Der Hardware-Wallet-Hersteller Ledger hat seine Nutzer davor gewarnt, sich mit dezentralen Anwendungen (Dapps) zu verbinden, nachdem eine bösartige Version des Ledger Connect Kit identifiziert wurde.
Ein Sprecher von Ledger erklärte gegenüber TCN: „Wir haben eine bösartige Version des Ledger Connect Kits identifiziert und entfernt. Eine echte Version wird jetzt als Ersatz für die bösartige Datei bereitgestellt. Bitte interagieren Sie im Moment nicht mit dApps.“ Der Sprecher fügte hinzu, dass Ledger-Geräte und die Ledger-Live-App nicht kompromittiert wurden und dass das Unternehmen „die Nutzer auf dem Laufenden halten wird, wenn sich die Situation weiterentwickelt.“
Der Software-Wallet-Entwickler MetaMask warnte die Nutzer ebenfalls davor, Dapps zu verwenden, als die Nachricht von dem Angriff bekannt wurde.
Die kompromittierte Version des Connect Kit, einer Bibliothek, die es der Ledger-Hardware-Wallet ermöglicht, sich mit Dapps zu verbinden, wurde zuerst von Entwicklern identifiziert, die auf Twitter posteten:
Wir haben eine bösartige Version des Ledger Connect Kits identifiziert und entfernt.
Eine echte Version wird jetzt veröffentlicht, um die bösartige Datei zu ersetzen. Bitte interagieren Sie vorerst nicht mit dApps. Wir werden Sie auf dem Laufenden halten, sobald sich die Situation weiterentwickelt.
Ihr Ledger-Gerät und…
– Ledger (@Ledger) Dezember 14, 2023
Web3-Sicherheitsunternehmen BlockAid berichtet, dass „der Angreifer eine Wallet-Drainage-Payload“ in das NPM-Paket des Ledgerconnect-Kits injiziert hat, und fügt hinzu, dass Dapps, die die Versionen 1.1.4 und höher von Ledgers Connect-Kit verwenden, einschließlich Sushi.com und Hey.xyz, betroffen sind.
Wir haben einen potenziellen Supply-Chain-Angriff auf das Ledgerconnect-Kit entdeckt .
Der Angreifer hat einen Payload in das beliebte NPM-Paket eingeschleust, der die Geldbörse ausspült.
Dies betrifft derzeit eine Reihe von beliebten Dapps, einschließlich, aber nicht beschränkt auf https://t.co/2QJmKIGv9T– Blockaid (@blockaid_) December 14, 2023
SushiSwap CTO Matthew Lilley geißelte Ledger für eine „Kette von schrecklichen Fehlern“ und erklärte, dass „ein häufig verwendeter web3-Konnektor kompromittiert wurde, was die Injektion von bösartigem Code ermöglicht, der zahlreiche dApps betrifft.“
Er fügte hinzu, dass Benutzer die Verwendung von dApps vermeiden sollten, „bis ihre Teams bestätigen, dass sie den Angriff entschärft haben.“
Ethereum Core Developer Liaison Hudson Jameson erklärte, dass „eine Bibliothek, die von vielen Dapps verwendet wird und von Ledger gewartet wird, kompromittiert wurde und ein Wallet Drainer hinzugefügt wurde.“ Jameson wiederholte, dass es riskant ist, Dapps zu verwenden, wenn man nicht versteht, welche Backend-Bibliotheken sie verwenden, und fügte hinzu: „Selbst nachdem Ledger den fehlerhaften Code in ihrer Bibliothek korrigiert hat, müssen Projekte, die diese Bibliothek verwenden und einsetzen, Dinge aktualisieren, bevor es sicher ist, Dapps zu verwenden, die die web3-Bibliotheken von Ledger verwenden.“
Ledger wurde in den letzten Monaten wegen seiner Sicherheit kritisiert, wobei der freiwillige ID-basierte Recover-Service des Unternehmens den Zorn der Krypto-Nutzer auf sich zog.
Der Dienst, der nichts mit dem heutigen Angriff zu tun hat, teilt die Seed-Phrase des Nutzers auf und speichert sie bei drei verschiedenen Verwahrern, wobei der Nutzer seinen Reisepass oder Personalausweis als ID angeben muss. Der Mitbegründer von Ledger, Éric Larchevêque, bezeichnete die Einführung des Dienstes als „totalen PR-Fehler, aber absolut nicht als technischen Fehler“, während verärgerte Nutzer den Dienst als „Hintertür“ bezeichneten.
Im November erbeutete eine betrügerische Ledger-App im Microsoft App Store fast 1 Million Dollar von ahnungslosen Kunden, während das Unternehmen 2020 in die Kritik geriet, nachdem eine Kunden-E-Mail-Datenbank gehackt worden war, wobei über eine Million Nutzer-E-Mails kompromittiert wurden.
