Der Hardware Wallet Hersteller Ledger hat gestern eine besorgniserregende Sicherheitslücke melden müssen. Dabei wurden DApps zum Türöffner. Das Problem scheint jetzt beseitigt, aber Ledger muss sich erklären.
Wer am gestrigen Donnerstagnachmittag auf X (früher Twitter) Krypto-Informationen einholen wollte, stieß auf eine gewisse Panik. Ein Tweet von Nutzer „banteg“ verbreitete sich rasend schnell, der dringend davor warnte, Ledger Hardware Wallets mit DApps zu verbinden. Denn die Ledger Software sei „kompromittiert“ und durch einen Code ersetzt, der Krypto stehle. Ledger reagierte relativ schnell und veröffentlichte auf X ebenfalls eine entsprechende Warnung. Was war da also passiert?
Pascal Gauthier, CEO von Ledger, hat mittlerweile einen offen Brief zu den Vorfällen geschrieben – und bestätigte damit im Grunde die initiale Warnung. Demnach war ein früherer Mitarbeiter von Ledger auf eine Phishing E-Mail hereingefallen. Damit gelang es den Angreifern, Zugriff auf die Software Bibliothek von Ledger zu erlangen. Dort manipulierten sie ein Modul, welches Ledger Hardware Wallets über Webbrowser mit DApps verbindet. Über diese Schnittstelle konnten der oder die Angreifer dann Transaktionen auf ihre eigene Wallet umleiten, so die Analyse. Die den Kriminellen zugeordnete Wallet ist hier einsehbar. Tatsächlich stiegen dort die Krypto-Einlagen schlagartig von Null auf umgerechnet knapp 500.000 US-Dollar.
Gauthier schreibt nun, die Sicherheitslücke habe rund fünf Stunden lang bestanden und sei nach bisherigen Erkenntnissen weniger als zwei Stunden ausgenutzt worden. Das Ledger Team habe die Lücke innerhalb von 40 Minuten geschlossen, nachdem es informiert worden war. In Kooperation mit Tether (USDT) seien gestohlene Guthaben in dem Stablecoin eingefroren, für andere Geschädigte arbeite man einer Lösung.
So wirkt es, als ob Ledger mit einem „blauen Auge“ davonkommt und Betroffene mit Entschädigung rechnen dürfen. Doch Gauthier entschuldigt sich wörtlich für „Panik“ und warnt, solche Angriffe könnten auch anderen Anbietern drohen.
Fazit: Ledger Sicherheitslücke mahnt zur Aufmerksamkeit
Nutzer von Ledger hätten den Angriff möglicherweise bemerken können, wenn sie bei Transaktionen die im Browser angezeigte Zieladresse mit der auf dem Display der Hardware Wallet verglichen hätten. Aber selbst Gauthier nutzt diesen Hinweis nicht als Ausflucht für Ledger. Hier wurde ein kritisches Software-Modul deshalb gehackt, weil ein einzelner Mitarbeiter zu hohe Zugriffsrechte hatte und diese zudem nach seinem Ausscheiden bei Ledger nicht blockiert wurden. Ob dieser Mitarbeiter tatsächlich selbst Opfer einer Pishing-Attacke war oder mit den Angreifern kooperierte, muss sich wohl noch zeigen. Für Ledger bleibt der Hack hochnotpeinlich, auch wenn das schnelle Eingreifen Schlimmstes verhinderte.
Be the first to comment