- Ledger behebt schnell eine Sicherheitslücke, die mehrere DApps, darunter SushiSwap und Revoke.cash, betraf, und stärkt damit die Sicherheit seiner Plattform.
- Die Sicherheitslücke in der Connector-Bibliothek von Ledger unterstreicht die Bedeutung ständiger Wachsamkeit im Krypto-Ökosystem.
Am Morgen des 14. Dezember wurde ein ehemaliger Ledger-Mitarbeiter Opfer eines Phishing-Angriffs, der es einem Hacker ermöglichte, auf sein NPMJS-Konto zuzugreifen. Der Hacker veröffentlichte eine bösartige Version des Ledger Connect Kit, die die Versionen 1.1.5, 1.1.6 und 1.1.7 betraf.
Der bösartige Code nutzte ein betrügerisches WalletConnect-Projekt, um Gelder auf die Wallet des Angreifers umzuleiten. Ledger erkannte das Problem, reagierte schnell und konnte in nur 40 Minuten einen Patch bereitstellen. Die bösartige Datei war jedoch etwa 5 Stunden lang aktiv, wobei mindestens zwei Stunden lang Gelder abgezweigt wurden.
Diese Bibliotheksschwachstelle betraf mehrere dezentrale Anwendungen (DApps), darunter SushiSwap und Revoke.cash.
Der Umfang der Sicherheitslücke
Die Sicherheitslücke betraf das Frontend mehrerer DApps, die den Ledger-Connector verwenden, wie Zapper, Phantom, Balancer und Revoke.cash. Das Problem wurde am 14. Dezember entdeckt und gemeldet.
⚠️⚠️⚠️⚠️⚠️⚠️
Warning: Multiple popular crypto applications that integrate with Ledger's ConnectKit library, including https://t.co/MkINKOiX5N have been compromised. We temporarily took the website offline as we're investigating further. We recommend not using *any* crypto website…— Revoke.cash (@RevokeCash) December 14, 2023
Ledger hat schnell gehandelt und etwa drei Stunden nach der Entdeckung der Sicherheitslücke um 13:35 Uhr UTC die bösartige Version der Datei durch die authentische Version ersetzt.
Berichterstattung und Analyse des Vorfalls
Matthew Lilley, CTO von SushiSwap, war einer der ersten, der das Problem meldete. Er stellte fest, dass ein häufig verwendeter Web3-Connector kompromittiert wurde, wodurch Schadcode in zahlreiche DApps eingeschleust werden konnte. Der Analyse zufolge bestätigte die Ledger-Bibliothek die Kompromittierung, bei der der anfällige Code die Adresse eines Abflusskontos einfügte.
What happened?
In short, @Ledger made a chain of terrible blunders.
1. They are loading JS from a CDN.
2. They are not version locking loaded JS.
3. They had their CDN compromised.I would avoid using ANY dApps until their teams confirm that they have mitigated the attack. https://t.co/a3brXNQSx9
— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023
Vorsichtshinweise für Ledger-Nutzer
Der Ledger-Connector ist eine Bibliothek, die von vielen DApps verwendet und von Ledger gepflegt wird. Die Hinzufügung eines Wallet Drainers führt zwar nicht zwangsläufig zu einem automatischen Verlust von Vermögenswerten, könnte aber böswilligen Akteuren den Zugriff auf diese Vermögenswerte durch Browser-Wallet-Anfragen wie MetaMask ermöglichen.
ANY dApp which makes use of LedgerHQ/connect-kit is vulnerable. Don't use ANY dApps until further notice. This isn't a single isolated attack, it's a large-scale attack on multiple dApps. https://t.co/a3brXNQSx9
— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023
Lilley warnte die Nutzer, DApps zu meiden, die den Ledger-Connector verwenden, und wies darauf hin, dass auch das Connect-Kit anfällig ist. Er betonte, dass es sich nicht um einen isolierten Angriff handelt, sondern um einen groß angelegten Angriff, der mehrere DApps betrifft.
Expertenaussagen und Lösungsvorschläge
Hudson Jameson, Vizepräsident von Polygon Labs, erwähnte, dass selbst nachdem Ledger den fehlerhaften Code in seiner Bibliothek behoben hat, Projekte, die diese verwenden und implementieren, diese aktualisieren müssen, bevor es sicher ist, DApps zu verwenden, die die Web3-Bibliotheken von Ledger nutzen.
Ledger Library Exploit Explainer for Average Folks
What is going on with the recent alerts not to use dapps?
A library that is used by many dapps that is maintained by Ledger was compromised and a wallet drainer was added.
What do I do as a normal user?
Do not interact with… https://t.co/exre0QfykD
— Hudson Jameson (@hudsonjameson) December 14, 2023
Ido Ben-Natan, Mitbegründer und CEO von Blockaid, wies die Nutzer von Ledger darauf hin, dass sie nicht gefährdet sind, wenn sie keine Transaktionen durchführen, und dass der Code bei Vorabgenehmigungen nicht ausnutzbar ist. Er wies insbesondere darauf hin, dass Revoke.cash betroffen ist und empfahl, nicht damit zu interagieren. Er erwähnte, dass sich die Zahl der betroffenen Gelder in den letzten zwei Stunden auf Hunderttausende von Dollar beläuft und dass viele Websites immer noch betroffen sind.
Zusammenarbeit zur Bewältigung der Krise
Ledger arbeitete eng mit WalletConnect zusammen, das das betrügerische Projekt schnell deaktivierte. Die authentische und sichere Version des Ledger-Connect-Kits, Version 1.1.8, steht nun zur Nutzung bereit.
Zusätzliche Sicherheitsmaßnahmen
Als zusätzliche Sicherheitsmaßnahme ist das Connect-Kit-Entwicklungsteam im NPM-Projekt jetzt schreibgeschützt, d. h. es kann das NPM-Paket nicht direkt versenden. Ledger hat auch die Veröffentlichungsgeheimnisse auf GitHub geändert. Entwicklern wird dringend empfohlen, die neueste Version 1.1.8 auszuprobieren und zu verwenden.
Danksagung und Fokus auf Sicherheit
Ledger dankt WalletConnect, Tether, Chainalysis, Zachxbt und der gesamten Community für ihre prompte Hilfe und Unterstützung bei der Identifizierung und Behebung des Angriffs. Das Unternehmen bekräftigt sein Engagement für die Sicherheit und betont, dass es sich mit Hilfe des gesamten Ökosystems durchsetzen wird.
Die Bedeutung der Sicherheit im Krypto-Ökosystem
Dieser Vorfall dient als kritische Erinnerung an die Bedeutung der Sicherheit im Ökosystem der Kryptowährungen. Die schnelle Reaktion von Ledger und die Zusammenarbeit der Krypto-Community zeigen die Widerstandsfähigkeit und Anpassungsfähigkeit im Angesicht von Sicherheitsbedrohungen.
Es unterstreicht jedoch auch, dass die Nutzer weiterhin wachsam und vorsichtig sein müssen, wenn sie mit DApps interagieren und Transaktionen mit Kryptowährungen durchführen. Angesichts des wachsenden Interesses und der zunehmenden Akzeptanz von Kryptowährungen bleibt die Gewährleistung der Sicherheit und des Vertrauens der Nutzer ein wichtiger Pfeiler für die nachhaltige Entwicklung des Krypto-Ökosystems.