Beiträge

#889 Shopify Krypto Zahlungen, Grayscale Kunden kaufen massiv BTC & Ledger, Trezor und KeepKey Leak

Hey Krypto Fans,

willkommen zur Bitcoin-Informant Show Nr. 889. Heute sprechen wir über folgende Themen: Shopify ermöglicht Krypto Zahlungen an Händler, Grayscale Kunden kaufen massiv BTC & Ledger, Trezor und KeepKey im Visier der Hacker.

1.) Shopify ermöglicht Bitcoin-Zahlungen an Händler

Shopify ermöglicht Bitcoin-Zahlungen an Händler

2.) Grayscale Accumulates 34% of New BTC as Weekly Investments Tag $30 Million
https://cointelegraph.com/news/grayscale-accumulates-34-of-new-btc-as-weekly-investments-tag-30-million

3.) Ledger, Trezor und KeepKey geraten ins Visier der Hacker

Ledger, Trezor und KeepKey geraten ins Visier der Hacker

Die heutige Show wird gesponsert von: https://bitwin24.com/coin-fakten/

xx

Find all my links here: https://cointr.ee/bitcoininformant

Telegram Kanal: https://t.me/bitcoininformant
LBRY.tv: https://lbry.tv/$/invite/@bitcoininformant:e
Steemit: https://steemit.com/@denniskoray
HIVE: https://hive.blog/@denniskoray
Instagram: https://www.instagram.com/denniskoray/
Facebook: https://www.facebook.com/btcinformant/

Top 10 Kryptowährungen am 25.05.20 um 09:00Uhr

Sonnige Grüsse

Dennis „Bitcoin Informant“ Koray

auf Bitcoin Informant lesen

Hardware-Wallets: Ledger bezichtigt Trezor der Nutzung unsicherer Chips

Der Hersteller von Krypto-Hardware-Wallets , Ledger, hat in einem Blogbeitrag vom 13. Februar eine alte Fehde mit dem Konkurrenten Trezor neu entfacht. Dabei hob Ledger angebliche Vorteile seiner internen Secure-Element-Chips hervor. Trezor-Mitbegründer und CEO von SatoshiLabs, Marek „Slush“ Palatinus, beschuldigte Ledger in einem Tweet der Unehrlichkeit und dass das Unternehmen nicht die „ganze Geschichte“ erzähle.

Der Beitrag von Ledger hatte die bei Hardware-Wallets üblichen, drei internen Chip-Typen verglichen: Mikrocontroller-Einheiten (MCU), sichere Speicherchips und seine eigenen sicheren Elemente.

Darin wurde behauptet, dass die in den Trezor-Wallets gefundenen MCUs für allgemeine Geräte wie Mikrowellen und TV-Fernbedienungen bestimmt seien und keine integrierten Gegenmaßnahmen gegen hardwarebasierte Sicherheitsangriffe hätten.

Darüber hinaus führte Ledger an, die in den Hardware-Wallets verwendeten sicheren Speicherchips bestimmter anderer Hersteller seien nicht von Dritten getestet wurden und deshalb anfällig für Seitenkanalangriffe, weil die privaten Schlüssel an die MCUs weitergegeben würden.

Tezos-Gründer wehrt sich

Palatinus retweetete den Beitrag mit der Bemerkung, Ledger sei „unehrlich“ und „zeige nur einen Teil der ganzen Geschichte auf“.

Eine Geheimhaltungsvereinbarung (NDA) für Anbieter von Secure Elements-Chips verhindere öffentliche Diskussionen von bestimmten Sicherheitsaspekten, hieß es im Tweet:

„Trezor verwendet Nicht-NDA-Chips, so dass wir völlig transparent sein und in Ihrem besten Interesse handeln können.“

Palatinus versprach, auf der Konferenz Bitcoin 2020 im März mehr über die Auswirkungen der NDAs auf die Sicherheit der Endbenutzer zu sprechen.

Böses Blut

Ledger war bereits im vergangenen März mit Trezor aneinzusammengestoßen, als es einen Bericht zu fünf angeblichen Schwachstellen in den Trezor-Hardware-Brieftaschen veröffentlichte.

