Ledger-Bibliothek kompromittiert, Dringende Sicherheitswarnung für mehrere DApps und Ledger-Benutzer

Die Ledger-Bibliothek wurde kompromittiert. Was ist bei Ledger passiert und was sollten die Besitzer der Wallets jetzt tun?

Prasanna Peshkar

Prasanna Peshkar

December 14, 2023 3:36 PM

Ledger-Bibliothek kompromittiert, Dringende Sicherheitswarnung für mehrere DApps und Ledger-Benutzer
Categories: Breaking

In einer schockierenden Wendung wurde die weit verbreitete Ledger-Bibliothek kompromittiert und stellt eine erhebliche Bedrohung für die Sicherheit der Gelder der Benutzer dar. Der Verstoß wurde als Infiltration durch einen bösartigen Akteur identifiziert, der die legitime Bibliothek durch ein Ablauffeldskript ersetzt hat.

Die Verwundbarkeit erstreckt sich über die Ledger-Bibliothek hinaus, da auch der von Ledger verwendete Connect-Kit-Loader anfällig ist. Der Loader, der mit lockeren Abhängigkeiten angegeben ist, öffnet die Tür für potenzielle Exploits. Die Liste der betroffenen Parteien ist umfangreich, wie durch die Ergebnisse auf GitHub und Sourcegraph angezeigt wird.

Die Benutzeroberflächen verschiedener dezentraler Anwendungen (DApps) wie Zapper, SushiSwap, Balancer und Revoke.cash waren von einem Sicherheitsvorfall betroffen. Mathew Lilley, der Chief Technical Officer von SushiSwap, enthüllte, dass ein weit verbreiteter Web3-Connector, den viele DApps nutzen, kompromittiert wurde. Dies ermöglichte schädlichem Code, zu mehreren DApps hinzugefügt zu werden. Die Ledger-Bibliothek, ein entscheidender Teil dieses Systems, bestätigte den Kompromiss und gab zu, dass der anfällige Code die Adresse eines schädlichen Kontos, bekannt als der Drainer, eingefügt hatte.

Angreifer nutzen die Versionsverwaltung des Loaders aus und kompromittieren zahlreiche Bibliotheken

Ledger empfiehlt die Verwendung des Connect-Kit-Loaders, um das Connect-Kit zu laden, aber selbst die Einhaltung bewährter Praktiken mag nicht ausreichend sein. Trotz Versionsfestlegung lädt der Loader die neueste Version des Connect-Kits zwischen 1.0.0 und 2.0.0 herunter. Durch Ausnutzen dieses Umstands haben Angreifer erfolgreich mehrere Bibliotheken kompromittiert. Die zuletzt bekannte sichere Version von Ledger ist 1.1.4, mit drei verdächtigen Veröffentlichungen (1.1.5, 1.1.6, 1.1.7) heute veröffentlicht. Alle Versionen, die nach 1.1.4 veröffentlicht wurden, gelten als kompromittiert.

In einfacheren Worten empfiehlt Ledger die Verwendung von etwas namens ‘Connect-Kit-Loader’, um ein anderes Werkzeug namens ‘Connect-Kit’ zu laden. Selbst wenn du wirklich vorsichtig sind und die besten Methoden befolgen, holt der Loader immer noch die neueste Version von Connect-Kit zwischen 1.0.0 und 2.0.0. Diese Situation hat Angreifern die Möglichkeit gegeben, durch die Kompromittierung von Connect-Kit in viele Bibliotheken einzudringen. Die neueste sichere Version von Ledger ist 1.1.4, aber heute wurden drei neue Versionen (1.1.5, 1.1.6, 1.1.7) veröffentlicht, von denen angenommen wird, dass sie kompromittiert sind. Wenn Sie also eine dieser neuen Versionen haben, ist es wichtig, sie als unsicher zu betrachten.

Was ist genau passiert?

In einer Reihe von gravierenden Fehlern scheint Ledger eine Kette von Fehlern begangen zu haben, die zur Kompromittierung ihrer weit verbreiteten Bibliothek beigetragen haben. Zunächst führte die Entscheidung, JavaScript (JS) von einem Content Delivery Network (CDN) zu laden, zu einer Schwachstelle, da CDNs anfällig für Kompromittierung sein können.

