Der Hardware-Wallet-Hersteller Ledger wird das Blind Signing für dezentrale EVM-Anwendungen (Dapps) bis Juni 2024 deaktivieren, nachdem ein Exploit aufgedeckt wurde, bei dem ein Wallet-Drainer zu einer Bibliothek hinzugefügt wurde, die von vielen Entwicklern für die Verbindung mit seinen Geräten verwendet wird.
In einem Tweet sagte Ledger, dass rund 600.000 Dollar an Krypto-Vermögenswerten während des Exploits gestohlen wurden. Das Unternehmen kündigte an, dass die betroffenen Opfer „entschädigt“ werden und dass es „Blind Signing mit Ledger-Geräten bis Juni 2024 nicht mehr zulassen“ werde.
Beim Blind Signing werden rohe Smart-Contract-Signaturdaten angezeigt, die von Computern geparst werden können, aber für einen menschlichen Leser unverständlich sind. Ledger hat sich in der Vergangenheit für einen „What you see is what you sign“-Ansatz eingesetzt, der als „Clear Signing“ bekannt ist und bei dem Smart Contract Signing in einer für Menschen lesbaren Weise analysiert wird.
In seiner Ankündigung erklärte Ledger, dass sein Schritt, Blind Signing abzuschaffen, „zu einem neuen Standard führen wird, um die Nutzer zu schützen und Clear Signing in DApps zu fördern“, und forderte Dapp-Entwickler auf, Clear Signing zu unterstützen.
Wir konzentrieren uns zu 100 % darauf, den Sicherheitsvorfall von letzter Woche aufzuarbeiten und sicherzustellen, dass Vorfälle wie dieser in Zukunft verhindert werden und das Ökosystem sicher bleibt.
Wir wissen, dass etwa 600.000 $ an Vermögenswerten betroffen sind, die von Nutzern gestohlen wurden, die sich blind auf EVM DApps angemeldet haben.
Ledger…
– Ledger (@Ledger) Dezember 20, 2023
In der letzten Woche wurde eine bösartige Version des Ledger Connect Kit, einer Bibliothek, die es Ledger-Geräten ermöglicht, sich mit Dapps zu verbinden, von Entwicklern auf Twitter identifiziert. Die Web3-Sicherheitsfirma BlockAid berichtete, dass „der Angreifer eine Payload zum Abziehen von Geldbörsen“ in das NPM-Paket des Ledgerconnect-Kits einfügte, was es ihm ermöglichte, die Gelder von Nutzern abzuziehen, die sich bei Dapps wie Sushi.com und Hey.xyz angemeldet hatten.
Der Software-Wallet-Entwickler MetaMask warnte die Nutzer nach Bekanntwerden des Angriffs, keine Dapps mehr zu verwenden“.
In einem Folgeposting bestätigte Ledger, dass der Angriff auf einen ehemaligen Mitarbeiter zurückzuführen ist, der Opfer einer Phishing-Attacke wurde. Der Angreifer konnte sich Zugang zum NPMJS-Konto des ehemaligen Mitarbeiters verschaffen, einem JavaScript-Paketmanager, der es ihm ermöglichte, eine bösartige Version des Ledger Connect Kit zu verbreiten. Das bösartige Connect Kit leitete dann die Gelder der Benutzer von jeder Wallet, die sich mit einer Dapp verband, die es verwendete, zur eigenen Wallet des Hackers um.
Ledger erklärte, dass innerhalb von 40 Minuten, nachdem die Sicherheitsteams des Unternehmens alarmiert wurden, ein Fix bereitgestellt wurde, und hat eine neue Version des Connect Kit (1.1.8) veröffentlicht. Die Ledger-Geräte selbst und die Ledger Live-App des Unternehmens wurden durch die Sicherheitslücke nicht beeinträchtigt, heißt es weiter.
Das Unternehmen war bereits früher wegen seiner Sicherheit in die Kritik geraten. Im Jahr 2020 wurde eine E-Mail-Datenbank von Ledger-Kunden gehackt, wobei mehr als eine Million E-Mails von Nutzern kompromittiert wurden, und Anfang dieses Jahres wurde der freiwillige ID-basierte Recover-Service von Ledger von Nutzern als „Hintertür“ bezeichnet. Der Mitbegründer von Ledger, Éric Larchevêque, beschrieb die Einführung des Recover-Dienstes als „einen totalen PR-Fehler, aber absolut keinen technischen Fehler“.
