Phishing-Schaden von 130.000 US-Dollar durch als Google getarnte Anrufe und E-Mails sowie synchronisierte Bestätigungscodes

 (bewildered.substack.com)
1 Punkte von GN⁺ 2025-09-18 | 1 Kommentare | Auf WhatsApp teilen
  • Ein Nutzer schildert, wie er durch einen Anruf eines angeblichen Google-Support-Teams und eine E-Mail, die sich als legal@google.com ausgab, Opfer eines Phishing-Angriffs wurde
  • Durch die Cloud-Synchronisierungsfunktion von Google Authenticator gelangten die Angreifer sogar an die Zwei-Faktor-Codes, kompromittierten das Coinbase-Konto und stahlen Kryptowährungen
  • Innerhalb von nur 40 Minuten wurden Kryptowährungen im Wert von 80.000 US-Dollar gestohlen (heutiger Gegenwert etwa 130.000 US-Dollar)
  • Als Faktoren, die den Schaden verschärften, werden Sicherheitslücken in Gmail und die standardmäßig aktivierte Synchronisierung in Authenticator genannt
  • Empfohlen werden die Einhaltung grundlegender Sicherheitsregeln wie regelmäßige Passwortänderungen, das niemals Teilen von Bestätigungscodes und ein vorsichtiger Umgang mit Cloud-Synchronisierung

Ein Betrugsfall, der mit einem einzigen Anruf begann

  • Am 19. Juni ging ein Anruf mit der Vorwahl (650) aus dem Raum „Pacifica, CA“ ein
  • Der Anrufer behauptete, zum Google-Support-Team zu gehören, und sprach von einer gemeldeten Anfrage zur Kontoübertragung, der sogar eine Sterbeurkunde und ein Ausweis beigefügt gewesen seien
  • Es wurde eine E-Mail von der täuschend echten Adresse legal@google.com verschickt (Absendername Norman Zhu), die wie eine offizielle Nachricht wirkte und Vertrauen schaffen sollte
  • In der Gmail-App auf iOS war @google.com als Absender sichtbar, zusammen mit Branding, Fallnummer und weiteren Details, wodurch die Tarnung besonders überzeugend war
  • Unter dem Vorwand, den Todesfall zu verifizieren, bat der Angreifer um die Bestätigung eines temporären Verifizierungscodes, den das Opfer in einem Moment der Verunsicherung weitergab

Zugriff der Angreifer auf das Coinbase-Konto

  • Gegen Ende des Gesprächs beruhigte der Angreifer das Opfer zusätzlich mit Hinweisen wie der angeblichen Registrierung für Google Advanced Security
  • Das Opfer glaubte, die Sicherheit verbessert zu haben, doch die Angreifer hatten bereits Zugriff auf Gmail, Drive, Photos und die synchronisierten Authenticator-Codes
  • Ausschlaggebend war, dass durch die Cloud-Synchronisierung von Google Authenticator auch die 2FA-Codes abgegriffen wurden
  • Kurz darauf loggten sich die Angreifer in das Coinbase-Konto ein und begannen mit dem Diebstahl der Kryptowährungen

Details zum Kryptodiebstahl und zum Schaden

  • Über etwa 40 Minuten führten die Angreifer mehrere Transaktionen durch, verteilten ETH und andere Token auf verschiedene Transfers und stahlen schließlich den Gesamtbetrag
  • Der Verlust betrug damals rund 80.000 US-Dollar, nach heutigem Stand etwa 130.000 US-Dollar
  • Als das Opfer zwei Stunden später den Coinbase-Kontostand prüfte, war das Guthaben fast vollständig auf null gefallen
  • Zusätzlich fanden sich im Google-Konto Anmeldungen von neuen Geräten sowie Änderungen an der hinterlegten Wiederherstellungstelefonnummer

Warum selbst ein Sicherheitsexperte darauf hereinfallen konnte

  • Das Opfer arbeitet in der IT-Branche und erklärt, selbst an der Gestaltung von Authentifizierungserfahrungen beteiligt zu sein
  • Trotz eines hohen Sicherheitsbewusstseins scheiterte die Phishing-Abwehr wegen der gefälschten E-Mail und der inszenierten Dringlichkeitssituation

