Wallet geplündert

[sourworm]

Hallo zusammen,

ich bin ganz neu hier im Forum und kenne mich mit Bitcoins nur sehr wenig aus. Mir ist heute aufgefallen, dass kurz nach Ostern jemand aus meiner Wallet (Bitcoin Core) eine Transaktion auf eine mir unbekannte Adresse getätigt hat.
Mir ist nach einiger Recherche hier klar, dass die Coins weg sind und ich wohl keine Chance habe diese je wieder zu bekommen, aber ich würde gerne ein paar Dinge verstehen um einzugrenzen wo ich einen Fehler gemacht habe.
Hier die ganze Geschichte von vorne (Bitte entschuldigt die epische Länge).

2013 habe ich bei einem Miningpool für ein paar Wochen an Bitcoins mitgemined und dafür insgesamt 0,05 Bitcoins erhalten. Diese waren damals, soweit ich mich erinnere, keine 10 Euro wert und ich habe darum mit dem Mining aufgehört (leider!) und diese total vergessen. Um 2017/2018 hat mir ein Bekannter dann erzählt, dass er eine Woche zuvor 8 Bitcoins für jeweils ca. 8000 Euro verkauft hat und diese nun das Doppelte wert seien. Das war bitter für ihn, aber ich habe mich dadurch daran erinnert dass ich ja auch noch Coinanteile irgendwo auf der Platte rumliegen hatte. Da ich mich Null auskannte, habe ich ihn gefragt, ob er mal schauen könne ob meine Coins noch vorhanden sind und ihm die Wallet Dateien aus der Software gegeben. Das von mir verwendete Tool hieß entweder 50-Miner oder Multibit. Er hat dann geschaut und mir ein paar Tage später gesagt, dass diese Software nicht weiter entwickelt wurde und er es von der einen Wallet in die andere konvertieren musste (von 50Miner nach Multibit oder umgekehrt), die Wallet sei aber jetzt aktuell und nutzbar. Cool, ich habe die Coins allerdings damals nicht verkauft und (wieder mal) auf meiner Platte vergessen.

Als dann Ende 2020 der Wert plötzlich lächerlich hoch ging habe ich die Wallet hervorgekramt und zu reaktivieren versucht, was mir auch gelungen ist. Die Software war allerdings nun auch wieder eingestellt und ich habe meine Wallet dann endgültig auf Bitcoin Core umgestellt. Soweit so gut. Im Februar habe ich einem Freund von mir einen geringen Betrag (0,005 inklusive Gebühr) auf seine Electrum Wallet gesendet, was problemlos geklappt hat.

Da man ja bei Bitcoin Core immer die komplette Blockchain herunter laden muss, wollte ich also gestern meine Wallet auch auf Electrum umstellen und war beim Laden der Software 8 Wochen im Rückstand (Der Tag an dem ich die Transaktion durchgeführt habe). Ich war einige Stunden afk und als ich zurück kam kam habe ich die Transaktion gesehen.
Hier noch ein paar Punkte bevor ich endlich zu meinen Fragen komme (sorry)

- Meine Wallet ist verschlüsselt
- Niemand hat räumlichen Zugang zu meinem Rechner
- ich bin generell sehr vorsichtig was das klicken auf Links oder das öffnen von Anhängen angeht

Die alten Dateien von vor der Umstellung auf Bicoin Core liegen immer noch auf meiner Festplatte, da ich die zur Sicherheit behalten wollte, falls ich irgendwas Dummes mache und neu konvertieren muss.
Und das ist meine erste Frage (endlich).

Kann man mit Zugriff auf diese alten Dateien die Wallet einfach konvertieren und parallel nutzen?

Kann man aus der Transaktion erkennen welche Software genutzt wurde?

Wenn ich auf "hashxp dot org" die Empfängeradresse eingebe erhalte ich unter "Abnormalities" die Information, dass die Transaktion (TA) drei Inputs hat, aber nur eine Adresse. Was bedeutet das?

Die Uhrzeit der TA unterscheidet sich auf der Seite gegenüber der in meiner Software um exakt 2 Stunden (zwei Stunden später). Kann das ein Hinweis darauf sein, dass die Person in einer anderen Zeitzone war?

