Am 14. Dezember 2023 wurde das Connect Kit von Ledger, eine Javascript-Bibliothek für die Wallet-Konnektivität, Opfer eines erheblichen Exploits. Dieser Vorfall, der innerhalb von zwei Stunden behoben wurde, hat eine Reihe von Kritikpunkten an den Sicherheitspraktiken von Ledger aufgezeigt.
Gemischte Reaktionen in der Krypto-Sphäre
Ledger, bekannt für seine Kryptosicherheitslösungen und die Herstellung von Hardware-Wallets, sah sich einem Exploit in seinem Ledger Connect Kit ausgesetzt, einem Javascript-Tool, das zur Verbindung von Websites mit Wallets verwendet wird. Der Angriff, der weniger als zwei Stunden dauerte, wirkte sich zwar nicht auf die Hardware oder Ledger Live von Ledger aus, beschränkte sich jedoch auf dezentrale Anwendungen von Drittanbietern (Dapps), die das Connect Kit nutzten. Dies hat jedoch Fragen zu den Software-Sicherheitsprotokollen von Ledger aufgeworfen.
Jameson Lopp, eine prominente Figur in der Kryptogemeinschaft und CTO des Bitcoin-Sicherheitsdienstleisters Casa, wies auf drei kritische Fehler bei Ledger hin: "Blindes Laden von Code ohne Festlegung einer spezifischen Version und Prüfsumme, Nichtdurchsetzung von '2-Mann-Regeln' bei der Code-Rezension und Bereitstellung sowie das Nichtwiderrufen des Zugriffs ehemaliger Mitarbeiter."
Diese Sicherheitslücken ermöglichten es dem Exploit, als ein Phishing-Angriff auf einen ehemaligen Mitarbeiter dazu führte, dass bösartiger Code in das NPMJS von Ledger eingeführt wurde. Lefteris Karapetsas kritisierte ebenfalls den Ansatz von Ledger und rief aus: "Seid ihr verrückt? Warum würdet ihr die sicherheitsbewussteste Bibliothek der Welt 'von CDN laden' für Bequemlichkeit, ohne dass Benutzer darauf warten müssen, dass Dapps aktualisiert werden?"
Cryptofinally, ein weiterer Branchenkommentator, äußerte sein Unglauben über die Art des Angriffs: "Stellt euch vor, ihr seid klug genug, um die gesamte Ledger-zu-Dapp-Schnittstelle zu exploitieren, und dann lasst ihr euren vollständigen Namen im Code zurück, der zu eurem Twitter-Account führt, auf dem steht, Ex-Mitarbeiter von Ledger."
Reaktionen und Maßnahmen der Krypto-Gemeinschaft
Als Reaktion auf den Exploit gab Ledger CEO Pascal Gauthier den Vorfall zu und skizzierte Schritte zur Verbesserung der Sicherheitsmaßnahmen. Gauthier erklärte: "Dies war ein bedauerlicher isolierter Vorfall. Es ist eine Erinnerung daran, dass Sicherheit nicht statisch ist und dass Ledger unsere Sicherheitssysteme und -prozesse kontinuierlich verbessern muss." Ledger plant, insbesondere in der Sicherheit der Software-Versorgungskette, stärkere Kontrollen zu implementieren, um ähnliche Vorfälle in Zukunft zu vermeiden.
Das Unternehmen hat mit Strafverfolgungsbehörden und Cybersicherheitsexperten zusammengearbeitet, um die gestohlenen Vermögenswerte nachzuverfolgen und mit betroffenen Benutzern zusammenzuarbeiten. "Wir bedauern zutiefst die Ereignisse, die heute für betroffene Personen stattgefunden haben", sagte Gauthier. Ledger betonte, dass der Vorfall begrenzt wurde, und versicherte der Kryptogemeinschaft, dass die Bedrohung eingedämmt wurde.
Sofortige Maßnahmen und Reaktionen
Infolge des Ledger-Exploits ergriffen verschiedene Dapps und Kryptofirmen sofortige Maßnahmen, um die Auswirkungen zu mildern. Mehrere Protokolle und Unternehmen deaktivierten ihre Front-End-Benutzeroberflächen vorsichtshalber. Zu den Projekten, die Maßnahmen ergriffen haben, gehören Lido, Sushi, Balancer, Revokecash, Zapper und der Non-Fungible Token (NFT)-Marktplatz Opensea. Der CEO von Tether, Paolo Ardoino, teilte der Kryptogemeinschaft mit, dass das Stablecoin-Unternehmen die Adresse des Ledger-Opfers eingefroren hat.
Arkham Intelligence kündigte eine Belohnung zur Identifizierung der Verantwortlichen des Ledger Library Drainer Exploits an. Der Exploit, der mit "Angel Drainer" in Verbindung gebracht wird, führte zu einem Verlust von über 500.000 US-Dollar bei mehreren Dapps. Arkham gab bekannt, dass die Belohnungen die Enthüllung der Identität von Angel Drainer, Hinweise zur Wiederherstellung der Fonds und Informationen zu post-incident KYC-Börseneinlagen von Angel Drainer umfassen. Arkham bot auch nach dem Okx Dex-Vorfall, bei dem 2,7 Millionen US-Dollar verloren gingen, eine ähnliche Belohnung an.
Was denken Sie über den kürzlichen Ledger-Exploit und die Kritik? Teilen Sie Ihre Gedanken und Meinungen zu diesem Thema im Kommentarbereich unten.
