BSSI (OP)
Member
 Offline
Activity: 68
Merit: 11
|
 |
November 19, 2023, 07:28:56 PM |
|
Hallo, ich möchte eine Software zum tracken zwecks Steuer verwenden. Ich habe hier im Forum (Finde es leider nicht mehr.) irgendwo gelesen, dass, falls der Anbieter nicht seriös ist, ein Diebstahl der Coins über die API-Schnittstelle möglich ist, selbst wenn ich keine Withdrawal-Rechte vergebe. Ich frage mich allerdings, wie das möglich sein soll, bzw. worauf ich achten muss. Vielleicht kann derjenige das nochmal erläutern.
|
|
|
|
|
|
|
|
|
|
|
|
The forum was founded in 2009 by Satoshi and Sirius. It replaced a
SourceForge forum.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
Turbartuluk
|
|
November 19, 2023, 08:01:49 PM |
|
Hallo, ich möchte eine Software zum tracken zwecks Steuer verwenden. Ich habe hier im Forum (Finde es leider nicht mehr.) irgendwo gelesen, dass, falls der Anbieter nicht seriös ist, ein Diebstahl der Coins über die API-Schnittstelle möglich ist, selbst wenn ich keine Withdrawal-Rechte vergebe. Ich frage mich allerdings, wie das möglich sein soll, bzw. worauf ich achten muss. Vielleicht kann derjenige das nochmal erläutern.
Ich denke mal du beziehst dich auf meine Hinweise zum 3Commas Hack. Dass man die Withdrawal-Rechte nicht vergeben darf ist selbstredend. Aber selbst mit normalen Trading-Rechten kann man Konten leerziehen. Dazu muss man als Betrüger nur selbst irgendeinen Shitcoin kaufen, den mit den via Trading-API verlinkten Konten Pumpen und mit dem eigenen Konto dumpen. Das wird so lange wiederholt bis die verlinkten Konten aufgrund der Verluste leergezogen sind, so passiert im besagten 3Commas Hack vor gut 1 Jahr. Trading Infrastruktur sollte man daher nach Möglichkeit immer selber betreiben. Wenn man das nicht kann, sollte man darauf achten, dass man beim Erstellen der API eine Coin Whitelist erstellt, also beispielsweise nur BTC zum Handeln freigibt, dann funktionieren solche Angriffe nicht, weil der Angreifer keinen Gewinn aus dem Verlust der verlinkten Konten ziehen kann, dafür ist die Liquidität zu groß. Für die Steuerreport APIs ist das aber in der Regel sowieso unkritisch, weil die gar keine Erlaubnis brauchen Orders zu setzen. Da geht es ja nur darum Bestände und historische Trades abzufragen. PS: Apropos Steuerreport API, wie läuft dein Bot und wärst du bereit da solch eine API öffentlich zu teilen? Fands damals schade nicht mehr von gehört zu haben...  |
|
|
|
|
mv1986
Legendary
Offline
Activity: 2058
Merit: 1166
|
|
November 19, 2023, 08:02:03 PM Merited by Turbartuluk (2) |
|
Hallo, ich möchte eine Software zum tracken zwecks Steuer verwenden. Ich habe hier im Forum (Finde es leider nicht mehr.) irgendwo gelesen, dass, falls der Anbieter nicht seriös ist, ein Diebstahl der Coins über die API-Schnittstelle möglich ist, selbst wenn ich keine Withdrawal-Rechte vergebe. Ich frage mich allerdings, wie das möglich sein soll, bzw. worauf ich achten muss. Vielleicht kann derjenige das nochmal erläutern.
Das ist natürlich mal interessant zu lesen, weil ich mich damit noch gar nicht so richtig befasst habe. Klar ist, dass man nur "read-only" access gewährt über die API-Schnittstelle, aber da Du mich nun neugierig gemacht hast, habe ich interessanterweise das hier gefunden (gar nicht mal lang her). Aber was eigentlich immer klar ist, ist die Anfälligkeit für Fehler oder Backdoors in der Cointracker-Software selbst, oder aber die Börse macht Fehler und ein Hacker findet die Lücke. In dem geteilten Reddit-Thread kannst Du jedenfalls einiges an Diskussion darüber finden. Könnte hier vielleicht für weitere Personen ein interessantes Thema sein. |
|
|
|
|
Turbartuluk
|
|
November 19, 2023, 08:12:37 PM |
|
Klar ist, dass man nur "read-only" access gewährt über die API-Schnittstelle, aber da Du mich nun neugierig gemacht hast, habe ich interessanterweise das hier gefunden (gar nicht mal lang her). Oh das ist in der Tat interessant. Denn bei den Diensten für Steuerreports liegen notgedrungen ja sowohl KYC Informationen als auch die Übersicht über alle Bestände, Trades, etc. kurz das Vermögen. Selbst wenn die Coins durch einen Hack nicht direkt betroffen sind, bekommen die Hacker alle Informationen auf dem Sibertablett und etwaige Opfer vielleicht Besuch von ungebetenen Gästen. Ich frag mich gerade wie man sowas vermeiden will, wo Steuertools eigentlich obligatorisch sind.  |
|
|
|
|
BSSI (OP)
Member
Offline
Activity: 68
Merit: 11
|
|
November 19, 2023, 09:02:49 PM |
|
Dazu muss man als Betrüger nur selbst irgendeinen Shitcoin kaufen, den mit den via Trading-API verlinkten Konten Pumpen und mit dem eigenen Konto dumpen.