Wenn ich auf der Seite die Sendeadresse eingebe (also meine, vermutlich?) dann erhalte ich bei Transaktionen zwei ausgehende, nämlich 0,03 und 0,02, sowie die 5 eingehenden aus dem Jahr 2013. Die TA aus dem Februar an meinen Freund taucht nicht auf.
Die zweite TA kann aber gar nicht ausgeführt worden sein, das sich nur noch 0,045 BC in der wallet befunden haben.

Angenommen, die Person hat Zugriff auf die alten Dateien bekommen und kennt demnach den privaten Schlüssel, dann muss die Person doch auch den Inhalt der Börse kennen, oder?

Bei der Adressanalyse steht, kurz gesagt, dass die Börse leer ist, tatsächlich bekomme ich in Bitcoin Core jedoch noch 0,015 als verfügbar angezeigt, was bedeutet das?

Mein Gedanke ist nun folgender, es gibt eine Person, die genau weiß dass sich zu einem bestimmten Zeitpunkt in der Börse 0,05 BC befunden haben, nämlich der Bekannte (haben keinen Kontakt mehr) der mir damals die Wallet zuerst konvertiert hatte. Das hier ist jetzt natürlich rein spekulativ, aber kann es sein, dass jemand aus den Dateien eine Transaktion durchführen kann ohne zu wissen was letztlich vorhanden ist, mit irgendwelchen magischen Codezeilen oder was weiß ich? Ich schwimme hier wie man wohl leicht erkennen kann.

Zum Schluss möchte ich mich bei allen bedanken, die bis hierhin gelesen haben, falls jemand etwas zu den Fragen sagen kann, würde ich mich wirklich sehr über eine Antwort freuen. Nebenbei bemerkt, an alle die denken, lol was für ein Aufwand für die paar Kröten, für mich ist das sehr viel Geld und ich bin wütend aber eigentlich mehr traurig darüber was es für Menschen gibt, die sowas machen.

Ganz lieben Gruß
sourworm

[Lakai01]

Hi Sourworm!

Erstmal herzlich willkommen im Forum!
Mir sind da noch ein paar Dinge unklar:

• Du hast deinem ehemaligen Bekannten deine wallet.dat zur Verfügung gestellt, richtig?
• Du hast nach der Konvertierung (?) auf eine neue Wallet-Software keine neue Wallet angelegt und die Coins dorthin überwiesen, deine Coins blieben also immer in der Wallet, auf die auch dein Bekannter Zugriff hatte?
• Im Zuge der Umstellung auf Electrum ... hast du dir über Electrum bereits ein Wallet eingerichtet gehabt und dorthin die Coins überwiesen? Kannst du ausschließen, dass due Electrum von einer Scam-Seite heruntergeladen hast?

Kann man mit Zugriff auf diese alten Dateien die Wallet einfach konvertieren und parallel nutzen?

Die Blockchain dahinter ist dieselbe, sind die Coins also bspw. in Electrum weg, dann sind die auch in der alten Wallet weg -> in der Blockchain steht quasi die Wahrheit

Kann man aus der Transaktion erkennen welche Software genutzt wurde?

Nein, sendet die Wallet keine besonderen Metadaten mit kann man das nicht rauslesen. Einzig die Zieladresse könnte man u.U. Exchanges o.ä. zuordnen.

Die Uhrzeit der TA unterscheidet sich auf der Seite gegenüber der in meiner Software um exakt 2 Stunden (zwei Stunden später). Kann das ein Hinweis darauf sein, dass die Person in einer anderen Zeitzone war?

Ich denke eher, dass die Seite zur Anzeige der Zeit eine andere Zeitzone verwendet, steht normalerweise eh hinter dem Zeitstempel, bspw "UTC". Hast du einen Screenshot davon? Wenn du bspw. auf den Zeitstempel deines Forumsposts guckst wirst du feststellen, dass die Forumssoftware auch 2 Stunden "hinter" der deutschen Zeit ist

Angenommen, die Person hat Zugriff auf die alten Dateien bekommen und kennt demnach den privaten Schlüssel, dann muss die Person doch auch den Inhalt der Börse kennen, oder?
Bei der Adressanalyse steht, kurz gesagt, dass die Börse leer ist, tatsächlich bekomme ich in Bitcoin Core jedoch noch 0,015 als verfügbar angezeigt, was bedeutet das?

Hat jemand deinen PK dann hat der volle Kontrolle über deine Coins, ja. Ist Bitcoin Core mittlerweile aktuell? Wenn ja, dann ist es äußerst dubios, dass da noch Reststände angezeigt werden. Hast du ev. eine TransaktionsID für uns, dann kann man sich die Details dazu ansehen und sieht auch, welche Beträge tatsächlich verschoben wurden.