Wie Cointelegraph berichtete, reagierte Trezor damals schnell und wies darauf hin, dass keine der Schwachstellen für Hardware-Wallets kritisch sei. Darüber hinaus könne keine der Schwachstellen aus der Ferne ausgenutzt werden, da alle einen physischen Zugang zum Gerät erfordern würden.

Die Dinge schienen sich seitdem beruhigt zu haben. Mit dem neuerlichen Angriff hat Ledger möglicherweise den alten Streit neu entfacht.

auf cointelegraph lesen

Krypto-Sicherheit: Kraken Security Labs demonstriert Sicherheitslücke in Trezor Wallets

Die Kraken Security Labs haben eine Sicherheitslücke in Hardware Wallets der Marke Trezor lokalisiert. Das Sicherheitsteam der Bitcoin-Börse Kraken brauchte im Rahmen eines Angriffs weniger als 15 Minuten, um alle relevanten Daten von den Geräten auszulesen. Betroffen sind sowohl der Trezor One als auch der Trezor Model T. Kraken veröffentlichte die Details zum Angriff zwar am 31. Januar,  informierte das Trezor-Team allerdings bereits am 30. Oktober 2019 über die Schwachstelle. Die Wallet-Hersteller reagierten mittlerweile mit einer eigenen Stellungnahme.

Der Angriff gelang den Kraken Security Labs mit Hilfe eines Geräts, das „Spannungsspitzen“ erzeugt. Nach Angaben des Teams benötigten Kriminelle außer unmittelbarem physischem Zugang zu den Geräten, lediglich technisches Know-how und nicht allzu teures technisches Equipment. Die Attacke zielte dabei unmittelbar auf den STM32 Microchip, der in den Trezor Geräten verbaut ist. Da die Sicherheitslücke somit im Aufbau der Geräte selbst gründet, kann sie nicht ohne Weiteres behoben werden. Sowohl Kraken als auch Trezor raten Benutzern deswegen dringend, die BIP39 Passphrase im Trezor Client zu aktivieren. Da diese nicht in den Geräten selbst gespeichert werde, stelle sie einen effektiven Schutz gegen derartige Angriffe dar.

Im Übrigen nutzen auch Wallets der Marke KeepKey eine ähnliche Hardware-Architektur, weswegen auch sie von einer entsprechenden Schwachstelle betroffen sind. Das Team von Kraken Security Labs wies deshalb mit Nachdruck darauf hin, dass Hersteller nicht auf die Hardware als einzige Sicherheitsschicht bauen sollten. Insbesondere die STM32-Chips erachten sie als ungeeignet für die Lagerung von Bitcoin-Schlüsseln und anderen sensiblen Daten. Den Erkenntnissen von Kraken zum Trotz sollten Nutzer von Trezor und vergleichbaren Geräten dennoch nicht vorschnell in Panik geraten. Schließlich ereignet sich ein Großteil der Krypto-Diebstähle nach wie vor über das Internet.

Kraken brauchte lediglich 15 Minuten

Die Kraken Security Labs geben in ihrem Blogpost einen detaillierten Bericht über den Angriff auf die Trezor-Geräte. Demnach gingen sie folgendermaßen vor:

Unser Angriff beginnt damit, dass wir den integrierten Bootloader des Prozessors durch einen Fehlerinjektionsangriff reaktivieren. Dieser integrierte Bootloader hat die Funktion, den Flash-Inhalt des Geräts auszulesen, überprüft aber den Schutz des Chips während der Ausführung des Befehls. Durch die Verwendung eines zweiten Fehlerinjektions-Angriffs ist es möglich, diese Prüfung zu umgehen, und dann kann der gesamte Flash-Inhalt des Geräts 256 Bytes auf einmal extrahiert werden. Durch Wiederholung des Angriffs ist es möglich, den gesamten Flash-Inhalt zu extrahieren.

Nachdem das Team den Inhalt derart extrahiert hatte, galt es nur noch, die PIN zu knacken, durch die die Schlüssel zu den Krypto-Assets geschützt waren. Dafür griff das Kraken Team auf eine Brute-Force-Attacke zurück. Die PIN konnte damit in unter zwei Minuten aufgebrochen werden.