Zwei zentrale Sicherheitsfehler von Google

  1. Versagen beim Filtern gefälschter Absender-E-Mails mit „@google.com“
    • Das Spoofing des From-Felds ließ die Nachricht wie eine offizielle Google-E-Mail erscheinen; in der Gmail-App für iOS war zudem keine vollständige Header-Prüfung möglich, was eine sofortige Verifikation erschwerte
  2. Standardmäßig aktivierte Cloud-Synchronisierung in Google Authenticator
    • Die synchronisierten 2FA-Codes wurden von den Angreifern erlangt, wodurch die tatsächliche Schutzwirkung der Zwei-Faktor-Authentifizierung ausgehebelt wurde
    • In der Folge wurden E-Mail, 2FA, Dokumente, Fotos und weitere digitale Vermögenswerte auf einen Schlag offengelegt
  • Hinweis: Für Nutzer, die Gmail und Google Authenticator zusammen verwenden, könnte 2FA grundsätzlich nicht sicher sein

Sicherheitsregeln und Empfehlungen

  • Noch heute das Passwort ändern und regelmäßig erneuern (laufende Vorfälle mit mehr als 1,6 Milliarden offengelegten Passwörtern)

  • Bestätigungscodes niemals weitergeben (Angreifer nutzen psychologische Manipulation durch „Dringlichkeit“ und „Angst“)

  • Cloud-Synchronisierung in Google Authenticator mit Vorsicht verwenden

    • Sie erleichtert die Wiederherstellung, bringt aber auch Verwaltungs- und Sicherheitsrisiken mit sich

  • Bei verdächtigen Anrufen immer wachsam sein

    • Im Zweifel sofort auflegen und sich anschließend nur über offizielle Kanäle erneut anmelden oder Kontakt aufnehmen

  • Es wird gehofft, dass dieser Fall die notwendige Wachsamkeit stärkt und ähnliche Schäden verhindert

Ergänzende Erläuterungen und Umstände

  • Möglicherweise verfügten die Angreifer bereits über das Passwort aus einer kürzlich bekannt gewordenen Liste mit 1,6 Milliarden geleakten Passwörtern
  • Das Opfer betont, kein Passwort mehrfach verwendet und es vertraulich behandelt zu haben, hatte es jedoch über lange Zeit nicht geändert
  • Es wird vermutet, dass die Angreifer durch den erhaltenen Wiederherstellungscode die 2FA umgehen konnten

Zum Phishing-Mailverkehr

  • Es gingen mehrere E-Mails im Namen von legal@google.com ein, doch die Angreifer löschten sämtliche Spuren, einschließlich Papierkorb und Wiederherstellungsprotokollen
  • Einige E-Mails konnten jedoch erhalten werden, weil sie an phishing@google.com weitergeleitet wurden und während der Rückgewinnung der Kontorechte als unzustellbare Rückläufer zurückkamen
  • Die E-Mail-Adresse phishing@google.com existiert offenbar nicht tatsächlich oder ist von außen nicht erreichbar
  • Die Originalmail trug den Betreff „Google Recent Case Status“ und war mit offiziellem Format und Wording, Hinweisen zur internen Prüfung sowie Informationen zur Aufbewahrung eines temporären Passworts gestaltet
  • Enthalten waren außerdem der Name des Support-Mitarbeiters „Norman Zhu“, eine Fallnummer und Abteilungsinformationen

Gesamte Zusammenfassung

  • Dies ist ein Fall von groß angelegter Kontoübernahme und Kryptodiebstahl, ausgelöst durch die Kombination aus einem raffinierten Identitätsbetrug und strukturellen Schwächen der Plattform
  • Der Fall erinnert daran, dass auch Zwei-Faktor-Authentifizierung keine absolute Sicherheitszone ist
  • Neben klassischen Sicherheitsregeln wird dadurch auch die Notwendigkeit von Überprüfungen auf Plattformebene und dienstspezifisch abgestuften Sicherheitseinstellungen hervorgehoben

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-09-18
Hacker-News-Kommentare

  • Letzten Freitag habe ich auch einen ähnlichen Anruf bekommen, der klang legitim. Mein bewährter Trick ist, nach einer Ticketnummer und einer offiziellen Rückrufnummer zu fragen, um zu prüfen, ob es wirklich die Nummer des Unternehmens ist. Wenn ja, kann man das Gespräch fortsetzen, wenn nicht, kann man beruhigt auflegen. Der Anrufer sagte, er könne mir eine E-Mail schicken, die beweise, dass es offiziell sei, wollte mir aber keine Rückrufnummer geben, deshalb war sofort klar, dass es Betrug war. E-Mail-Adressen und Telefonnummern lassen sich beliebig spoofen. Selbst wenn die angezeigte Nummer korrekt aussieht, sollte man ihr niemals vertrauen und immer über die offizielle Nummer zurückrufen und verifizieren.