[sourworm]

Hallo Lakai01,

vielen Dank für deine Antwort

Hi Sourworm!

• Du hast deinem ehemaligen Bekannten deine wallet.dat zur Verfügung gestellt, richtig?
• Du hast nach der Konvertierung (?) auf eine neue Wallet-Software keine neue Wallet angelegt und die Coins dorthin überwiesen, deine Coins blieben also immer in der Wallet, auf die auch dein Bekannter Zugriff hatte?
• Im Zuge der Umstellung auf Electrum ... hast du dir über Electrum bereits ein Wallet eingerichtet gehabt und dorthin die Coins überwiesen? Kannst du ausschließen, dass due Electrum von einer Scam-Seite heruntergeladen hast?

Ja er hat damals die Wallet.dat von mir bekommen.
Die Coins blieben immer in der selben Wallet.
Die Umstellung auf Electrum habe ich noch gar nicht vorgenommen, dem Vorgang kam der Schock über die Transaktion zuvor.

Ich denke eher, dass die Seite zur Anzeige der Zeit eine andere Zeitzone verwendet, steht normalerweise eh hinter dem Zeitstempel, bspw "UTC". Hast du einen Screenshot davon? Wenn du bspw. auf den Zeitstempel deines Forumsposts guckst wirst du feststellen, dass die Forumssoftware auch 2 Stunden "hinter" der deutschen Zeit ist

OK, du hast Recht, da ist wohl der Sherlock mit mir durchgegangen, 

Hat jemand deinen PK dann hat der volle Kontrolle über deine Coins, ja. Ist Bitcoin Core mittlerweile aktuell? Wenn ja, dann ist es äußerst dubios, dass da noch Reststände angezeigt werden. Hast du ev. eine TransaktionsID für uns, dann kann man sich die Details dazu ansehen und sieht auch, welche Beträge tatsächlich verschoben wurden.

Bitcoin Core ist mittlerweile aktuell und zeigt weiterhin den Betrag von 0,015 an.

https://imgur.com/2xy0etm

Nach dem ersten Durchlauf, als ich an meinen Rechner zurück kam, war der Vorgang auch abgeschlossen, zumindest dachte ich das. Als ich nämlich die Software beendet habe ging dies innerhalb weniger Sekunden was mich schon etwas stutzig gemacht hat, weil das zuvor immer ewig gedauert hat. Der Grund war wohl, dass meine Platte komplett voll war und die Blockchain nicht gespeichert werden konnte. Ich habe dann Platz gemacht und musste beim erneuten öffnen wieder 8 Wochen Rückstand aufholen.

Ich habe auch überlegt die Empfängeradresse hier mit anzugeben, mich dann aber dagegen entschieden, weil ich vermeiden wollte, dass diese bei einer google-Suche auftaucht, für den Fall derjenige danach sucht, das ist vielleicht etwas weit hergeholt und paranoid, aber da ich evtl Anzeige erstatten will, möchte ich die nicht öffentlich machen.
Wenn du erlaubst, werde ich dir die Adresse aber gerne in einer PM schicken.

Ich habe das ganze jetzt auch noch einmal auf "blockchair dot com" angeschaut, auch dort wird bei der Analyse der Senderadresse (beginnend mit"16T...") diese als leer angezeigt.

Vielen Dank für deine Mühe

LG
sourworm

[whyte]

Ist das nicht so, dass die Bitcoin Core Wallet bei einem Transfer die komplette Wallet leert, die Überweisung vornimmt und den Rest auf eine neue Adresse legt, die in der Wallet dann drin ist ?

[sourworm]

Hallo whyte,

Ist das nicht so, dass die Bitcoin Core Wallet bei einem Transfer die komplette Wallet leert, die Überweisung vornimmt und den Rest auf eine neue Adresse legt, die in der Wallet dann drin ist ?

Das würde erklären, warum die Senderadresse (auf die 2013 die Anteile ausgezahlt wurden) auf der genannten Seite als leer angezeigt wird.
Auf Blockchair dot com wird bei meiner Transaktion vom Februar angezeigt, dass 0,015 btc Gesamtvolumen betroffen waren, der Anteil der an den Freund gehen sollte abgespalten wurde und 0,01 btc auf eine andere Adresse transferiert worden ist. Klicke ich aber auf diese, wird die als leer angezeigt.