Mehr zum Thema:

auf btc-echo lesen

Kraken enthüllt: Trezor-Wallets können gehackt werden

Kraken Security Labs hat am 31. Januar enthüllt, dass die Hardware-Wallets von Trezor und deren Derivate gehackt werden und private Schlüssel entnommen werden können. Obwohl das Verfahren recht aufwendig sei, so Kraken, erfordere das „einen physischen Zugang zu dem Gerät für nur 15 Minuten“.

Der Angriff erfordert einen physischen Eingriff an der Trezor-Wallet. Dabei muss man entweder den Chip herausziehen und ihn auf ein spezielles Gerät legen oder ein paar wichtige Anschlüsse verlöten.

Der Trezor-Chip muss dann an ein „Glitcher-Gerät“ angeschlossen werden, das zu bestimmten Zeitpunkten Signale zu diesem sendet. Diese durchbrechen den eingebauten Schutzmechanismus, der verhindert, dass der Speicher des Chips von externen Geräten gelesen werden kann. 

Mit diesem Trick können Angreifer wichtige Parameter der Wallet lesen, darunter auch den privaten Schlüssel-Seed.

Obwohl der Seed mit einem PIN-Schlüssel verschlüsselt ist, gelang es den Forschern, die Kombination in nur zwei Minuten mittels Brute-Force zu ermitteln. 

Die Schwachstelle liegt in der von Trezor verwendeten Hardware. Das bedeutet, dass das Unternehmen diese nicht so einfach beheben kann. Das Unternehmen müsste die Wallet völlig neu gestalten und alle vorhandenen Modelle zurückrufen.

Unterdessen rief Kraken die Nutzer von Trezor- und KeepKey-Wallets dazu auf, niemandem einen physischen Zugriff auf die Wallet zu gewähren.

Das Trezor-Team reagierte und spielte die Auswirkungen dieser Schwachstelle herunter. Das Unternehmen erklärte, dass der Angriff sichtbare Anzeichen von Manipulation hinterlassen würde, da das Gerät geöffnet werden müsse. Es hieß auch, dass für den Angriff eine äußerst spezielle Hardware erforderlich sei.

Abschließend schlug das Team den Nutzern vor, die Passphrase-Funktion der Wallet zu aktivieren, um sich vor solchen Angriffen zu schützen. Das Passwort wird niemals auf dem Gerät gespeichert, da es zusätzlich zum Seed verwendet wird, um den privaten Schlüssel damit zu generieren. Kraken bemerkte auch, dass dies eine praktische Alternative sei. Die Forscher bezeichneten diese Methode dennoch als „etwas klobig in der Praxis“.

Das Feature bringt auch eine erhebliche Verantwortung für die Benutzer mit sich. Die Passphrase muss komplex genug sein, um nicht per Brute-Force geknackt werden zu können. Vergisst ein Nutzer seine Passphrase, hat er keinen Zugang mehr zu seinem Geld.

Cointelegraph bat Kraken um zusätzliche Informationen, aber bis Redaktionsschluss lag noch keine Antwort vor. Der Artikel wird aktualisiert, sobald weitere Informationen vorliegen.

auf cointelegraph lesen

Venezuela: Präsident Maduro bewirbt Bitcoin-Wallet Trezor im Fernsehen

Am 6. November ging Nicolas Maduro, der Präsident von Venezuela, auf dem staatlichen Fernsehsender Venezuelan Television Corporation (VTV) auf Sendung und hielt ein Krypto-Hardware-Speichergerät in der Hand, das vom großen Wallet-Anbieter Trezor entwickelt worden sein soll. Das Video wurde auf der offiziellen Facebook-Seite von Präsident Maduro veröffentlicht.

Trezor sagte, dass das die Trezor-Vertreter dem Unternehmen, die neben Maduro im venezolanischen Fernsehen aufgetreten sind, nicht bekannt seien.

Trezor untersucht den Vorfall

In dem Nachrichtensegment mit dem Titel „Private Kryptowährungs-Unternehmen sind in Venezuela tätig“, traf Maduro mutmaßliche Unternehmensvertreter von Trezor in Venezuela, dem Unternehmen Trezorvenezuela.

Diese Firma hat eine Facebook-Seite und ein Konto auf Instagram, wo sie auf die offizielle Webseite von Trezor, nämlich trezor.io, verweist.

Social-Media-Berichten zufolge dementierte das offizielle Trezor-Konto auf Twitter, dass das auf VTV vorgestellte Unternehmen mit Trezor offiziell in Verbindung stehe.