    • Ich nehme nicht einmal Telefonnummern direkt entgegen, sondern frage die andere Person immer nach Firmenname und Standort und suche die Nummer dann selbst auf der offiziellen Website des Unternehmens, z. B. https://amazon.com, heraus und rufe dort an. Das ist etwas umständlich, aber deutlich sicherer.

    • Auch bei der Suche nach offiziellen Nummern muss man vorsichtig sein. Gefälschte Nummern können in Suchergebnissen auf Websites auftauchen, die echt wirken. Es ist wirklich ein Kriegsschauplatz ohne Waffen.

    • Ganz im Sinne von „Auch bei einer legitimen Nummer ist Caller ID bedeutungslos“ habe ich das vor ein paar Jahren auch meiner Bank gesagt, als sie anrief und zur Identitätsprüfung persönliche Daten von mir verlangte.

    • Eine „offizielle Telefonnummer“ ist zwar eine gute Idee, aber wenn ein Angreifer Zugriff auf SS7 hat, bringt auch diese Methode nichts.

  • Dinge, die man sich immer wieder ins Gedächtnis rufen sollte

    • Der Kundensupport großer Unternehmen ruft Kunden niemals von sich aus an.

    • Wenn jemand am Telefon oder per E-Mail nach einem Code fragt, niemals den per SMS erhaltenen Verifizierungscode weitergeben; das steht meistens sogar in der Nachricht.

    • Wichtige persönliche Daten nicht nur mit einem einzigen Passwort schützen. Google Authenticator, der an das Google-Konto gebunden ist, nicht als Passwortverwaltung verwenden; lieber eine Drittanbieter-Lösung wie 1Password.

    • E-Mail-Adressen für Banken und Investments unbedingt von allgemein bekannten E-Mail-Adressen trennen. Auch Chrome-Profile nach E-Mail-Adresse trennen und bei den Erweiterungen nur den Passwortmanager behalten.

    • Vor ein paar Wochen bekam ich allerdings einen Anruf von einer in der Suche nicht auffindbaren Nummer, angeblich vom Bank-Support. Man bat mich, einen per SMS erhaltenen Verifizierungscode vorzulesen. Ich lehnte ab, woraufhin mein Online-Banking gesperrt wurde und später tatsächlich ein Brief per Post kam mit einem deutlichen Hinweis, dass mein Konto nicht automatisch upgegradet werden könne, weil ich nicht mit einem Support-Mitarbeiter kommuniziert hätte. Am Ende musste ich in der App ein neues Konto anlegen, bei ihnen anrufen und ihnen den SMS-Code dann doch noch vorlesen (!), und das war unmittelbar der einzige Schritt zur Verifizierung des neuen Kontos. Eine der 100 größten Banken der Welt arbeitet so. Unternehmen trainieren die Leute gefühlt geradezu für Betrug. Es war eine deutsche Bank, aber Chase hat offenbar die gleiche Angewohnheit, OTP-Codes am Telefon abzufragen.

    • Der Google-Nest-Thermostat-Support hat mich einmal nach einem Verifizierungscode gefragt, als ich darum bat, die Energiespar-Einstellung zu deaktivieren (mit der der Stromversorger zur Einsparung die Temperatur steuern kann). Ich habe abgelehnt mit dem Hinweis, dass in der Nachricht ausdrücklich steht, man solle den Code nicht weitergeben, und der Support hat mir dann einfach einen anderen Weg gezeigt. Die Anfrage war an sich schon seltsam.

    • Auch die Chase Bank hat bis vor Kurzem bei telefonischen Kontakten wegen Betrugswarnungen solche Codes abgefragt. Das ist wirklich extrem nervig.

    • Ich lasse mein Handy standardmäßig im „Nicht stören“-Modus. Nur bei fünf engen Familienmitgliedern klingelt es. Unbekannte Nummern nehme ich grundsätzlich nicht an, und wenn es wirklich dringend ist, können sie eine Voicemail hinterlassen. Wenn man einen Anruf entgegennimmt, kann man offenbar nicht immer in der Sekunde einen kühlen Kopf bewahren. Das erinnert an den Trick, auf der Straße nach dem Weg zu fragen und dabei die Uhr zu stehlen. Sicherheit war nicht der Hauptgrund, aber es ist gut, nicht von Bank-Tipps oder Hackern erreicht zu werden.