Danke für deine Antwort

LG
sourworm

[Lakai01]

Ist das nicht so, dass die Bitcoin Core Wallet bei einem Transfer die komplette Wallet leert, die Überweisung vornimmt und den Rest auf eine neue Adresse legt, die in der Wallet dann drin ist ?

Ja, das ist nämlich auch meine Vermutung. Ich denke, sourworm ist noch im vollen Besitz seiner Coins, nur liegen die jetzt auf einer anderen Adresse. Dagegen sprechen jedoch die 0,015 BTC, die sich offensichtlich noch auf seiner Adresse befinden. Ich halte dadurch aber auch einen "Hack" für ausgeschlossen, ein Angreifer hätte wohl das Wallet komplett leergeräumt ...

Im Detail könnte man das in der Transaktion sehen.
@sourworm
Siehst du da einen "Split" der das "Verschwinden" der 0,035 BTC erklären könnte? Hast du ev. bei deiner Testüberweisung an deinen Freund aus Versehen viel zu hohe Gebühren angegeben? Was sagt da denn die Transaktion dazu? Du kannst uns hier auch gerne Screenshots deiner Transaktion reinstellen, dann brauchst du die ID nicht posten!

[-doubleU-]

Ist das nicht so, dass die Bitcoin Core Wallet bei einem Transfer die komplette Wallet leert, die Überweisung vornimmt und den Rest auf eine neue Adresse legt, die in der Wallet dann drin ist ?

Ja, das ist nämlich auch meine Vermutung. Ich denke, sourworm ist noch im vollen Besitz seiner Coins, nur liegen die jetzt auf einer anderen Adresse. Dagegen sprechen jedoch die 0,015 BTC, die sich offensichtlich noch auf seiner Adresse befinden. Ich halte dadurch aber auch einen "Hack" für ausgeschlossen, ein Angreifer hätte wohl das Wallet komplett leergeräumt ...

Ich denke auch, das ein Hacker die komplette Wallet leer geräumt hätte. Das mit der "anderen Adresse" für das Wechselgeld kam mir beim ersten lesen auch in den Sinn, noch dazu da das Triggerwort "Multibit" mit im Spiel war. Aber da die Zahlung wohl erst nach der Umstellung auf Bitcoin Core erfolgte, sollte so etwas eigentlich nicht passieren. Sollte die Zahlung doch noch mit der Multibitwallet durchgeführt worden sein, wäre die Erklärung relativ simpel, da diese Wallet einen anderen Derivation Path für die Wechselgeldadressen nutzt.

Ich habe auch überlegt die Empfängeradresse hier mit anzugeben, mich dann aber dagegen entschieden, weil ich vermeiden wollte, dass diese bei einer google-Suche auftaucht, für den Fall derjenige danach sucht, das ist vielleicht etwas weit hergeholt und paranoid, aber da ich evtl Anzeige erstatten will, möchte ich die nicht öffentlich machen.
Wenn du erlaubst, werde ich dir die Adresse aber gerne in einer PM schicken.

Auch wenn du zukünftig noch eine Anzeige machen willst, spricht ja eigentlich nichts dagegen sich vorab im Netz über den Sacherhalt zu informieren. Daher wäre es kein Problem Adressen oder TX-ID`s hier zu posten. Diese würden es sicher etwas einfacher machen das geschehene nachzuvollziehen, aber wie @Lakai01 schon schrieb, wären auch Screenshots hilfreich.

[sourworm]

Ja, das ist nämlich auch meine Vermutung. Ich denke, sourworm ist noch im vollen Besitz seiner Coins, nur liegen die jetzt auf einer anderen Adresse. Dagegen sprechen jedoch die 0,015 BTC, die sich offensichtlich noch auf seiner Adresse befinden. Ich halte dadurch aber auch einen "Hack" für ausgeschlossen, ein Angreifer hätte wohl das Wallet komplett leergeräumt ...

Dass noch immer Guthaben angezeigt wird, wundert mich auch. Einen Hack würde ich aber dennoch nicht ganz ausschließen, da die Transaktion zu einem Zeitpunkt stattgefunden hat, zu dem ich die Software schon über einen Monat nicht geöffnet hatte. Die acht Wochen Rückstand sind da ein gutes Indiz für mich. Ich habe im Februar eine weitere Börse angelegt, die ist aber leer und ohne TA.

Im Detail könnte man das in der Transaktion sehen.

