Trezor one gehacked

[nixwisser]

Hallo!
Ich bin neu hier und hoffe auf irgendwelche Ideen bzw. möchte auch vor Missbrauch warnen:

Als ich kürzlich ein update auf meinem trezor one durchgeführt habe, ist dieses nur zu 40 % gelaufen. Ich schob es auf die Internetverbindung und wollte es später erneut versuchen. Mein Trezor zeigte keine Transaktionen an und später funktionierten die Buchstaben auf meinem Laptop nicht mehr, keine Lösung brachte Erfolg.
Ergo nahm ich einen anderen Laptop, habe einen neuen trezor one gekauft und musste mit Entsetzen feststellen, dass meine Bitcoins gestohlen wurden! Meine accounts waren wieder da, aber ( bis auf ein paar Euros ) leer. Mehrere Transaktionen an drei Empfänger wurden angezeigt.
Meinen kläglichen Rest habe ich sofort runtergenommen.

Trezor habe ich natürlich angeschrieben, aber dort kann momentan eine Antwort bis zu 20 Tage dauern.

Hat jemand eine Idee, was ich unternehmen kann? Ist mein Trezor überhaupt noch zu gebrauchen?
Ich bin echt fertig!

Gruß
Simone

[bullrun2024bro]

Hat jemand eine Idee, was ich unternehmen kann? Ist mein Trezor überhaupt noch zu gebrauchen?
Ich bin echt fertig!

Hallo Simone,

dass hört sich leider nicht gut an. Auch Trezor wird die Transaktionen nicht rückabwickeln können. Wenn jemand Zugriff zu deinem Wallet erlangt und die Coins bereits transferiert hat, gibt es keine Möglichkeit mehr diese wieder zu bekommen. Ich hoffe es war keine zu große Summe.

Vermutlich lag das Problem nicht bei Trezor selbst, sondern dass du versehentlich Schadsoftware auf deinen Laptop geladen hast und so Zugriff auf deine Wallets erlangt wurde. Hast du die korrekte Website für das Update verwendet? Oder einen Link den du ggf. per E-Mail zugesendet bekommen hast?

Auf jeden Fall würde ich den infizierten Laptop aktuell keinesfalls mehr nutzen und zeitnah neu aufsetzen, damit du sicher gehst, das nicht noch weitere Daten/Wallets gestohlen werden.

[nixwisser]

Ich würde nicht so verzwiefelt suchen, wenn es sich nicht um meine Altersvorsorge handelt.
Wie kann jemand Zugriff erlangen? Ich bin mehr als vorsichtig und trezor wirbt mit Sicherheit.
Das update wurde verlangt, als der trezor angeschlossen wurde, also ja (nicht über eine app oder mail) - das zeigt doch schon eine Sicherheitslücke.
Neu aufsetzen heißt von einem Fachmann löschen lassen? Selbst über den Windows-Forum komme ich noch nicht mal mehr in BIOS.
Was ist mit dem trezor? Wo und wie bekomme ich neue seeds? Soll ich überhaupt nochmal trezor vertrauen?
Ich könnte nur noch heulen...

[bullrun2024bro]

Ich würde nicht so verzwiefelt suchen, wenn es sich nicht um meine Altersvorsorge handelt.
Wie kann jemand Zugriff erlangen? Ich bin mehr als vorsichtig und trezor wirbt mit Sicherheit.
Das update wurde verlangt, als der trezor angeschlossen wurde, also ja (nicht über eine app oder mail) - das zeigt doch schon eine Sicherheitslücke.
Neu aufsetzen heißt von einem Fachmann löschen lassen? Selbst über den Windows-Forum komme ich noch nicht mal mehr in BIOS.
Was ist mit dem trezor? Wo und wie bekomme ich neue seeds? Soll ich überhaupt nochmal trezor vertrauen?
Ich könnte nur noch heulen...