    • Leider gibt es einige Callcenter, die zur Identitätsprüfung tatsächlich anrufen, per SMS oder E-Mail einen Code schicken und den dann wieder vorgelesen bekommen wollen.

  • Dieser Angriff wirkt wie reines Social Engineering, und es scheint kein E-Mail-Spoofing gegeben zu haben. Sehr wahrscheinlich wurde die E-Mail tatsächlich offiziell von Google verschickt. Meine Vermutung ist, dass der Angreifer den offiziellen Google-Prozess zur Kontowiederherstellung angestoßen hat und Google in diesem Rahmen eine E-Mail mit Code verschickt hat. Weil das Opfer diesen Code vorgelesen hat, bekam der Angreifer offenbar vollständigen Zugriff auf das Google-Konto – und damit auch auf Gmail, Google Drive und sogar auf die dort gesicherte Authenticator-App. Ich würde wirklich gern die vollständigen Header dieser E-Mail sehen.

    • Eine E-Mail von legal@google.com wirkt nicht echt. Schon im ersten Absatz und am Anfang des zweiten gibt es Grammatikfehler. Dass eine E-Mail aus der Rechtsabteilung solche simplen Tipp- und Satzzeichenfehler enthält, ist ausgeschlossen. Wäre sie offiziell, wäre sie mit Sicherheit korrekturgelesen worden. Also ist sie gefälscht.

    • Wenn die E-Mail vom Angreifer selbst kam, verstehe ich allerdings nicht, warum das Opfer den Code überhaupt hätte mitteilen müssen.

    • „Coinbase-Passwort zurücksetzen“ – es ist wirklich riskant, Gmail für kritische Dienste wie Banken, Krypto oder Domains als zentrale Adresse zu verwenden. Ich bin selbst in der Situation, dass ich mein Google-Passwort kenne, aber wegen 2FA trotzdem nicht an mein Konto komme.

  • Bei unbekannten Nummern sollte man immer misstrauisch sein. Ich stimme dem Rat zu: Wenn etwas seltsam wirkt, auflegen und das Unternehmen selbst kontaktieren, um das Gespräch neu zu beginnen. Wenn ich darüber nachdenke, gehe ich an Anrufe meistens ohnehin nicht ran, wenn ich nicht damit rechne, und dadurch habe ich vermutlich schon viele Betrugsversuche vermieden. Enttäuschend ist, dass Google die Authenticator-Codes in die Cloud synchronisiert hat, sodass der Angreifer letztlich Zugriff auf Gmail, Drive, Photos und die Authenticator-App hatte.

    • Normalerweise gehe ich bei unbekannten Nummern nicht ran, aber vor ein paar Tagen rief jemand als angeblicher „Amazon-Mitarbeiter“ an und behauptete, über mein Konto sei ein iPhone für umgerechnet 600.000 Won gekauft worden. Um die Identität zu prüfen, fragte ich, was ich zuletzt bestellt hätte, aber die Person blieb völlig vage. Wir waren fast 20 Minuten in der Leitung, bis sie irgendwann fluchend auflegte. Im Hintergrund hörte man gleichzeitig starken Lärm von weiteren ähnlichen Betrugsanrufen in der Umgebung. Ich habe wirklich keine Ahnung, warum ich so lange dran geblieben bin.

    • Das klarste Warnsignal bei solchen Betrugsmaschen ist, dass der Support dich zuerst kontaktiert. Wenn man selbst den echten Support in einer dringenden Sache erreichen will, kommt man oft nicht einmal durch.

    • Meine heutige Regel ist: Unbekannte Nummern gehen direkt auf die Mailbox. Wenn es wichtig ist, sollen sie eine Nachricht und ihre Nummer hinterlassen. Wenn nötig, rufe ich zurück. Ausnahmen mache ich nur für Dinge wie medizinische Einrichtungen oder Lieferungen, bei denen ich den Anruf wirklich annehmen muss. So filtere ich das aus.