In die Transaktionen sind einige Adressen involviert, da sind für mich die Zusammenhänge noch etwas unklar.

@sourworm
Siehst du da einen "Split" der das "Verschwinden" der 0,035 BTC erklären könnte? Hast du ev. bei deiner Testüberweisung an deinen Freund aus Versehen viel zu hohe Gebühren angegeben? Was sagt da denn die Transaktion dazu?

Die im Screenshot angezeigten, ausgehenen 0,005 btc sind das, was ich im Februar einem Freund gesendet habe. Das war meine erste und bisher einzige Transaktion, die ich aktiv ausgeführt habe. Ich erinnere mich, dass ich wegen der Gebühr ziemlich lange gezögert und recherchiert habe, da ich weder ganz vertanden hatte was diese Gebühr eigentlich ist, noch wie hoch man die ansetzen sollte. Ich kann aber sicher bestätigen, dass der Betrag, der bei dem Freund zu den bei mir angezeigten, abgehenden Anteile, exakt der von mir gewählten Höhe der Gebühr entspricht. Die TA ging damals in weniger als einer Stunde durch.

Die andere Transaktion (0,03 btc) ist die, um die es geht, die vermeintlich "geplünderten" btc. Auf der Empfängeradresse wird in der Chain ein Guthaben von 0,029... btc angezeigt, die Höhe der Gebügr wird an anderer Stelle ebenfalls benannt und sind dort auch noch immer vorhanden, also nicht ausgegeben.
Es wurden von meiner Adresse drei TA mit jeweils 0,01 btc getätigt, die jeweiligen Gebühren sind ausgewiesen. Wenn ich HASHXP richtig interpretiere, dann ist das nicht normal, da es in dem Zusammenhang bei den "Abnormalies" genannt wird.

Du kannst uns hier auch gerne Screenshots deiner Transaktion reinstellen, dann brauchst du die ID nicht posten!

Wenn ich später etwas mehr Zeit finde, füge ich hier ein paar screenshots ein.

LG
sourworm

[sourworm]

Ist das nicht so, dass die Bitcoin Core Wallet bei einem Transfer die komplette Wallet leert, die Überweisung vornimmt und den Rest auf eine neue Adresse legt, die in der Wallet dann drin ist ?

Ja, das ist nämlich auch meine Vermutung. Ich denke, sourworm ist noch im vollen Besitz seiner Coins, nur liegen die jetzt auf einer anderen Adresse. Dagegen sprechen jedoch die 0,015 BTC, die sich offensichtlich noch auf seiner Adresse befinden. Ich halte dadurch aber auch einen "Hack" für ausgeschlossen, ein Angreifer hätte wohl das Wallet komplett leergeräumt ...

Ich denke auch, das ein Hacker die komplette Wallet leer geräumt hätte. Das mit der "anderen Adresse" für das Wechselgeld kam mir beim ersten lesen auch in den Sinn, noch dazu da das Triggerwort "Multibit" mit im Spiel war. Aber da die Zahlung wohl erst nach der Umstellung auf Bitcoin Core erfolgte, sollte so etwas eigentlich nicht passieren. Sollte die Zahlung doch noch mit der Multibitwallet durchgeführt worden sein, wäre die Erklärung relativ simpel, da diese Wallet einen anderen Derivation Path für die Wechselgeldadressen nutzt.

Hallo doubleU,
ich schließe hieraus, dass Multibit Transaktionen irgendwie problematisch waren und die Software aus gutem Grund nicht weiter genutzt werden kann?
Was passiert aber, wenn man mit dem pk aus der Multibitwallet.dat eine weitere Börse generiert? Wie konkurrieren die mit einander? Ist das ein wer zuerst kommt, mahlt zuerst-Prinzip? Oder können die spezifischen Bitcoin keiner zweiten Börse zugefügt werden?

Auch wenn du zukünftig noch eine Anzeige machen willst, spricht ja eigentlich nichts dagegen sich vorab im Netz über den Sacherhalt zu informieren. Daher wäre es kein Problem Adressen oder TX-ID`s hier zu posten. Diese würden es sicher etwas einfacher machen das geschehene nachzuvollziehen, aber wie @Lakai01 schon schrieb, wären auch Screenshots hilfreich.

Ich freue mich, dass ich hier offenbar den richtigen Ort gefunden habe, mich gut zu informieren.
An den screenshots arbeite ich noch. Ich bin dabei aber prinzipiell erstmal sehr vorsichtig, solange ich nicht zumindest ansatzweise verstehe was ich da veröffentliche.