Das tatsächliche Unternehmen sagte dazu, dass es keine offiziellen Vertriebspartner in Venezuela hätte. Es hätte von diesem Vorfall nichts gewusst. In einem Tweet am 7. November sagte Trezor, dass das Unternehmen das untersuchen würde:

„Wir wollen klarstellen, dass wir in Venezuela keine offiziellen Vetriebspartner haben (http://trezor.io/resellers/) und auch nichts von dieser Technologiemesse wissen. Wir untersuchen diesen Vorfall.“

In Kommentaren hieß es, dass das Unternehmen, das auf VTV erschien, offenbar ein nicht lizenzierter Vertriebspartner von Trezor sei.

Trezor: Offizielle Stellungnahme

Nachdem Cointelegraph diesen Artikel veröffentlicht hatte, gab Trezor eine offizielle Stellungnahme heraus, um zu bestätigen, dass Trezor und Satoshilabs am 6. November nicht an Maduros Krypto-Messe in Caracas teilgenommen hätten. In einem Blogbeitrag erklärte das Unternehmen, dass Trezorvenezuela ein autorisierter Vertriebspartner von Trezor sei. Die Basis für diese Beziehung sei eine Vereinbarung aus dem dritten Quartal 2018 gewesen. Trezor nahm die Firma im Juni 2019 aufgrund von Inaktivität allerdings von der Liste der autorisierten Vertriebspartner. Trezor schränke jedoch den Verkauf von Trezor-Produkten durch Trezorvenezuela in keiner Region ein, so das Unternehmen weiter.

Außerdem machte Trezor seine Haltung gegenüber der politischen Situation in Venezuela nochmals klar. Das Unternehmen erklärte, dass Trezor und Satoshilabs „keine Verbindung zu politischen Personen, die in Venezuela oder einer anderen Region im Amt ist oder war“ hätten. Im Mai 2019 stellte Trezor seinen Freunden von der gemeinnützigen Organisation Bitcoin Venezuela 150 Trezor One zur Verfügung, die ausschließlich für gemeinnützige Zwecke verwendet werden sollten, wie das Unternehmen noch hinzufügte.

Maduro treibt Akzeptanz des Petro bei Veranstaltung voran

Nach dem Start der an Öl gekoppelten Kryptowährung Petro (PTR) im Februar 2018 in Venezuela, hat Maduro im Juli 2019 einer der führenden Banken des Landes, die Banco de Venezuela, offiziell angeordnet, den PTR zu akzeptieren.

Einem Bericht der venezolanischen Zeitung El Universal vom 6. November zufolge veranstaltete Maduro eine Konferenz bei der Banco de Venezuela. Dabei wurden Maßnahmen diskutiert, um die Akzeptanz der Kryptowährung Petro stärker zu fördern. Auf der Veranstaltung erklärte Maduro die Vorgehensweise, um Produkte mit dem Petro zu verkaufen und zu kaufen.

Hinweis: Cointelegraph hat diesen Artikel aktualisiert. Er enthält nun auch die offizielle Stellungnahme von Trezor zu diesem Thema.

auf cointelegraph lesen

Redditor entdeckt Fake-Webseite für Bitcoin-Wallet Trezor

Ein Reddit-Nutzer hat eine betrügerische Webseitenversion der Bitcoin (BTC)-Hardware-Wallet Trezor entdeckt.

„Nachahmer-Webseite versucht, Bitcoin zu stehlen“

Am 4. Oktober veröffentlichte der Reddit-Nutzer castorfromtheva einen Beitrag über diese Webseite und erklärte, dass er einen Test durchgeführt hätte, um zu bestätigen, dass diese nicht echt sei. Er erklärte:

„Ich habe mit einem kleinen Tippfehler einen Test gemacht und ‚tezor[dot]io‘ eingegeben. Hier habe ich bewusst das ‚r‘ weggelassen. Ich wurde sofort auf die Seite https://trezor[dot]run/start/ geleitet. Das ist nicht die tatsächliche Webseite von Trezor (die richtige lautet http://trezor.io bzw. https://trezor.io/start/).“

Der Reddit-Nutzer sagte, dass ein URL-Tippfehler den Benutzer tatsächlich auf die betrügerische Trezor-Webseite umleite und dabei möglicherweise eine gehackte Firmware installiere. 