    • Ich verwende die 1- bis 2-Sekunden-Regel: Ich nehme ab, sage Hallo, und wenn innerhalb von 1 bis 2 Sekunden keine Antwort kommt, lege ich auf. Betrüger werden oft aus einer Anrufwarteschlange verbunden, deshalb gibt es eine kurze Verzögerung, und sie müssen sich erst in ihr Skript finden. Anders als in einem normalen Gespräch brauchen sie Vorbereitungszeit. Wenn jemand nicht sofort reagieren kann, ist die Wahrscheinlichkeit hoch, dass es Spam ist.

    • Nicht nur auf meinem Handy, auch auf den Handys meiner Eltern werden unbekannte Nummern komplett blockiert. Ich erkläre ihnen regelmäßig, dass sie E-Mail-Betrug nicht glauben sollen, und trotzdem ruft meine Mutter jedes Jahr ein- oder zweimal panisch an, weil sie auf eine Betrugs-Mail hereingefallen ist, die sie für echt hielt.

  • Mein Grundsatz ist, nicht ans Telefon zu gehen. Ich habe tatsächlich „Nicht stören“ aktiviert und lasse nur Nummern aus den Favoriten klingeln. Wer wirklich dringend etwas will – ob legitim oder betrügerisch –, kann eine Voicemail hinterlassen. Wenn behauptet wird, man rufe im Namen eines Unternehmens an, überprüfe ich das selbst. Solche Fälle zeigen, dass man bei unaufgeforderten Anrufen, egal wie plausibel sie klingen, am besten gar nicht erst in ein Gespräch einsteigt. Und ich speichere grundsätzlich keine sensiblen Informationen im Google-Konto. Wer in der Tech-Branche gearbeitet hat, weiß, wie riskant das ist.

    • Ich kenne das Risiko von Spam-Anrufen sehr gut, das muss man mir nicht erklären. Aber mir scheint, hier wird zu leichtfertig ausgeschlossen, dass etwa ein „Sicherheitsteam der Bank“ tatsächlich mit einer echten Betrugswarnung anrufen könnte. Vielleicht habe ich die Nummer meiner Bank nicht erkannt, und ob das wirklich die richtige Gegenmaßnahme ist, weiß ich auch nicht sicher.

    • Ich habe schon echte wichtige Anrufe von Behörden oder Banken bekommen, etwa wegen Fehlern in der Steuererklärung. Deshalb glaube ich nicht, dass es immer richtig ist, grundsätzlich nicht ranzugehen. Außerdem wird Voicemail in Europa kaum genutzt; das wirkt eher wie eine US-Kultur.

  • Auch ohne Spoofing von E-Mail-Adressen ist Krypto-Diebstahl jederzeit möglich. Kriminelle können jemanden auch mit einer Waffe bedrohen und nach dem Seed fragen; solche Fälle gibt es tatsächlich recht häufig. Deshalb sind traditionelle Banken viel sicherer als Kryptowährungen. Es ist gut, dass der Autor diese Erfahrung geteilt hat, aber die eigentliche Lehre sollte sein, dass Kryptowährungen kein sicheres Mittel zur Vermögensaufbewahrung sind.

    • Trotzdem ist die Telefonmasche viel besser skalierbar, als mit einer Waffe bis zur Haustür zu gehen.

    • Ganz Hacker News entsprechend gibt es aber auch die Ansicht, dass Bedrohung mit der Waffe hier gar nicht das eigentliche Thema ist.

    • Für die Sicherheit von Kryptowerten ist Multisig nützlich. Bei einem 2-of-2-Setup kann man sich die Signaturberechtigung zum Beispiel mit einer vertrauenswürdigen Institution wie einer Bank teilen; das kann sicherer sein als eine normale Bank. Mit mehreren Schlüsseln wie 3-of-5 kann man sich auch gegen Zwang schützen, etwa wenn ein Hardware-Token nach falscher PIN-Eingabe den Schlüssel löscht.

    • Die Lösung sind Multisig-Wallets. Außerdem wirkt eine Struktur, bei der für Auszahlungen mehrere Personen zustimmen müssen, auch wie eine Bremse für impulsive Ausgaben. Wenn mehrere Personen beteiligt sind, kann das aber umgekehrt auch Risiken schaffen. Nutzt man eine Offline-Cold-Wallet, kann ein Hack zudem Stunden dauern, was Zeit verschafft.

    • Das Comic https://xkcd.com/538/ passt hier ebenfalls gut.

