Ledger reagiert auf Connect Kit Exploit mit Erstattungsplan und Sicherheitsüberholung
In einer entscheidenden Maßnahme, die auf einen bedeutenden Sicherheitsvorfall folgte, kündigte Ledger, ein bekannter Hersteller von Krypto-Hardwarewallets und Sicherheitsunternehmen, einen Reaktionsplan an. Aufgrund eines Exploits, der das Blinde Signieren von EVM-dezentralen Anwendungen (Dapps) betraf, wurden rund 600.000 US-Dollar an Vermögenswerten gestohlen. Ledger teilte am 20. Dezember 2023 mit, dass das Unternehmen sich verpflichtet hat, alle betroffenen Benutzer vollständig zu erstatten, einschließlich Nicht-Kunden, eine Zusage, die vom CEO des Unternehmens, Pascal Gauthier, unterstrichen wurde.
Krypto-Sicherheitsunternehmen Ledger verspricht volle Rückerstattung nach 600.000 US-Dollar Hack
Der Vorfall, der am 14. Dezember 2023 entdeckt wurde, involvierte einen Exploit des Ledger Connect Kits, der zur Injektion von bösartigem Code in verschiedene Dapps führte. Dieser Code täuschte Benutzer dazu, Transaktionen zu signieren, die ihre Geldbörsen entleerten. Ledgers Entdeckung und die Reaktion der Kryptogemeinschaft führten zu mehreren Warnungen, obwohl der Angriff den Verlust von rund 600.000 US-Dollar an Benutzer-Vermögenswerten zur Folge hatte.
Ledger erklärte auf der Social-Media-Plattform X, dass das Unternehmen nicht nur die unmittelbaren Auswirkungen des Angriffs angeht, sondern auch Maßnahmen ergreift, um zukünftige Vorfälle zu verhindern. Bis Juni 2024 werden Ledger-Geräte das blinde Signieren nicht mehr unterstützen und auf eine sicherere Methode namens Clear Signing umstellen. Diese Methode ermöglicht es Benutzern, alle Transaktionsdetails auf ihren Ledger-Geräten vor der Unterzeichnung zu überprüfen, was die Sicherheit erheblich verbessert.
Als Teil ihrer Maßnahmen erklärte Ledger, dass das Unternehmen alle ihre Zugriffskontrollen sorgfältig überprüft und auditiert hat. Sie verstärken Richtlinien in Bezug auf Codeüberprüfung, Bereitstellung, Verteilung und Zugriffskontrolle. Dazu gehört die Integration externer Tools in ihre Wartung und Offboarding-Checks sowie regelmäßige interne Audits zur Gewährleistung einer effektiven Umsetzung.
Darüber hinaus erklärte Ledger, dass sie ihren Fokus auf die Sicherheitsschulung der Mitarbeiter verstärken. Das Unternehmen führt bereits Sicherheitsschulungen durch, einschließlich Phishing-Schulungen, und plant, dieses Programm Anfang 2024 zu verstärken. Die Ankündigung auf X besagt auch, dass Ledger eine regelmäßige Bewertung der Sicherheit durch Dritte priorisiert, wobei eine spezifische Prüfung der Zugriffskontrolle, Codeförderung und -verteilung Anfang nächsten Jahres geplant ist.
Das Unternehmen gab auf X bekannt, dass es aktiv auf Benutzer zugeht, die von dem Angriff betroffen sind, und mit ihnen spezifische Details bearbeitet, um die volle Erstattung ihrer gestohlenen Krypto-Vermögenswerte sicherzustellen. Diese Rückerstattungsgeste soll bis Ende Februar 2024 abgeschlossen sein. Schließlich hat das Unternehmen Dapp-Entwickler dazu aufgefordert, das Sicherheitsmerkmal Clear Signing zu unterstützen und die Notwendigkeit einer Zusammenarbeit im gesamten Ökosystem zur Verbesserung des Benutzerschutzes hervorgehoben.
Was denken Sie über Ledger, die den jüngsten Exploit angehen und Opfern Erstattungen zukommen lassen? Teilen Sie Ihre Gedanken und Meinungen zu diesem Thema im Kommentarbereich unten.