[WARNUNG] Coinmarketcap (CMC) wurde gehackt...

[Lakai01]

Ich hatte direkt die Bilder von Ledger vor Augen und die modifizierten Chips. Ich habe mal kurz hier im Forum danach gesucht, aber nichts gefunden. Bei dem Trezor habe ich das noch nicht gesehen, aber evtl. kann da ja jemand informieren. Kaufen würde ich auch nur in den offiziellem Shop, bei allen anderen Angeboten hätte ich auch größere Zweifel, auch wenn der Zusatz "offizieller Händler" steht.

Soweit ich das richtig in Erinnerung habe waren nicht die Chips modifiziert, sondern die Wallets "vorinstalliert". Man hat also einen Zettel mit "das ist ihre Wallet und das ist ihr Private Key" zum Kauf dazubekommen und unbedarfte User haben dann einfach auf diese Wallet eingezahlt ... und natürlich alle Coins verloren.

Den Chip zu manipulieren stelle ich mir deutlich schwieriger vor und bringt dir auch nur dann etwas, wenn du als Angreifer wieder in den Besitz des manipulierten Gerätes kommst um so über den manipulierten Chip bspw. Private Keys auslesen zu können.

Der Trezor-Hack betrifft - wie auch den Ledger Hack von vor ein paar Jahren - die Webseite. Es konnten mWn. Mailadressen der Kunden abgegriffen werden:

Demnach seien sensible Daten von Kunden, die seit 2021 Dezember mit dem Kundendienst Trezors in Kontakt standen, offenbar kompromittiert. Dazu zählen persönliche Angaben wie die E-Mail-Adresse und der Name oder Spitzname.

Quelle

[hawer357]

Gibt es irgendeinen Grund, warum man seine Wallet mit irgendwas verknüpfen muss?

In einem anderen Beitrag empfiehlt z.B. ein Forumsuser, dass man seine Wallet bei irgendeiner Seite verknüpft, um bessere Reports für die Steuer zu erhalten. Es ist sicher bequem, wenn man Online Auswertungen, Statistiken oder Übersichten bekommt, aber all dieser Luxus kommt immer mit einem Sicherheitsrisiko.

Ich habe leider zu wenige Bitcoins, um meine Wallet, oder nur die XPUB irgendwo zu hinterlegen. Natürlich benutze ich auch Coinmarketcap zum Tracken der Entwicklung meiner wenigen Coins, aber da hinterlege ich diese manuell. Sonst empfehlen wir doch auch immer die Coins offline zu hinterlegen. Warum also dann hier anders agieren?

Welche "wirklich nützlichen" Argumente gibt es denn, um seine Wallet irgendwo zu hinterlegen?

[Fantomaz]

Als Nutzer von Coinmarketcap bringt es gar nichts, seine Wallet damit zu verknüpfen. Das ist bei Coinmarketcap schlicht nicht nötig. Ich frage mich auch, was die Nutzer sich bei Coinmarketcap überhaupt anmelden sollen, das hat gar keinen Nutzen.

[MinoRaiola]

Soweit ich das richtig in Erinnerung habe waren nicht die Chips modifiziert, sondern die Wallets "vorinstalliert". Man hat also einen Zettel mit "das ist ihre Wallet und das ist ihr Private Key" zum Kauf dazubekommen und unbedarfte User haben dann einfach auf diese Wallet eingezahlt ... und natürlich alle Coins verloren.

Den Chip zu manipulieren stelle ich mir deutlich schwieriger vor und bringt dir auch nur dann etwas, wenn du als Angreifer wieder in den Besitz des manipulierten Gerätes kommst um so über den manipulierten Chip bspw. Private Keys auslesen zu können.

Der Großteil hat es so versucht, also mit vorinstallierten Wallets, dass ist schon richtig. Es gab auch mal Berichte von modifizierten/fake Ledger Modellen. Im Jahr 2021 wurden Fake Modelle verkauft, ein Bericht von bit2me habe ich nur in englisch gefunden. Im dem Bericht sind auch Bilder vom Original und dem Fake zu sehen. Ich erinnere mich vage daran, dass ich hier im Forum auch mal Bilder davon gesehen, oder ggfs. sogar selbst gepostet habe.

Oder ein Bericht aus 2018, als ein 15 jähriger das Secure Element des Ledger überlistet hat: 15-Jähriger knackt "absolut sichere" Krypto-Geldbörse
https://www.derstandard.de/story/2000076609452/15-jaehriger-knackt-absolut-sichere-krypto-geldboerse

[Etiquette.exe]

Ich muss aber sagen, wer auf diese Gewinnspielmaschen reinfällt und dann einem Betrug zum Opfer fällt, der ist vielleicht auch ganz grundsätzlich anfällig für sowas und mit einem Investment in Kryptowährungen nicht sonderlich gut beraten. Das lässt mich immer staunen, wenn jemand so seine Kryptowährungen verlieren.