Der Bitcoin-Entwickler und selbsternannte BTC-Maximalist Jameson Lopp hat über Twitter vor der gefälschten Webseite gewarnt. Lopp – der auch der CTO bei der Firma für Sicherheitssysteme für Bitcoin-Schlüssel Casa ist – schrieb dazu:

„SICHERHEITSHINWEIS Nutzer der @Trezor Web-Wallet sollten diese NICHT über die Adresse ‚http://trezor.io‘ im Browser besuchen – verschreibt man sich bei der URL, könnte man auf eine betrügerische Webseite weitergeleitet werden, die BTC stehlen kann Lesezeichen sind Ihr Freund!“

Bösartige App imitiert Hardware-Wallet Trezor

Cointelegraph berichtete am 23. Mai, dass Betrüger gefälschte Kryptowährungs-Wallets in den Google Play Store hochladen. Die bösartige App imitiert die Hardware-Wallet Trezor. Obwohl sie auf Google Play völlig echt aussah, enthielt die Software selbst keinen Hinweis auf Trezor. Die App ist lediglich ein generischer Anmeldebildschirm, um die Anmeldeinformationen zu stehlen.

Im November 2018 warnte Trezor seine Benutzer, Betrüger hätten gefälschte Versionen seiner Hardware-Wallet auf den Markt gebracht. Firmenmitarbeiter bestätigten damals, es seien im Laufe der Jahre Trezor-Klone herausgekommen , aber ein „gefälschtes Trezor-Gerät, hergestellt von einem anderen, unbekannten Anbieter“, sie eine erstaunliche Entdeckung.

auf cointelegraph lesen

Auf Google Play Store: Gefälschte Krypto-Wallet-App imitiert Trezor

Betrüger bieten gefälschte Kryptowährungs– Wallets auf dem Google Play Store an und versuchen, damit von den steigenden Bitcoin (BTC)-Kursen zu profitieren, wie Antivirusforscher von ESET am 23. Mai behaupteten.

Eine bösartige App präsentierte sich als die Hardware-Wallet Trezor. Die Untersuchung ergab, dass die Software mit einer anderen gefälschten App in Verbindung gestanden habe. Diese kann nichtsahnende Benutzer um ihr Geld  betrügen.

Die Seite der App auf Google Play sehe zwar seriös aus, doch die Forscher erklärten, dass die Software selbst überhaupt nichts mit der Marke Trezor zu tun habe und mit einem generischen Login-Bildschirm die Anmeldeinformationen zu ergaunern versuche.

Laut ESET sollen über 1.000 Nutzer eine der zweifelhaften Apps heruntergeladen haben. Obwohl die App behaupte, Wallets für die Aufbewahrung von Krypto zu erstellen, sei die Software nur darauf ausgelegt, Kunden dazu zu bewegen, Coins an die Adressen der Angreifer zu überweisen. Die Forscher warnten:

„Wenn Bitcoin sein Wachstum fortsetzt, können wir erwarten, dass mehr betrügerische Kryptowährungs-Apps im offiziellen Android App Store und anderswo auftauchen werden.“

Krypto-Nutzern wird geraten, einer App nur dann zu vertrauen, wenn die offizielle Webseite des Unternehmens auf diese verweist. Außerdem sollen sie ihre Geräte regelmäßig aktualisieren und sich zweimal überlegen, ob sie ihre privaten Daten in Online-Formulare eingeben.

Trezor sagte den Forschern, dass die gefälschte App keine Sicherheitsbedrohung für ihre Benutzer sei. Das Unternehmen erklärte aber, dass es besorgt sei, dass die über die Software gesammelten E-Mail-Adressen in Zukunft für Phishing-Versuche verwendet werden könnten. Google Play hat die Apps inzwischen von seinem Marktplatz entfernt.

Letztes Jahr gab Trezor eine Warnung an die Benutzer heraus, nachdem Betrüger begannen, gefälschte Versionen ihrer Hardware-Wallets anzubieten.

Bereits im November 2018 fand der Malware-Forscher Lukas Stefanko vier gefälschte Krypto-Wallets im Google Play Store, die sich als offizielle Software für NEOTether und Metamask präsentierten.

auf cointelegraph lesen