Electrum Einzahlung wurde direkt an unbekannte Adresse weitergeleitet.

[vike30]

Habe soeben eine Einzahlung auf meine electum Wallet getätigt und diese wurde direkt an eine mir unbekannte Adresse:

bc1q3q60qrstxp2g0rn87jmha7a56nex45x95ff4aw

versendet.

Auf diese Adresse sind bereits mehrere Zahlungen gesendet worden.

Mein Guthaben das bereits auf der Wallet war, ist drauf geblieben. war ist nicht versendet worden.

Was ist da passiert ??

Die Überprüfung der Signatur ist gültig.
Die Transaktion an die unbekannte Adresse, wurde sofort bei Eingang der coins weitergeleitet.
Es stand bei der ausgehenden Transaktion:
Unconfirmed parent

Da

[1715323293]

1715323293

[1715323293]

1715323293

[1715323293]

1715323293

[Real-Duke]

Da stellt sich mir dirket die Frage, von welcher Seite Du die Electrum Software Wallet geladen hast.
War es von: https://electrum.org/#download

Falls nicht, würde ich im leider schlimmsten Fall von einer kompromitierten Version ausgehen, die alle Zahlungen auf die von dir genannten Adresse umleitet.
Kannst Du kurz bestätigen, woher Du sie geladen hast?

[Soonandwaite]

Da du ja schon diese Frage in einem anderen Deutschsprachigen Forum gestellt hast und einige wirklich erfahrene Leute dort geantwortet haben
würde ich dir einfach empfehlen auch dort die dir danach gestellten Fragen zu beantworten. Ist immer blöd ein Thema zu eröffnen und dann
diese Fragen die nicht ganz unwichtig sind nicht zu beantworten.
Da sind schon paar pfiffige Jungs dabei. Nur brauchen die auch weiteren "Input" von dir um dir weiterhelfen zu können.

PS: Tut mir leid das die BTC verschwunden sind. Das ist immer eine echt üble Angelegenheit.
Es sollen ja auch gerade jetzt etliche Paperwallets beklaut werden die schon Jahre bestehen. Nicht das du dort diese Wörter eingegeben hast um die Wallet zu erstellen ?

[Real-Duke]

Da du ja schon diese Frage in einem anderen Deutschsprachigen Forum gestellt hast

Du sollst kein anderes Forum haben als Bitcointalk

und einige wirklich erfahrene Leute dort geantwortet haben
würde ich dir einfach empfehlen auch dort die dir danach gestellten Fragen zu beantworten.

Ok, hier haben bisher ja nur wir beide geantwortet. Wenn "da drüben" schon mehr geholfen wurde, ist es ja um so besser!

PS: Tut mir leid das die BTC verschwunden sind. Das ist immer eine echt üble Angelegenheit.
Es sollen ja auch gerade jetzt etliche Paperwallets beklaut werden die schon Jahre bestehen. Nicht das du dort diese Wörter eingegeben hast um die Wallet zu erstellen ?

Der Verlust ist natürlich sehr schade und unwiederbringlich, aber der OP hat ja schon geschrieben, dass er kein Paperwallet erstellt hat. Mein Gedanke bleibt leider bei einer modifizierten Electrum Wallet, die er nicht von der original Seite geladen hat.
Hoffentlich bekommen wir hier noch Feedback.

[willi9974]

Kannst du uns dann bitte die Info geben was du rausgefunden hast oder gleich den anderen Beitrag im anderen forum verlinken?

Viele Grüße
Willi

[CoinEraser]

Kannst du uns dann bitte die Info geben was du rausgefunden hast oder gleich den anderen Beitrag im anderen forum verlinken? -snip-

Ich bin mal so frei und verlinke zum anderen Forum: https://coinforum.de/topic/30100-einzahlung-auf-electrum-wurde-direkt-an-fremde-adresse-weitergeleitet/

Hier eine kleine Zusammenfassung. So wie es aussieht, wurde er gehackt, wie oder wo, ist aber noch unbekannt. Sein Electrum scheint in Ordnung zu sein, daher muss der Hack an einer anderen Stelle geschehen sein. Jede eingehende Transaktion wird abgefangen und sofort weitergeleitet, aber sein bisheriges Guthaben auf Electrum bleibt unangetastet. Schon merkwürdig die ganze Situation. 

[mole0815]

Hallo und herzlich willkommen vike30,

ich wünsche dir eine schnelle Auflösung der Sache und würde es auch gut finden wenn wir die Infos hier up2date halten können.
Eine mehrfache Analyse wird aber wie meine Vorredner schon gesagt haben nicht viel Sinn machen.

[willi9974]

ok, mal bischen durch den blockexplorer geklickt...
scheint tatsächlich immer 2 transaktionen in einen block zu packen, einmal die ursprüngliche, und dann direkt ne tx mit dem gleichen betrag, von der adresse des besitzers an die des betrügers...

beispiel in block 773139:
tx    14f8868206697e67b3b042c0fc246869db0065d6fd72f15f8dddf62ad12554da
22145 sats auf bc1qj740ag8uw9pp4tp2rkee924jznc746yqcvc0eq46yqcvc0eq eingezahlt.

im gleichen block
tx   de1f803dbfcdfe2a097f01a7608c4c068ff002c8508ae6983198db29d3d6c848
22145 sats auf bc1q3q60qrstxp2g0rn87jmha7a56nex45x95ff4aw45x95ff4aw

ausgezahlt...

den spass hat er auf der gleichen adresse 5 mal gemacht, als gebühr immer ne glatte summe, 20000, 10000 oder 5000 sats angeboten.
 

wusste gar nicht das das geht... man kann ne transaktion gleich hinterherschieben, ohne das die erste bestätigt wurde? wieder was gelernt...
Aber das bedeutet ja ganz klar, der Angreifer kennt den private Key der Zieladresse.
und gleichzeitig ist die Wallet nicht abgeräumt, also kennt er den Seed der Wallet wohl nicht??
Das passt eigentlich nicht so richtig zu ner manipulierten Electrum Version, oder? Oder doch, und der Angreifer lässt sich Zeit?


Würde jedenfalls schleunigst mein Guthaben in Sicherheit bringen, aber NICHT MIT DER GLEICHEN WALLET!!!

Bzw: Kann der Angreifer das nicht unterbinden? Und schickt selbst ne Tx los, sobald er sieht das die Wallet geleert werden soll?

Würde den betroffenen PC auslassen, nen neuen Seed erstellen, in ner neuen, sauberen Umgebung ne garantiert saubere Wallet installieren (doppelt und dreifach überprüfen von checksum, signature etc...), mit dem alten Seed starten und das ganze Guthaben auf ne Adresse des neuen Seeds schicken... dabei gut tx gebühren reinpacken, damit das schnell über die bühne geht. könnte ein angreifer den mempool überwachen und sofort ne "falsche" tx hinterherschicken und die echte rausdrängen?

Was sagen da die Experten dazu??

Quelle: https://coinforum.de/topic/30100-einzahlung-auf-electrum-wurde-direkt-an-fremde-adresse-weitergeleitet/?do=findComment&comment=746884


Ich poste das auch mal hier, da generell das ja ein neuer Angriffsweg ist, so scheint es.
Für eine TX Replacement, müsste man ja auch den private key haben, da die TX ja erneut signiert werden müsste.

https://en.bitcoin.it/wiki/Transaction_replacement

Hab im anderen Forum gerade mal geantwortet und ein paar Fragen gestellt / Tipps gegeben