Aber das funktioniert ja wahrscheinlich nur bei irgendwelchen Schrottbörsen mit Coins, die kaum Volumen haben? Geht aber um Binance. Also hat in diesem Fall jemand 3commas gehackt und deren API-Zugänge genutzt? PS: Apropos Steuerreport API, wie läuft dein Bot und wärst du bereit da solch eine API öffentlich zu teilen? Fands damals schade nicht mehr von gehört zu haben... Den nutz ich gerade kaum. Hab das Kapital vor allem in KAS investiert. |
|
|
|
|
|
Turbartuluk
|
|
November 19, 2023, 09:29:21 PM |
|
Aber das funktioniert ja wahrscheinlich nur bei irgendwelchen Schrottbörsen mit Coins, die kaum Volumen haben? Geht aber um Binance. Also hat in diesem Fall jemand 3commas gehackt und deren API-Zugänge genutzt?
Entscheidend sind die Coins nicht die Börsen! Schau dich doch mal bei Binance um: BETA/ETH -> 24h Volume ~$225. Schaut man ins Order Book wäre mit einer Market Order über 5 ETH (für $10k) der kurs schon um 15% höher. Wichtiger Punkt: ein Pair besteht immer aus zwei Seiten, selbst ein Top10 Coin zu AUD oder JPY dürfte nicht viel Volumen haben. |
|
|
|
|
bct_ail
Legendary
 Online
Activity: 2618
Merit: 2217
https://t1p.de/6ghrf
|
|
November 20, 2023, 03:48:36 PM |
|
Oh das ist in der Tat interessant. Denn bei den Diensten für Steuerreports liegen notgedrungen ja sowohl KYC Informationen als auch die Übersicht über alle Bestände, Trades, etc. kurz das Vermögen. Warum KYC Informationen? Greifen die Steuertrackingtools mittlerweile auch darauf zu? Selbst wenn die Coins durch einen Hack nicht direkt betroffen sind, bekommen die Hacker alle Informationen auf dem Sibertablett und etwaige Opfer vielleicht Besuch von ungebetenen Gästen. Nicht nur Hacker hätten diese Informationen, sondern die Anbieter für Steuertrackingtools selber. Niemand weiß, was die Speichern und mit wem die Daten ausgetauscht werden. Selbst ohne KYC Informationen kann man durch Datenzusammenführen vieles über die entsprechenden Kunden herausfinden. |
|
|
|
|
Turbartuluk
|
|
November 20, 2023, 08:15:52 PM |
|
Nicht nur Hacker hätten diese Informationen, sondern die Anbieter für Steuertrackingtools selber. Niemand weiß, was die Speichern und mit wem die Daten ausgetauscht werden. Selbst ohne KYC Informationen kann man durch Datenzusammenführen vieles über die entsprechenden Kunden herausfinden.
Hmm, das stimmt natürlich. Ich frage mich aber gerade schon was die Alternativlösung ist? Auf Steuertools zu verzichten dürfte ja kaum eine Lösung sein. Man kann höchstens die KYC-freien BTC einfach hodlen sodass man sie nicht angeben muss/will und dann die eigenen Bestände "kleinrechnet" ?! Wie machst du das? |
|
|
|
|
bct_ail
Legendary
Online
Activity: 2618
Merit: 2217
https://t1p.de/6ghrf
|
|
November 21, 2023, 08:42:09 AM |
|
Wie machst du das?
Manuell. Bei einem Trade schreibe ich mir die entsprechenden Daten zeitnah in ein Excelfile. Bei Stakingcoins hole ich mir die Daten aus dem entsprechenden Walletexplorer. Bei einigen wird der Zuflusswert angezeigt. Bei denen, wo das nicht ist, muss ich mit Excel etwas basteln. Für den Überblick meines Portfolios habe ich mit etwas über Excel zusammengebastelt. Die Live-Daten werden über API eingespielt. Wenn das externe Steuertrackingtool einen Fehler macht, merke ich es nicht unbedingt. Wenn ich irgendwo einen Fehler gemacht habe, bin ich dafür verantwortlich. Und merke es wahrscheinlich auch. |
|
|
|
|
Turbartuluk
|
|
November 21, 2023, 03:00:47 PM |
|
Wie machst du das?