Zweitens verschärft die fehlende Versionssperre für das geladene JS das Problem, indem sie die Tür für Angreifer offen lässt, lockere Abhängigkeiten auszunutzen. Schließlich fügt die Enthüllung hinzu, dass das CDN von Ledger selbst kompromittiert wurde, eine weitere Ebene der Besorgnis zu der Situation hinzu.

Diese kombinierten Sicherheitslücken haben den Weg für bösartige Akteure geebnet. Diese könnten die Ledger-Bibliothek zu infiltrieren und sie durch ein Ablauffeldskript zu ersetzen. Als Vorsichtsmaßnahme rät man Ledger-Benutzern dringend, jegliche Interaktion mit dezentralen Anwendungen (dApps) zu unterlassen, bis das Ledger-Team die erfolgreiche Eindämmung des Angriffs bestätigt und die Wiederherstellung einer sicheren Umgebung zusichert.

Stellt Ledger den Profit über Sicherheit und Unterstützung der Gemeinschaft?

In diesem Artikel haben wir vor Monaten bereits darüber gesprochen, wie Ledger begann, sich von seinen Benutzern zu entfernen. Die wiederholte Einführung neuer Geräte durch Ledger in Kombination mit der Einstellung der Unterstützung für ältere Modelle hat bei bestimmten Kunden Frustration ausgelöst. Es wurde Zweifel an der Sicherheit ihrer digitalen Vermögenswerte aufgeworfen. Darüber hinaus sind in der Kryptogemeinschaft Bedenken hinsichtlich der vermeintlichen Priorisierung von Profiten durch Ledger gegenüber robusten Sicherheitsmaßnahmen und engagiertem Kundensupport aufgetaucht. Dieser Artikel beabsichtigt, diese Bedenken genauer zu untersuchen und Einblicke in sichere Praktiken für die Speicherung von Kryptowährungen zu geben.

Nicht nur das, vor wenigen Monaten haben wir Benutzer bereits vor der Möglichkeit gewarnt, dass Ledger private Schlüssel lesen könnte. Ledger hat kürzlich eine neue Option hinzugefügt, die es Benutzern ermöglicht, ihre privaten Schlüssel mit externen Diensten für Backups zu teilen. Viele Benutzer waren jedoch besorgt und alarmiert über diese Wahl. Menschen stellten sich die Frage, wie es funktioniert und welche Risiken es mit sich bringen könnte. Aufgrund dieser Bedenken suchen einige nach anderen Optionen, anstatt Ledger zu verwenden, um ihre Kryptowährungen sicher aufzubewahren.

Die Stellungnahme von Ledger gibt Anlass zur Sorge

Als Reaktion auf den kürzlichen Sicherheitsvorfall im Zusammenhang mit ihrer kompromittierten Bibliothek hat Ledger eine Erklärung abgegeben, die Benutzer mit mehr Fragen als Antworten zurückgelassen hat.

Die Erklärung mangelt es an der erforderlichen Klarheit, um die Schwere der Situation anzugehen und Benutzer hinsichtlich der Sicherheit ihrer Vermögenswerte zu beruhigen. Obwohl das Kompromittieren anerkannt wird, erscheint die Zusicherung von Ledger, das Problem zu lösen, vage und ohne konkrete Details zu den Maßnahmen, die sie ergreifen, um die Risiken zu minimieren.

Die Erklärung scheint ein Gefühl der Verantwortlichkeit zu vermissen. Das macht Benutzer unsicher über das Engagement des Unternehmens, die Schwachstellen zu beheben und zukünftige Vorfälle zu verhindern.

Während die Kryptogemeinschaft auf weitere Klarstellungen und entscheidende Maßnahmen von Ledger wartet, bleiben Bedenken hinsichtlich der Wirksamkeit ihrer Reaktion bestehen. Kann Ledger die Gelder der Benutzer zu schützen und das Vertrauen in ihre Sicherheitsinfrastruktur wiederherzustellen?