Danke für Mühe

LG sourworm

[-doubleU-]

Hallo doubleU,
ich schließe hieraus, dass Multibit Transaktionen irgendwie problematisch waren und die Software aus gutem Grund nicht weiter genutzt werden kann?
Was passiert aber, wenn man mit dem pk aus der Multibitwallet.dat eine weitere Börse generiert? Wie konkurrieren die mit einander? Ist das ein wer zuerst kommt, mahlt zuerst-Prinzip? Oder können die spezifischen Bitcoin keiner zweiten Börse zugefügt werden?

Die Multibit Wallet war etwas Bugbehaftet und die Entwickler hatten teilweise andere Wege eingeschlagen als andere Walletentwickler. Irgendwann wurde die Entwicklung dann einfach eingestellt und User mit Problemen allein gelassen. Transaktionen waren aber mit der Multibitwallet ebenso korrekt möglich wie mit jeder anderen Wallet. Nur die "Wechselgeldadressen" wurden intern etwas anders verwaltet, so das bei einem wechsel der Wallet mittels des Seed die Wechselgeldadressen nicht mit auftauchten, da diese in einem abweichenden Derivation Path liegen. Das alles ist aber problemlos lösbar, hat aber mit deinem Problem wahrscheinlich nichts zu tun, wenn die Transaktion erst nach dem Walletwechsel durchgeführt wurde.

Ich freue mich, dass ich hier offenbar den richtigen Ort gefunden habe, mich gut zu informieren.
An den screenshots arbeite ich noch. Ich bin dabei aber prinzipiell erstmal sehr vorsichtig, solange ich nicht zumindest ansatzweise verstehe was ich da veröffentliche.

Dieses Forum ist definitiv der richtige Anlaufpunkt, wenn man geballtes Wissen rund um Bitcoin sucht.
Vorsicht bei Veröffentlichungen ist immer gut, aber grundlegend kannst du davon ausgehen das alle Daten welche in Block Explorern wie https://www.blockchain.com einsehbar sind, keinen Angriffsvektor auf deine Coins darstellen.

[Lakai01]

Die 0,03 BTC liegen nun vermutlich auf einer "Change"-Adresse, die jedoch ebenfalls dir gehört. Es ist jedoch wie -doubleU- schon geschrieben hat gut möglich, dass diese unter einem anderen "Derivation Path" liegt ... dazu kenne ich aber Bitcoin Core zu wenig muss ich ehrlich gesagt sagen.

Wäre es eine Möglichkeit, dass du dein Bitcoin Core Wallet nun in Electrum wiederherstellst? Wie das geht findest du hier: How can I transfer a Bitcoin-qt wallet to Electrum?

[bob123]

Das scheint schon ein etwas verwirrender Fall zu sein.
Ich versuche mal deine Fragen strukturiert zu beantworten:

Kann man mit Zugriff auf diese alten Dateien die Wallet einfach konvertieren und parallel nutzen?

Kommt darauf an was du unter "konvertieren" verstehst. Das Wort an sich ist falsch gewählt.

Vermutlich ist damit gemeint gewesen, dass die Coins vom alten auf das neue Wallet transferiert wurden.
Falls in diesem Fall alles transferiert wurde, sind die alten Dateien wertlos.

Kann man aus der Transaktion erkennen welche Software genutzt wurde?

Es gibt Heuristiken für eine große Menge an Transaktionen.
In deinem konkreten Fall: Nein.

Wenn ich auf "hashxp dot org" die Empfängeradresse eingebe erhalte ich unter "Abnormalities" die Information, dass die Transaktion (TA) drei Inputs hat, aber nur eine Adresse. Was bedeutet das?

Die Seite sagt mir nichts.
Aber das bedeutet an sich nichts. Bitcoin funktioniert mit einem UTXO Modell. Die Transaktion hat einfach mehrere Inputs gehabt (selbe Adresse).

Die Uhrzeit der TA unterscheidet sich auf der Seite gegenüber der in meiner Software um exakt 2 Stunden (zwei Stunden später). Kann das ein Hinweis darauf sein, dass die Person in einer anderen Zeitzone war?

Nein, die Zeit gibt an wann der Blockexplorer die Transaktion empfangen hat.
Du könntest höchstens auf die Zeitzone des Blockexplorers schließen.

