Aber wo da der wirkliche Nutzen für den Endnutzer ist, ist mir ein Rätsel.

BTC ist ja nicht umsonst das magische Internetgeld. Das dann am Automaten zu kaufen ist irgendwie.. seltsam finde ich.

Bei der hier genannten Funktionalität ist wirklich kein Webdienst nötig und das oben verlinkte Script ist gut lesbar.

Generell wird selbst ausgeführter Code von mir immer bevorzugt.
Selbst wenn ich nicht weiß ob es bösartiger Code ist, kann ich das Programm in einer isolierten Umgebung ohne Netzwerkverbindung ausführen. Hierbei bleiben meine Daten bei mir, ganz im Gegensatz zu einem Webdienst bei dem die Daten immer weg sind.

Aber insbesondere so kleine Konvertierungen lassen sich sehr gut mit Scripts (Powershell, Bash, Python) realisieren.

When using tor properly, there is no real need for a vpn.
You could just use tor and wouldn't compromise your privacy if done correctly.

A vpn doesn't really add anything to it.

But again, a QR is just a representation of data.

You don't "encrypt a QR code". You encrypt information and then represent it as a QR code.
That's the same as encrypting a number and representing it in hex or binary or as characters. There is no difference. In the end, each data is binary.

If you encrypt the information, it is encrypted. Afterwards it doesn't matter whether you represent it as a hex string or as a QR code.


I don't know what exactly you want to accomplish, but the general flow would be:

• Encrypt your information (e.g. private key, mnemonic code, ...)
• Save the QR code

Do exactly what the error messages tells you to do.. Start core with the -reindex parameter.
This will result in the blockchain being synced again which (since you are running a pruned node) will download the blockchain again (as mentioned in the message from your screenshot).

This doesn't invalidate his statement: Qr codes are just a form of encoding.

It doesn't matter whether you have something encrypted and then encoded into hex or encrypted and encoded into a QR.
The information stays the same, the data (which represents the information) changes.

Security-wise there is no advantage or disadvantage. It is just a different representation of the information (the secret, e.g. a private key).

Ein ordentliches Cold Wallet Setup ist mit Wasabi nicht möglich.

Electrum eignet sich gut dazu. Offline Signierung ist hier sehr gut möglich und läuft in ein paar Schritten ab:

• Transaktion mit einem Watch-Only wallet am Online Rechner erstellen
• Transaktion auf den Offline Rechner übertragen
• Transaktion signieren
• Signierte Transaktion auf den Online Rechner übertragen
• Signierte Transaktion broadcasten

Natürlich muss sichergestellt sein, dass das originale Electrum installiert wird (Signatur prüfen). Zudem sollte man sich Gedanken machen über welchen Weg die unsignierten und signierten Transaktionen übermittelt werden.




Armory ist nicht veraltet. Letzter Commit (Dev branch) ist 27 Tage her.
Die Webseite ist https://btcarmory.com/.


Was du nutzen möchtest (Electrum oder Armory) hängt ganz von dir ab. Beides ist absolut akzeptabel.