Du musst an deinem Hardware-Wallet doch physisch etwas bestätigt haben. Bitte schildere uns noch einmal den genauen Ablauf. Hast du deine Passphrase irgendwo eingeben? Aber nochmal: Wenn deine Coins bereits transferiert wurden, sind sie gestohlen. Eine Rückabwicklung von Transaktionen funktioniert nicht.

Wenn es um einen größeren Betrag geht, würde ich ggf. Anzeige erstatten. Auch wenn es vermutlich schwierig wird die Täter zu fassen.

[nixwisser]

Bei dem update wurden Daten abgefragt und unsererseits eingegeben, korrekt. Auch ein Freund, der ebenfalls updates vorgenommen hat, wurde nach diesen Sicherheitsdaten gefragt ( ist auch schon das 3. update ), wobei man sich nichts gedacht hat...

Aber ja, Coins sind weg, Anzeige habe ich erstattet.

Trotzdem danke

[mole0815]

Herzlich willkommen Simone,

das klingt leider nicht sehr gut. Entstanden ist das Problem mMn. bei diesem Schritt:

Als ich kürzlich ein update auf meinem trezor one durchgeführt habe, ist dieses nur zu 40 % gelaufen.

Wie genau habt ihr das Update durchgeführt? Lt. deinem Text war es In-App aber trotzdem wurden Eingaben notwendig?

Das update wurde verlangt, als der trezor angeschlossen wurde, also ja (nicht über eine app oder mail) - das zeigt doch schon eine Sicherheitslücke.

https://blog.trezor.io/fight-phishing-with-trezor-452d1c081abe
https://blog.trezor.io/phishing-attacks-are-targeting-trezor-users-4edac4cb96fa

We guarantee that you’ll never fall for phishing if you follow these steps:
Trust your device. Look for confirmation on the screen, especially when it involves transactions or your recovery seed. There’s a reason we call it a Trusted Display.

Von einem generelen Problem hätte ich noch nie gehört. Würde es aber gut finden wenn wir gemeinsam rausfinden wie es dazu kam.

[Real-Duke]

Bei dem update wurden Daten abgefragt und unsererseits eingegeben, korrekt. Auch ein Freund, der ebenfalls updates vorgenommen hat, wurde nach diesen Sicherheitsdaten gefragt ( ist auch schon das 3. update ), wobei man sich nichts gedacht hat...

Aber ja, Coins sind weg, Anzeige habe ich erstattet.

Trotzdem danke

So leid es mir persönlich für Deine Ersparnisse tut, informiere bitte umgehend deinen Freund darüber, dass er seine Coins an eine neue Wallet (nicht auf den betreffenden Tresor) schickt!
Mehr kannst Du ausser der Anzeige gegen unbekannt leider derzeit nicht machen.

[nixwisser]

Also, richtig gesagt, hat mein Mann dieses update durchgeführt - wie gesagt, so wie die anderen beiden male auch - über trezor.io angemeldet, trezor angeschlossen, dort wurde auf das update hingewiesen, trezor wieder getrennt, beide Tasten auf diesem gedrückt, wieder angeschlossen, update gestartet unter Angabe der seeds. Der update lief bis 40 %, dann blieb er hängen. Trezor getrennt, wieder angeschlossen, update lief wieder nur bis 40 %. Zu dieser Zeit dachten wir an eine Internetunterbrechung. Zu Hause war dann keine Tranzaktion mehr vorhanden, einen neuen trezor gekauft, angeschlossen und dann der Schock! Den neuen trezor haben wir dann leer gemacht.
Wie gesagt, hat der Laptop auch einen weg - da hat ein Mensch, dem ich einen schlimmen Corona-Verlauf wünsche, was schlimmes angerichtet!

Wie bekommt man denn neue seeds?

[Coiner.de]

update gestartet unter Angabe der seeds.

So macht man das halt auf keinen Fall.


