Unbekannte Transaktion von meiner Wallet - Diebstahl?

[walsc]

Habe eben eine bis jetzt unbestätigte und auch völlig ungerechtfertigte Transaktion von meiner Wallet an eine andere Adresse festgestellt. Ich habe niemandem Bitcoins gesendet, dennoch sieht es aber danach aus, was kann man da machen?
Meine Wallet ist mit einer Passphrase verschlüsselt.

[shorena]

Habe eben eine bis jetzt unbestätigte und auch völlig ungerechtfertigte Transaktion von meiner Wallet an eine andere Adresse festgestellt. Ich habe niemandem Bitcoins gesendet, dennoch sieht es aber danach aus, was kann man da machen?
Meine Wallet ist mit einer Passphrase verschlüsselt.

Double spend auf eine neue Wallet durchführen ehe die TX bestätigt ist.

[walsc]

Sorry, das ist mir zu hoch, wie geht das?

Habe eben eine bis jetzt unbestätigte und auch völlig ungerechtfertigte Transaktion von meiner Wallet an eine andere Adresse festgestellt. Ich habe niemandem Bitcoins gesendet, dennoch sieht es aber danach aus, was kann man da machen?
Meine Wallet ist mit einer Passphrase verschlüsselt.

Double spend auf eine neue Wallet durchführen ehe die TX bestätigt ist.

[shorena]

Sorry, das ist mir zu hoch, wie geht das?

Habe eben eine bis jetzt unbestätigte und auch völlig ungerechtfertigte Transaktion von meiner Wallet an eine andere Adresse festgestellt. Ich habe niemandem Bitcoins gesendet, dennoch sieht es aber danach aus, was kann man da machen?
Meine Wallet ist mit einer Passphrase verschlüsselt.

Double spend auf eine neue Wallet durchführen ehe die TX bestätigt ist.

Kommt auf die Wallet an, welche benutzt du? Ist die Transaktion immer noch nicht bestätigt? In jedem Fall brauchst du eine neue, auf einem sauberen System erstellte Wallet.

[walsc]

Ich verwende die Bitcoin Core-Wallet in der aktuellen Version. Es wurden 0.00529394 BTC an eine unbekannte Adresse überwiesen (immer noch unbestätigt). Das ist zwar nicht viel, aber zu viel, um als Gebühr für eine vorangegangene Transaktion durchzugehen, oder?

[shorena]

Ich verwende die Bitcoin Core-Wallet in der aktuellen Version. Es wurden 0.00529394 BTC an eine unbekannte Adresse überwiesen (immer noch unbestätigt). Das ist zwar nicht viel, aber zu viel, um als Gebühr für eine vorangegangene Transaktion durchzugehen, oder?

Gebühren werden nicht als gesonderte Transaktion angezeigt. Zeigt die Wallet den an das der Betrag abgeht oder nimmst du das nur an? Kann es z.B. eine Adresse für Change (Wechselgeld) sein?

[Chris601]

In welcher Form taucht denn diese Transaktion überhaupt auf und bist du dir sicher, dass du sie nicht doch selbst ausgelöst hast und das ganze eine Wechselgeld-Adresse ist?

Kannst du die Transaktions-ID mal posten?

mehrere Inputs oder Outputs?  Wenn ja, wozu passt die andere Adresse?

Hast du irgendeine Adresse mal in dein wallet importiert, die du (oder jemand anderes) anderweitig nutzt? (altes Paperwallet, eine Adresse, die du irgendwie anders in dein wallet importiert hast?)

Ich bin mir gerade unsicher ob Core eine von außerhalb angestoßene Transaktion überhaupt mitbekommen/darstellen würde.

So wie du es schilderst, klingt das für mich eher nach einer Fehlbedienung als nach einem Diebstahl.

Und warum wird diese Transaktion überhaupt nicht bestätigt? Fee zu gering?

[walsc]

Nun, in der Übersicht taucht plötzlich eine Transaktion auf, die so aussieht, als hätte ich jemandem BTC gesendet, was ich aber nicht habe.

Status: 0/unconfirmed, in memory pool
Date: 30.12.2016 10:38
To: 19W27gWjoQAmQ2YhokYBTchVWEUJ4Skzix
Debit: -0.00529394 BTC
Net amount: -0.00529394 BTC
Transaction ID: d7b61ed5ab44efa9ae36bd15b566ae3a148723440f3fb84bd0de76be37171469
Output index: 0

Ja, mehr kann ich dazu nicht sagen, außer dass ich sicher bin, dass ich diese Transaktion nicht selbst getätigt habe, da ich nur alle paar Wochen mal BTC überweise oder bekomme.

[shorena]

Hmm, komisch ist das schon.

Also double spend:

#1 bitcoin core schließen
#2 Win + R drück für "ausführen"
#3 c:\Program Files\Bitcoin\bitcoin-qt.exe -zapwallettxes eingeben (ggf. pfad ändern) und mit OK bestätigen
#4 warten
#5 neue TX erzeugen die möglichst alle bitcoin an eine sichere Wallet schickt.

[walsc]

Danke, mache ich gerade.

[walsc]

So, nach der Aktion mit ...-zapwallettxes scheint die Transaktion in der Wallet nicht mehr auf.
Interessant.
Soll ich dennoch das Guthaben in eine andere Wallet verschieben?

[shorena]

So, nach der Aktion mit ...-zapwallettxes scheint die Transaktion in der Wallet nicht mehr auf.
Interessant.
Soll ich dennoch das Guthaben in eine andere Wallet verschieben?