Für den Überblick meines Portfolios habe ich mit etwas über Excel zusammengebastelt. Die Live-Daten werden über API eingespielt. Wenn ich dich richtig verstehe hast du ne Excel wo die einzelnen coins aufgelistet sind und die kurse ziehst du dir per API in die Excel rein?! Klingt interessant, kannst du da mal bitte näher ausführen wie das geht?! |
|
|
|
|
bct_ail
Legendary
Online
Activity: 2618
Merit: 2217
https://t1p.de/6ghrf
|
|
November 21, 2023, 03:35:43 PM |
|
Wenn ich dich richtig verstehe hast du ne Excel wo die einzelnen coins aufgelistet sind und die kurse ziehst du dir per API in die Excel rein?!
Klingt interessant, kannst du da mal bitte näher ausführen wie das geht?!
Richtig verstanden. Sowas wollte ich hier immer schon mal vorstellen, aber war dann zu träge. Deine Nachfrage ist mir aber Befehl Motivation.  |
|
|
|
Koal-84
Legendary
Offline
Activity: 2450
Merit: 1065
|
|
November 21, 2023, 07:41:51 PM |
|
Wenn man das API richtig einstellt (nur Leserechte), sollte es doch unmöglich sein das einem die Coins abgezogen werden. Ist doch bei Blockpit und BitPanda auch nicht anders? Klingt interessant, kannst du da mal bitte näher ausführen wie das geht?!
Stimmt, es klingt wirklich interessant wie die Daten automatisch per Api ins Excel kommen. |
|
|
|
|
Turbartuluk
|
|
November 21, 2023, 08:18:42 PM |
|
Wenn man das API richtig einstellt (nur Leserechte), sollte es doch unmöglich sein das einem die Coins abgezogen werden. Ist doch bei Blockpit und BitPanda auch nicht anders?
Normalerweise schon, aber wie der link von @mv1986 zu reddit zeigt kann es ja trotzdem Schwachstellen geben (in dem Fall das "Schreiben" von Dust Transaktionen trotz Read-only zugriff, wenn ich das richtig verstanden habe). Stimmt, es klingt wirklich interessant wie die Daten automatisch per Api ins Excel kommen.
Yippi! Noch mehr Motivation für @bct_ail ... |
|
|
|
|
mv1986
Legendary
Offline
Activity: 2058
Merit: 1166
|
|
November 23, 2023, 05:54:25 PM |
|
Wenn man das API richtig einstellt (nur Leserechte), sollte es doch unmöglich sein das einem die Coins abgezogen werden. Ist doch bei Blockpit und BitPanda auch nicht anders?
Normalerweise schon, aber wie der link von @mv1986 zu reddit zeigt kann es ja trotzdem Schwachstellen geben (in dem Fall das "Schreiben" von Dust Transaktionen trotz Read-only zugriff, wenn ich das richtig verstanden habe). Stimmt, es klingt wirklich interessant wie die Daten automatisch per Api ins Excel kommen.
Yippi! Noch mehr Motivation für @bct_ail ... Ja, ich glaube, dass hier schlicht eine allgemeinere Sicht auf die Dinge angebracht ist. Sobald da Menschen am Werk waren und Software geschrieben wurde, kann es Bugs geben. Schlussendlich kann es auch noch Inside-Jobs geben. In diesem Reddit-Post wird ja auch nochmal die Email von Cointracker an die Kunden zitiert und ich vermute mal, dass bis dahin niemand davon ausging, dass sowas passieren könnte. Zumal nicht mal klar war am Ende, welche Daten nun wirklich missbraucht bzw. gezogen wurden glaube ich (korrigiert mich, falsch jemand mehr weiß). Also die Quintessenz ist halt, dass man zwar seinerseits alles Mögliche tun kann, um sicherzustellen, dass die Einstellungen richtig sind, aber wenn man wissen will, ob sich im Backend auch alles entsprechend so abspielt wie man as beabsichtigt, dann braucht man entweder gesonderten Einblick/Audits oder irgendwelche Open-Source-Lösungen, die man ggf. auch selbst überprüfen kann, wenn man dazu in der Lage ist. Aber selbst bei Audits gibt es Limits, wie man nun schon sehr häufig feststellen musste. Das magische Siegel für Fehlerlosigkeit wird es wohl niemals geben. |
|
|
|
|