Einen neuen Seed gibt es so:

https://wiki.trezor.io/User_manual:Wiping_the_Trezor_device

Bevor ihr den verwendet solltet ihr aber das Handbuch sehr gründlich studieren. Insbesondere https://wiki.trezor.io/User_manual:Security_best_practices

[bullrun2024bro]

Also, richtig gesagt, hat mein Mann dieses update durchgeführt - wie gesagt, so wie die anderen beiden male auch - über trezor.io angemeldet, trezor angeschlossen, dort wurde auf das update hingewiesen, trezor wieder getrennt, beide Tasten auf diesem gedrückt, wieder angeschlossen, update gestartet unter Angabe der seeds.

Ich persönlich nutze ein anderes Wallet, darum lässt mich diese Aussage doch etwas fassungslos zurück. Auch bei einem Trezor-Wallet kann es doch nicht sein, dass man bei jedem Update seinen Seed angeben muss? Wenn dem so wäre, würde man ja jedes mal Gefahr laufen gephisht zu werden, wenn man das Gerät auf den neusten Stand bringt.

Spätestens hier hätten alle Alarmglocken angehen müssen. 

[Real-Duke]

Also das klingt alles schon sehr suspekt. Ich habe selbst auch kein Trezor Wallet, aber lt dieser wohl recht aktuellen Beschreibung (https://coinguides.org/update-trezor-wallet-firmware/)
ist es während des Updates an keiner einzigen Stelle nötig den Seed einzugeben.
Man wird lediglich darauf hingewiesen das Upgrade nicht vorzunehmen wenn, wenn der Seed nicht (mehr) verfügbar ist und anschließend etwas schief geht.

Der Trezor funktioniert auf jeden Fall auch ohne das Firmwareupgrade.
Für Spekulationen was hier wirklich passiert ist, gibt es nun jede Menge Raum.

[-doubleU-]

Tut mir echt leid für deinen Verlust, so ganz vertehe ich dies jedoch noch immer nicht, was aber vielleicht auch daran liegt das ich mit einer Trezor Hardware Wallet bisher nur ganz selten im Freundeskreis konfrontiert werde. Dennoch würde ich es aus eben diesem Grund gern verstehen, um notfalls Warnungen aussprechen zu können.

Das update wurde verlangt, als der trezor angeschlossen wurde, also ja (nicht über eine app oder mail)

- über trezor.io angemeldet, trezor angeschlossen, dort wurde auf das update hingewiesen

Ihr habt also versucht euch über die Weboberfläche https://wallet.trezor.io und nicht über die Desktop App https://suite.trezor.io/ angemeldet und es kam zur Updatemeldung.
War der Link im Browser unter Favoriten gespeichert oder direkt eingegeben bzw über die Google Suche aufgerufen? In diesem Fall könnte eventuell eine Phishing Webseite im Trezor Look&Feel die Ursache gewesen sein.
Da du aber schreibst das auch der Laptop kurz darauf ein eigenartiges Verhalten zeigte, wäre natürlich auch eine Schadsoftware als Übeltäter möglich. Diese kann u.U. schon länger auf dem Rechner geschlummert haben. Hier wäre eine intensive Prüfung angebracht um auch ggfl. eine weitere Verbreitung im Home-Netzwerk zu unterbinden.
Leider wird dir dies deine Coins nicht wieder bringen aber wenn man versteht was passiert ist, ist man vielleicht in nächster Zeit wachsamer oder kann andere warnen.

update gestartet unter Angabe der seeds.

~lässt mich diese Aussage doch etwas fassungslos zurück. Auch bei einem Trezor-Wallet kann es doch nicht sein, dass man bei jedem Update seinen Seed angeben muss?