Wie sichern Sie Ihre Kryptowährungsvermögen? Sofortige Maßnahmen für Ledger-Besitzer

  1. Vermeide die DApp-Interaktionen: Es besteht ein erhebliches Risiko für die in Ledger-Wallets gespeicherten Gelder, wenn sie mit dezentralen Anwendungen (dApps) interagieren, die die kompromittierte Bibliothek verwenden. Ledger-Besitzer werden dringend darauf hingewiesen, ihre Geräte nicht mit dApps zu verbinden, bis die Situation geklärt ist.
  2. Überwachen Sie offizielle Kanäle für Updates: Ledger-Benutzer fordert man dazu auf, wachsam zu bleiben und offizielle Kommunikationskanäle von Ledger auf Echtzeitaktualisierungen und Anweisungen zur Vorgehensweise zu überprüfen. Überprüfe regelmäßig die Ledger-Website und offizielle Social-Media-Konten auf die neuesten Informationen!
  3. Aktualisiere Firmware und Software: Sobald eine Lösung verfügbar ist, ist es für Ledger-Besitzer unerlässlich, die Firmware oder Software ihres Geräts umgehend zu aktualisieren. Stelle sicher, dass Updates ausschließlich von der offiziellen Ledger-Website bezogen werden, um das Risiko des Herunterladens kompromittierter Dateien zu vermeiden!
  4. Implementiere zusätzliche Sicherheitsmaßnahmen: Als Vorsichtsmaßnahme sollten Benutzer erwägen, ihre Ledger-Kontopasswörter zu ändern und ihre Transaktionshistorie auf unbefugte Aktivitäten zu überprüfen. Durch diese Maßnahmen können Ledger-Besitzer die Gesamtsicherheit ihrer Vermögenswerte verbessern.

Wie geht es weiter?

Die Kryptogemeinschaft ist in höchster Alarmbereitschaft, da dieser Vorfall die Verwundbarkeit selbst weit vertrauter Plattformen unterstreicht. Ledger-Benutzer müssen während dieser kritischen Zeit schnell und gewissenhaft handeln, um ihre digitalen Vermögenswerte zu schützen. Bleiben Sie auf dem Laufenden für weitere Entwicklungen in dieser sich rasch entwickelnden Situation.

Wir werden weitere Informationen hinzufügen, wenn sie verfügbar sind. Schauen Sie also regelmäßig vorbei, um die neuesten Entwicklungen zu erfahren.

Wenn du am Kauf von Kryptowährungen interessiert bist, bietet Bitget einen unkomplizierten Prozess:

  • Bestätige deine Identität!
  • Wähle deine bevorzugte Landeswährung!
  • Verwende Zahlungsoptionen wie VISA oder Mastercard, um die Transaktion abzuschließen!
  • Kaufe oder verkaufe sofort dabei verschiedene Altcoins mit deiner Kredit- oder Debitkarte!

KAUFE HIER ALTCOINS AUF BITGET!

Tritt jetzt unserem neuen Cryptoticker.io Whatsapp-Kanal bei und verpasse dabei nie wieder wichtige Updates und Informationen.

Tritt unserem Discord-Kanal bei und schaue dir dabei die wichtigsten Kursanalysen an!

Zurzeit haben wir ein spannendes Test-Angebot für dich! Du kannst unsere Premium-Mitgliedschaft im ersten Monat für 1€/Tag testen. Überlege dir, es zu testen, falls du im Krypto-Markt immer Up-To-Date sein möchtest! Du erhältst im Premium-Bereich Trading-Ideen sowie professionellen Trading-Support. Weiterhin erhältst du oftmals frühzeitig Informationen zu den neuesten Krypto-Trends! So konnten unsere Kunden auch verschiedene NFTs früh genug kaufen. Falls du Genaueres zu unserem Premium Test-Angebot lesen willst, dann klicke hier!

Prasanna Peshkar
Artikel Von

Prasanna Peshkar

Mehr Artikel auf Cryptoticker

Alle anzeigen

Regelmäßige Updates zu Web3, NFTs, Bitcoin & Preisprognosen.

Bleibe auf dem Laufenden mit CryptoTicker.