Wenn ich auf der Seite die Sendeadresse eingebe (also meine, vermutlich?) dann erhalte ich bei Transaktionen zwei ausgehende, nämlich 0,03 und 0,02, sowie die 5 eingehenden aus dem Jahr 2013. Die TA aus dem Februar an meinen Freund taucht nicht auf.
Die zweite TA kann aber gar nicht ausgeführt worden sein, das sich nur noch 0,045 BC in der wallet befunden haben.

Du hast auch nur nach einer Adresse geschaut.
Wallets nutzen in der Regel immer mehrere Adressen, und nicht nur eine.

Angenommen, die Person hat Zugriff auf die alten Dateien bekommen und kennt demnach den privaten Schlüssel, dann muss die Person doch auch den Inhalt der Börse kennen, oder?

Naja, entweder sind die alten Daten wertlose oder die senthalten noch Coins.
Ein private key würde einem nur den Zugang zu den Coins einer Adresse geben. Die Dateien enthalten aber Daten für den Master Private Key (also alle private keys).
Im letzteren (und wahrscheinlicherem) Fall: Ja.

Bei der Adressanalyse steht, kurz gesagt, dass die Börse leer ist, tatsächlich bekomme ich in Bitcoin Core jedoch noch 0,015 als verfügbar angezeigt, was bedeutet das?

Die Coins liegen bestimmt auf einer anderen Adresse.
Ein Wallet ist eine Software die für dich deine Adressen und dazugehörigen Private keys administriert.

Ist das nicht so, dass die Bitcoin Core Wallet bei einem Transfer die komplette Wallet leert, die Überweisung vornimmt und den Rest auf eine neue Adresse legt, die in der Wallet dann drin ist ?

Bitte keine Unwahrheiten mit vermischten Begriffen hier hineinbringen. Das verwirrt unter Umständen nur zu sehr.

Core leert nicht das ganze Wallet. Das ist absoluter Quatsch.
Einzelne Inputs (nicht Adressen!) müssen "komplett" gebraucht werden. So funktioniert das UTXO Modell von Bitcoin. Das hast nichts mit Core zu tun.

Der Rest dieser ausgewählten Inputs landet dann auf einem Change Output auf einer anderen Adresse.
Das "Wallet" ist die ganze Core-Applikation mit der Wallet-Datei. Eine einzelne Adresse kann hier mehrere UTXOs haben, nicht alle müssen verwendet werden. Jedoch müssen die verwendeten komplett verwendet werden.


@OP
Könntest du uns eventuell alle beteiligten Adressen hier posten, so dass wir uns ein Bild darüber machen können was exakt passiert ist?

[sourworm]

Das scheint schon ein etwas verwirrender Fall zu sein.
Ich versuche mal deine Fragen strukturiert zu beantworten:

Hallo bob123 und alle anderen Beteiligten,

vielen Dank für deine Antwort, ich fürchte die Hauptschuld an der Verwirrung trage wohl ich  

Die Coins liegen bestimmt auf einer anderen Adresse.
Ein Wallet ist eine Software die für dich deine Adressen und dazugehörigen Private keys administriert.

wenn ich mir die Adresse anschaue, auf die ursprünglich 0,05 btc übertragen wurden, sehe ich nur zwei Abgänge:

1) 0,02 BTC am 1x.02.2021
    zwei inputs mit jeweils 0,01 BTC an zwei Adressen, wobei 0,005 (abzgl. Fee) an die Adresse des genannten Freundes gingen, die restlichen 0,015 BTC an eine weitere Adresse, die
    auch in meiner Corewallet verwaltet wird. Soweit ich das verstanden habe, handelt es sich dabei um mein derzeitiges Restguthaben.

2) 0,03 BTC am 0x.04.2021
    drei inputs mit jeweils 0,01 BTC an eine unbekannte Adresse. Die nach Abzug der Fee verbliebenen BTC liegen dort noch. Diese Adresse wird nicht durch meine Wallet verwaltet.

Die zweite Transaktion habe ich nicht bewusst veranlasst. Als ich vor ein paar Tagen Core geöffnet habe musste ich 8 Wochen Rückstand aufholen. Dieser Zeitraum passt zu der Transaktion im Februar.