So wie ich es kenne, wird bei einem Update lediglich darauf hin gewiesen das man überprüfen sollte ob man seinen Seed im Notfall griffbereit hat, da dies das einzigste Backup ist um auf die Coins der Wallet wieder zugreifen zu können falls beim Update irgend etwas schief geht. Eine aktive Aufforderung zur Eingabe des Seed erfolgte bisher bei einem Update meines Wissens nach nie.  Also genau so wie Real-Duke es auch beschreibt.

[bct_ail]

Ich kenne mich mit Trezor auch nicht aus und bezweifel, dass man bei einem Update den Seed nochmals eingeben muss. Wo hast du den Seed denn eingegeben?

EInige Sachen, die du geschrieben hast, haben mich aufhorchen lassen:

Zu Hause war dann keine Tranzaktion mehr vorhanden, einen neuen trezor gekauft, angeschlossen und dann der Schock! Den neuen trezor haben wir dann leer gemacht.
Wie gesagt, hat der Laptop auch einen weg

Was meinst du mit zu Hause? Wo habt ihr das Update gemacht?

und später funktionierten die Buchstaben auf meinem Laptop nicht mehr, keine Lösung brachte Erfolg.
Ergo nahm ich einen anderen Laptop,

Was ist mit dem ersten Laptop? Wem gehört der? Welches Betriebssystem ist da drauf? Welche anderen Lösungen brachten keinen Erfolg
Was ist mit dem zweiten Laptop?

Selbst über den Windows-Forum komme ich noch nicht mal mehr in BIOS.

Was meinst du damit?

[Lafu]

Hört sich für mich schwer nach einer Phishing seite an wo der download gemacht wurde .
Manchmal ist der Link den ihr liest und seht nicht der eigentlich link und somit gelangt ihr zu einer Fake seite.
Ich würde empfehlen das laptop ode die laptops platt zu machen und alles neu aufsetztenso das du auf der sicheren seite bist.

[Buchi-88]

Hört sich für mich schwer nach einer Phishing seite an wo der download gemacht wurde .
Manchmal ist der Link den ihr liest und seht nicht der eigentlich link und somit gelangt ihr zu einer Fake seite.
Ich würde empfehlen das laptop ode die laptops platt zu machen und alles neu aufsetztenso das du auf der sicheren seite bist.

Auf jeden Fall komplett löschen, einige Laptops haben auch im BIOS ein secure Erase... Bei einem Update einen SEED eingeben, wäre mir was ganz neues... Den SEED gibt man "normal" doch nur auf der Hardwarewallet ein und nicht bei der Software oder verwechsle ich da etwas?

[Lafu]

Auf jeden Fall komplett löschen, einige Laptops haben auch im BIOS ein secure Erase... Bei einem Update einen SEED eingeben, wäre mir was ganz neues... Den SEED gibt man "normal" doch nur auf der Hardwarewallet ein und nicht bei der Software oder verwechsle ich da etwas?

Ja das wundert mich ebenfalls und sollte eigentlich in der regel nicht der fall sein.
Man gibt ja auch nicht bei einem update von seiner bank App (sofern man eine benutzt) auf seinem Smartphone seine geheimzahl ein oder ?
Der seed wird ja nur gebraucht um zugriff auf die wallet zu bekommen , derjenige der denn Seed hat kontrolliert die wallet.
Eventuell wäre es Informativ wenn der OP mal den Link posten kann wo er dieses update gemacht hat , bitte so schreiben das man den Link nicht anklicken kann.
Dann könnten wir uns die sache etwas genauer anschauen und eventuell auch andere und neue User warnen.

[bob123]

[...], update gestartet unter Angabe der seeds. [...]

Wo genau hast du den Mnemonic Code eingegeben?

Ein Update erfordert keine Eingabe des Mnemonic Codes.

Daraus lässt sich schließen, dass dein Trezor nicht gehackt wurde. Leider scheint es so als hättest du deinen Mnemonic Code freiwillig an eine Malware rausgegeben?
Mit dem Hardware Wallet hatte das nichts zu tun. Das ist vergleichbar mit einer Email in der man nach der Kreditkarennummer gefragt wird, da ist die Sicherheit der Bank ebenfalls nicht gebrochen, sie wurde nur umgangen.