Um sicher zu gehen, ja. Wenn wir davon ausgehen, dass jemand anderes Zugriff auf (einige) privaten Schlüssel hatte, dann solltest du ab sofort neue Schlüssel benutzen und daher alle Bitcoin an die neue Wallet schicken.

[Chris601]

Bei Blocktrail.com tauchte diese tx erstmals am 16.11. (!) auf.
https://www.blocktrail.com/BTC/tx/d7b61ed5ab44efa9ae36bd15b566ae3a148723440f3fb84bd0de76be37171469

Es ist/war eine gebührenfreie tx, die 5 inputs von zwei verschiedenen Adressen hat. An Diebstahl glaube ich deshalb immer noch  nicht. Es müssten 2 Schlüssel gleichzeitig gestohlen wurden sein und selbst wenn das der Fall wäre, hätte es der Dieb sicherlich nicht gebührenfrei transferiert, was zu diesem Zeitpunkt schon kaum mehr möglich gewesen wäre (wie man sieht).

Zwie denkbare Szenarien kann ich mir vorstellen:

Du hast in November/Dezember (oder vielleicht sogar noch eher im Laufe diesen Jahres) eine gebührenfreie tx angestoßen um Bitcointeile zusammenzuführen oder irgendwo hin zu überweisen.
Du hast dann gemerkt, dass diese tx nicht durchgeht und hast die "-zapwallettxes"-Prozedur schon einmal durchgeführt. Die tx war weg, das Geld war wieder da und der Fall für dich erledigt.
Die tx geisterte in den Mempools der anderen Nodes noch herum und erreichte deinen Node, der von der tx schon nichts mehr wusste am 30.12. wieder.

Szenario 2 wäre eine Backup/Kopie o.ä. deiner wallet.dat.
Denkbar wäre, dass du die Transaktion im Nov. oder früher durchgeführt hast (die nie bestätigt wurde dank fehlender fee) und anschließend ein Backup deiner wallet.dat eingespielt hast, wo eben diese tx noch fehlte.
Wie oben beschriebn erreichte dich die tx dann aus dem mempool am 30.12. wieder.


Zum Verständnis:
Hast du seit November irgend etwas an deiner Core-Software verändert oder läuft diese Installation seit Monaten unangetastet? Wenn du nichts verändert hast, kann sicherlich die debug.log Aufschluss geben, was passiert ist. Anfangen mit suchen würde ich Mitte November.

In der roh-tx sollte der Block (und damit der genaue Zeitpunkt) zu erkennen sein, wann diese TX erstmals publiziert wurde. da kann man vielleicht genauer suchen.

THEORETISCH ist ein Diebstahl der privat-keys oder -da es zwei sind- der wallte.dat natürlich nicht ausgeschlossen. Glaube ich wie gesagt aber nicht. Wegüberweisen ist natürlich trotzdem der sicherste Weg.

[shorena]

Bei Blocktrail.com tauchte diese tx erstmals am 16.11. (!) auf.
https://www.blocktrail.com/BTC/tx/d7b61ed5ab44efa9ae36bd15b566ae3a148723440f3fb84bd0de76be37171469

Es ist/war eine gebührenfreie tx, die 5 inputs von zwei verschiedenen Adressen hat. An Diebstahl glaube ich deshalb immer noch  nicht. Es müssten 2 Schlüssel gleichzeitig gestohlen wurden sein und selbst wenn das der Fall wäre, hätte es der Dieb sicherlich nicht gebührenfrei transferiert, was zu diesem Zeitpunkt schon kaum mehr möglich gewesen wäre (wie man sieht).

Zwie denkbare Szenarien kann ich mir vorstellen:

Du hast in November/Dezember (oder vielleicht sogar noch eher im Laufe diesen Jahres) eine gebührenfreie tx angestoßen um Bitcointeile zusammenzuführen oder irgendwo hin zu überweisen.
Du hast dann gemerkt, dass diese tx nicht durchgeht und hast die "-zapwallettxes"-Prozedur schon einmal durchgeführt. Die tx war weg, das Geld war wieder da und der Fall für dich erledigt.
Die tx geisterte in den Mempools der anderen Nodes noch herum und erreichte deinen Node, der von der tx schon nichts mehr wusste am 30.12. wieder.

Szenario 2 wäre eine Backup/Kopie o.ä. deiner wallet.dat.
Denkbar wäre, dass du die Transaktion im Nov. oder früher durchgeführt hast (die nie bestätigt wurde dank fehlender fee) und anschließend ein Backup deiner wallet.dat eingespielt hast, wo eben diese tx noch fehlte.
Wie oben beschriebn erreichte dich die tx dann aus dem mempool am 30.12. wieder.


Zum Verständnis:
Hast du seit November irgend etwas an deiner Core-Software verändert oder läuft diese Installation seit Monaten unangetastet? Wenn du nichts verändert hast, kann sicherlich die debug.log Aufschluss geben, was passiert ist. Anfangen mit suchen würde ich Mitte November.

In der roh-tx sollte der Block (und damit der genaue Zeitpunkt) zu erkennen sein, wann diese TX erstmals publiziert wurde. da kann man vielleicht genauer suchen.

THEORETISCH ist ein Diebstahl der privat-keys oder -da es zwei sind- der wallte.dat natürlich nicht ausgeschlossen. Glaube ich wie gesagt aber nicht. Wegüberweisen ist natürlich trotzdem der sicherste Weg.

nice catch.

[walsc]

Ich habe tatsächlich meine Wallet aus einer alten Sicherung wiederhergestellt, und zwar einige Tage bevor diese rätselhafte Transaktion in Erscheinung getreten ist.

Ich denke, damit ist der Fall gelöst. Danke für die Unterstützung!