  • Die entscheidende Frage ist doch, warum der Angreifer nicht auch Bankkonten, Rentenkonten oder Kreditkarten geleert hat. Realistisch gesehen kümmern sich Banken viel stärker um gehackte Kundenkonten.

    • Was mit „Banken kümmern sich“ eigentlich gemeint ist: Wenn man selbst angemessen gehandelt hat, erstatten sie in vielen Fällen den Schaden bei einem geleerten Konto. Deshalb achten Banken bei groß angelegtem Betrug auch stärker auf hohe Beträge. Übrigens gab es noch vor 10 Monaten einen Reddit-Thread, in dem die Kombination Coinbase + Google Authenticator als die beste Sicherheit bezeichnet wurde: Reddit-Thread zum Coinbase-Hack

    • Problematisch ist im Gegenzug, dass Banken und ähnliche Anbieter ihre Kunden deshalb oft dazu zwingen, Banking nur noch über Smartphone-Apps mit extrem harten Sperrmechanismen zu nutzen. Zwischen einem zu starken Misstrauen gegenüber dem Kunden und der völligen Verantwortungsabwälzung gibt es kaum einen Mittelweg.

    • Überweisungen von Banken oder Broker-Konten brauchen Zeit. Wenn man den Betrug in dieser Zeit bemerkt und meldet, kann das Konto eingefroren werden, sodass sich unmittelbare Verluste leichter verhindern lassen.

    • Es gibt allerdings auch die Meinung, dass Banken sich in Wahrheit gar nicht so sehr darum kümmern.

  • Der Ablauf des Vorfalls ist unklar, deshalb ist er schwer zu verstehen. Wenn wirklich nur ein 2FA-Code genügt hat, um alles auszuräumen, wäre das ein sehr ernstes Problem. Es könnte auch ein bereits kompromittiertes Passwort gewesen sein, Passwort-Wiederverwendung oder einfach ein bereits offengelegtes Google-Konto. Wenn man mit nur einem 2FA-Code von Google-Konto → Authenticator-App → Passwortmanager alles übernehmen konnte, dann könnte in Kettenreaktion auch die Zwei-Faktor-Authentifizierung anderer Dienste zusammenbrechen. Was mich dabei am meisten interessiert: Wurde ein Passwort wiederverwendet oder nicht? Zur Einordnung: Ich arbeite bei Google, aber nicht im Security-Team.

    • Ich vermute, der Angreifer hatte mein Passwort bereits und brauchte am Ende nur noch den Wiederherstellungscode, den ich ihm am Telefon vorgelesen habe. Ich habe mein Passwort weder geteilt noch wiederverwendet, aber ich hatte es lange nicht geändert.

    • Selbst wenn man das Passwort hat, kann man mit Kontrolle über E-Mail und 2FA-Codes per Passwort-Reset alle Konten übernehmen.

  • Im Beitrag fehlen zu viele technische Details. Dass Google selbst im Jahr 2025 nicht in der Lage wäre, „ähnlich aussehende“ @google.com-Absender zuverlässig zu blockieren, wäre besorgniserregend. Ob Unicode-Spoofing der Grund war, ob Authentifizierung wie DKIM fehlte oder ob das Konto selbst kompromittiert war, bleibt unklar. Insgesamt passt die Geschichte technisch nicht sauber zusammen.

    • Die Idee mit Unicode-Domainnamen scheint ohnehin nie wirklich gut gewesen zu sein. Realistisch genutzt wird so etwas meist von Betrügern und Kriminellen. Vielen Dank auch, ICANN.

    • Auffällig ist auch, dass der Beitrag nicht erklärt, wie genau die E-Mail so wirken konnte, als sei sie von einer Google-Domain gekommen. Dass die Person angibt, aus der Sicherheitsbranche zu sein, aber keine Details liefert, wirkt ebenfalls seltsam.

  • Es fällt auf, dass niemand den Rat erwähnt hat, keine Hunderttausende Dollar auf einem Coinbase-Konto zu lassen.

    • Ich hatte meine Kryptowährungen auf Coinbase und auf einer kaputten Festplatte verteilt, und jetzt bekomme ich die Festplatte nicht wiederhergestellt.

    • Ich würde empfehlen, überhaupt nicht in Kryptowährungen zu investieren. Abgesehen von Spekulation und Geldwäsche lässt sich nur schwer ein echter praktischer Wert erkennen, und die Risiken sind hoch.