Ist Ledger überhaupt noch sicher? Erneut leistet sich der grösste Hersteller von Hardware Wallets einen groben Schnitzer. Die jüngste Sicherheitslücke bot Angreifern einen nahezu direkten Zugang zu Kundengeldern. Ein Programmierer fordert nun harte Konsequenzen.
Auf der Suche nach einer neuen Hardware Wallet? Wirf einen Blick auf die BitBox02 des schweizerischen Herstellers Shift Crypto.
Ledger noch sicher? Das bedeutet die jüngste Sicherheitslücke
Ist Ledger noch sicher? Es handelt sich bei dem französischen Unternehmen um den grössten Hersteller von Hardware Wallets. Jüngst bot man dreisten Angreifern eine drastische Sicherheitslücke, der eine bislang unbekannte Anzahl von Nutzern zum Opfer wurde.
Nachdem mehrere Nutzer Verluste über dApps beklagten, meldete Ledger auf Twitter, einen Angriffsvektor identifiziert zu haben. Man sei eingeschritten und habe das Problem rasch lösen können, so hiess es. In einer späteren Mitteilung erklärte der Geschäftsführer von Ledger, der Angriff habe lediglich über einen Zeitraum von zwei Stunden stattgefunden.
Um Ledger sicher nutzen zu können, muss das Ledger Connect Kit auf die neueste Version 1.1.8 aktualisiert werden. Es ist bereits das zweite Mal in diesem Jahr, dass Ledger negativ auffällt.
Erst im Mai hatte das Unternehmen aufgrund der technischen Funktionsweise des Ledger Nano X mächtig Gegenwind erhalten. Nutzer kritisierten die Funktion “Account Recovery” als durch Ledger eingebaute Hintertür.
Was passierte beim Ledger-Hack?
Ein früherer Mitarbeiter von Ledger wurde gestern Morgen zum Opfer von Phishing. Der Angreifer nutzte anschliessend einen Zugang des Mitarbeiters, um eine Bibliothek von Ledger auf Github zu manipulieren.
Der Angreifer veränderte die neuesten Versionen des Ledger Connect Kits, das genutzt wird, um Kryptowährungen vom Ledger aus an dApps zu transferieren. Statt die Kryptos an die entsprechende dApp zu senden, transferierte die infizierte Version die Coins an die Wallet des Angreifers.
Laut Ledger wurden die Versionen 1.1.5, 1.1.6 und 1.1.7 alle erfolgreich infiziert. In einem Zeitraum von zwei Stunden wurden betroffenen Nutzern Kryptowährungen durch die schädliche Software entwendet.
Pascal Gauthier, Geschäftsführer von Ledger, bittet die Öffentlichkeit in einer Mitteilung um Entschuldigung. Er sei darum bemüht, die Sicherheitsstandards des Unternehmens zu verbessern.
Kritiker fordern harte Konsequenzen
Kritiker fordern nach dem Angriff auf Ledger harte Konsequenzen. Der Entwickler Lefteris Karapetsas bezeichnet die Vorgehensweise des Unternehmens als “amateurhaft”. So schreibt er auf Twitter:
“Ledger hat Mist gebaut. Es gibt praktisch keine Sicherheitsvorkehrungen, keine ordnungsgemässe Verwaltung der Anmeldedaten und keinen Entzug des Zugangs ehemaliger Mitarbeiter. Amateurhaft und äusserst peinlich für ein Unternehmen dieser Grösse, dessen ganzes Augenmerk auf der Sicherheit liegen sollte. Wirklich schlecht.”
Blockchain-Entwickler Riccardo Spagni stimmt dieser Einschätzung zu. Ledger nur dafür zu kritisieren, erneut einen Fehler gemacht zu haben, reicht dem Südafrikaner allerdings nicht aus.
“Das ist unverzeihlich. Ich habe es satt, zu versuchen, Ledger zu entschuldigen”, schreibt Spagni.
Ledger habe automatisch die neueste Version des Connect Kits an Nutzer übertragen. Laut Spagni sei das keinesfalls ein Standardprozedere. Nur eine geprüfte Version werde üblicherweise übermittelt.
“Ich habe wirklich versucht, die Hintergründe zu verstehen. Ich kann Ledger nicht länger mit gutem Gewissen weiterempfehlen. Ledger ist das unseriöseste Sicherheitsunternehmen”, so der Programmierer.