[Real-Duke]

@nixwisser

Du warst ja vor 30 Minuten erst online im Forum. Wie Du merkst, wollen Dir hier einige helfen damit so etwas wenigstens nicht wieder passiert.
Kannst Du auch unsere Fragen beantworten und was ist aktuell mit dem Coinbestand von dem Freund, der das gleiche "Update" vorgenommen hat?

[nixwisser]

Sry für die verspätete Antwort - bin auf Arbeit, hatte bereits einen Roman geschrieben, bin aber rausgeflogen - bei mir klappt aber auch gar nichts...  

Wir meldeten uns für den trezor immer über google chrome an ( alles andere machen wir über firefox ), oben im Adressfeld "trezor.io", es öffnet sich direkt die homepage mit https, Doppelpunkt, slash, slash trezor.io und wir konnten uns verbinden. Die Seite sah und sieht aus wie immer.
Dass die seeds für den Notfall sind ist klar, aber woher soll man wissen, dass es keiner ist, wenn das Programm sagt "Hallo, da stimmt was nicht mit dem update, seeds eingeben"?
Nachher ist man immer schlauer und es ist dann einfach zu sagen "hätte", aber wenn die Hacker inzwischen so gut sind, dass die homepage aussieht wie immer ( das soll kein Lob sein! ), dann sind Normalanwender solchen Subjekten ausgeliefert.
Der Coinbestand unseres Freundes wurde nicht angetastet, er hat seine Schäfchen schnell "ins trockene gebracht". Auch er wurde nach den seeds gefragt.

Mit Mnemonic Code meinst Du mein Kennwort mit den 4-6 Ziffern? Nun, im trezor erscheint die Tastatur in immer unterschiedlicher Reihenfolge und meine Zahlen gebe ich dann per Mausklick auf den jeweiligen Punkten auf dem Bildschirm ein. Diese Verbindung muss doch eingegeben werden, um überhaupt meinen trezor mit dem Bildschirm zu verbinden!?

Inzwischen bin ich nicht nur tieftraurig, sondern auch enttäuscht und verärgert über ach so sichere Programme. Erst kürzlich haben wie noch ein Avira-Schutzpaket gekauft und selbst der hat das pishing nicht erkannt!

Das erste update wurde an unserem Zweit-Wohnsitz über WLAN versucht durchzuführen, aber da die Internetverbindung oft schlecht ist, haben wir es später "zu Hause" nochmal gemacht.
Der eine Laptop läuft auf Windows 10, der andere auf Windows 7. Der neuere, den wir extra für Krypto gekauft haben, reagierte dann nicht mehr auf Buchstabeneingabe. Die vielen Hinweise aus dem Netz, wie auch vom Windows-Forum, brachten keinen Erfolg, weder F-Kombinationen noch die Möglichkeit ins BIOS zu kommen. Die einzelnen Versuche weiß ich schon gar nicht mehr nach dem Schreck. Windows-Forum riet mir dann doch einen Fachmann aufzusuchen und das Gerät neuzuinstallieren.
Auch fällt mir gerade folgendes ein: als wir den neuen trezor one im Windows-10-Laptop verbunden haben, musste ich auch die seeds eingeben.
Aber wie gesagt, den kläglichen Rest vom trezor haben wir runtergenommen...

Ich danke für die Anteilnahme und entschuldige mich für das Durcheinander ( Spiegel meines Empfindens gerade   )

[wuclx]

Theoretisch kann ein in anderem Kontext eingefangenes Rootkit auch bewirken, dass der Hostname trezor.io zu einer anderen IP aufgelöst wird, auf welcher eine Fake-Website gehostet wurde.
Ich will aber nicht spekulieren was hier wirklich passiert ist.