Solche Angriffe zielen in der Regel auch nicht auf "uns" versierte Nutzer ab sondern auf die angesprochenen 0,1% die auch auf Anrufe vom Microsoft Support Service reinfallen würden nur wenn ihnen ein Gewinn versprochen wird. Umso unbedarfter ein Nutzer ist, umso leichter kann man ihn mit solchen Angriffen auch tatsächlich überrumpeln.

Hallo Lakai01,

ja die Anrufe sind legendär. Ich habe länger keinen mehr erhalten, aber soweit ich mich zurückerinne, hätte doch eigentlich jedem direkt ein Licht aufgehen müssen, wenn man die gebrochene asiatische Stimme hört. Aber es stimmt schon, es fallen immer noch Leute darauf rein. Wenn es nicht so wäre, würden die Verbrecher diese Callcenter nicht betreiben. Es gibt da verschiedene Maschen wie z. B. auch diese Anrufe, in denen einem dann gesagt wird, dass das Kind einen Unfall hatte, jetzt beim Staatsanwalt sitzt und man doch bitte ganz schnell eine Kaution überweisen soll. Das kann man sich gar nicht denken, dass sowas klappt. Das wird jetzt natürlich mit künstlicher Intelligenz nochmal ein ganzes Stück heftiger, wenn die Verbrecher z. B. an Stimmen herankommen, weil meinetwegen jemand einen Vortrag auf Youtube gehalten hat oder eben auch anderweitig. Die könnten vermutlich einfach einen jungen Menschen anrufen und irgendwie in ein Gespräch  verwickeln, um dann die Stimme am Telefon aufnehmen zu können und danach erarbeiten sie mit künstlicher Intelligenz Sprachantworten und rufen dann die Eltern an oder sowas in der Art. Das wird noch eine verrückte Welt.

VG,
Chris

[Lakai01]

Hallo Lakai01,

ja die Anrufe sind legendär. Ich habe länger keinen mehr erhalten, aber soweit ich mich zurückerinne, hätte doch eigentlich jedem direkt ein Licht aufgehen müssen, wenn man die gebrochene asiatische Stimme hört.
[...]

Von diesen Callcentern gibt es sogar Videos auf Youtube, wo diese entweder hochgenommen oder zumindest bis ins Detail ausspioniert und selbst ins Lampenlicht gerückt wurden: Scammers PANIC After I Hack Their Live CCTV Cameras!

Für unsereins ist das natürlich recht unterhaltsam anzusehen, weil wir nie darauf reinfallen würden. Hätte meine Oma vor ein paar Jahren jedoch so ein Anruf erreicht würde ich mir nicht wetten trauen, dass die Scamer sie nicht um ein paar tausend Euro erleichtert hätten. Und genau darum geht es denen ja letztendlich: möglichst technisch unbedarfte Opfer zu finden, wo auch dementsprechend viel Geld zu holen ist. "Wir" sind hier sowieso nicht die Zielgruppe.

[Lakai01]

In einem anderen Beitrag empfiehlt z.B. ein Forumsuser, dass man seine Wallet bei irgendeiner Seite verknüpft, um bessere Reports für die Steuer zu erhalten. Es ist sicher bequem, wenn man Online Auswertungen, Statistiken oder Übersichten bekommt, aber all dieser Luxus kommt immer mit einem Sicherheitsrisiko.

Sorry, habe das jetzt erst gelesen. Kann gut sein, dass ich das war, da ich in Cointracking meine Wallets vernüpft habe um bspw. BTC-Bewegungen sofort importiert zu bekommen.

Man muss hier aber ganz klar unterscheiden, was man wie verknüpft:
Cointracking - also die Plattform für bspw. die Steuererklärungen - scanned verknüpfte Adressen in einem bestimmten Intervall um so Bewegungen zu erkennen. Dazu ist weder Metamask oder ein anderes Wallet notwendig noch muss irgendetwas in irgendeiner Weise signiert werden. Cointracking hat also neben der sowieso öffentlichen Adresse keine weiteren Informationen - und kann somit auch nichts "anstellen".

Wenn man jedoch Wallets mit Webseiten verknüpft authorisiert man uU. mehr als man eigentlich möchte und kann bei kompromittierten Seiten/Wallets dazu führen, dass man seine hartverdienten Coins verliert.