Dabei ist dann das hier passiert:

Nach dem ersten Durchlauf, als ich an meinen Rechner zurück kam, war der Vorgang auch abgeschlossen, zumindest dachte ich das. Als ich nämlich die Software beendet habe ging dies innerhalb weniger Sekunden was mich schon etwas stutzig gemacht hat, weil das zuvor immer ewig gedauert hat. Der Grund war wohl, dass meine Platte komplett voll war und die Blockchain nicht gespeichert werden konnte. Ich habe dann Platz gemacht und musste beim erneuten öffnen wieder 8 Wochen Rückstand aufholen.

Das heisst, ich kann nicht mit 100 % Sicherheit sagen, dass die Software nicht zwischenzeitlich doch mal geöffnet wurde, da ich nicht nachvollziehen kann ab welchem Zeitpunkt die Platte so voll war, dass die Chain nicht gespeichert werden konnte.

Die Frage die sich mir jetzt stellt ist, wie diese zweite Transaktion zu Stande gekommen ist.
Gibt es Mechanismen, die Transaktionen automatisiert auf der Blockchain durchführen?
Könnte es sein, dass eine solche Transaktion durch einen Softwarefehler entsteht?
Was sagt z.B. die Höhe der gewählten Gebühr aus, ich verstehe dass man diese frei wählen kann, oder in seiner Software ein festes Verhältnis BTC/kB angeben kann. Die aktuell in Core empfohlene gewählte Gebühr entspricht nicht der Höhe die in der 2. Transaktion verwendet wurde. Ändert sich die softwareinterne Empfehlung automatisch und wenn ja, nach welchen Kriterien?

@OP
Könntest du uns eventuell alle beteiligten Adressen hier posten, so dass wir uns ein Bild darüber machen können was exakt passiert ist?

Seit Tagen beschäftigt mich das mit dem Veröffentlichen der Adressen, weil so viele nette Menschen helfen wollen und mir klar ist, dass das einfacher ist, wenn jeder nachvollziehen kann, was genau passiert ist.

Nach allem was ich bisher weiß/hier lesen konnte, kann ich mir drei Szenarien vorstellen was hier passiert sein könnte:

1. ich wurde Opfer eines Hackerangriffes, meine Daten gephished oder es wurde Malware eingesetzt.
 - das halte ich für eher unwahrscheinlich, da ich zum Einen sehr vorsichtig bin (ich nehme Internetsicherheit und Datenschutz sehr ernst) und zum Anderen die Wallet nicht komplett
   geräumt wurde.

2. ich habe durch einen Bedienfehler und/oder aufgrund meiner Unkenntnis darüber was ich da eigentlich mache, die BTC selbst irgendwie auf eine andere Adresse verschoben und
    habe nur keinen Zugriff mehr darauf.
 - solange hier nicht das Gegenteil bewiesen ist, halte ich das für sehr gut möglich.

3. ich wurde gezielt/versehentlich bestohlen, wobei die Wallet.dat dabei eine Rolle spielt.
 - hierbei gibt es so viele Fragen und lose Enden, dass ich da momentan etwas Ratlos bin.

In den beiden ersten Szenarien sehe ich auch kein Problem darin die Adressen zu veröffentlichen, sollte es sich aber um eine gezielte Aktion handeln, würde es dem vermeintlichen Täter, der evtl. die Adressen googelt, diesen Forumsbeitrag liefern. Das will ich vermeiden, um meine etwaigen Chancen, davon jemals etwas davon wieder zu sehen, nicht komplett zu ruinieren. Zugegeben, das ist vielleicht weit hergeholt und spekulativ und kommt mir beim Schreiben fast selbst lächerlich vor, aber ich halte mal noch etwas länger daran fest, solange ich Sz3 nicht ausschließen kann.

Vielen Dank für deine Zeit.

LG
sourworm

[sourworm]

Die 0,03 BTC liegen nun vermutlich auf einer "Change"-Adresse, die jedoch ebenfalls dir gehört. Es ist jedoch wie -doubleU- schon geschrieben hat gut möglich, dass diese unter einem anderen "Derivation Path" liegt ... dazu kenne ich aber Bitcoin Core zu wenig muss ich ehrlich gesagt sagen.

Wäre es eine Möglichkeit, dass du dein Bitcoin Core Wallet nun in Electrum wiederherstellst? Wie das geht findest du hier: How can I transfer a Bitcoin-qt wallet to Electrum?

Bislang ist Electrum noch nicht involviert und um die Dinge nicht weiter zu Verkomplizieren, warte ich damit noch etwas ab. Aber letztlich war der Plan auf Electrum umzustellen, also Danke für den Link.