Durch die Kompromittierung eines Entwickler-Accounts von einem ehemaligen Mitarbeiter der Firma Ledger, verbreitete sich heute eine bösartige Version des sogenannten "Ledger Connect Kits". Betroffen sind die Versionen 1.1.5, 1.1.6 und 1.1.7, die für etwa 5 Stunden verfügbar waren. Die Schadsoftware versucht Nutzer dazu zu bringen, unbeabsichtigte Interaktionen mit DApps, die in Verbindung mit Ethereum genutzt werden, zu autorisieren, um somit möglichst viel Geld zu stehlen.
Ledger reagierte auf das eindeutig selbstverschuldete Missgeschick recht schnell und veröffentlichte bereits eine aktualisierte Version (1.1.8). Nutzer von DApps sollten aber grundsätzlich vorsichtig bleiben und gründlich verifizieren, dass sich die im Browser verwendete Version auch tatsächlich aktualisiert hat – die manipulierte Version könnte sich nach wie vor im Browser-Cache befinden. Die Wallet-Adresse des Angreifers wurde bereits identifiziert und in Zusammenarbeit mit Analyse-Unternehmen, Tether und den Behörden soll versucht werden, die gestohlenen Gelder zu sperren bzw. den Angreifer ausfindig zu machen.
Entgegen vielen Gerüchten, die aktuell auf diversen Social-Media-Plattformen kursieren, handelt es sich ausdrücklich nicht um einen Hack der Ledger-Hardware-Wallets im Allgemeinen. Wer in den letzten Stunden keine DApps verwendet hat, oder erst gar keine Altcoins besitzt, muss sich also keinerlei Sorgen machen. Im Gegenteil, der aktuelle Vorfall unterstreicht zum einen, wie wichtig es ist, überhaupt Hardware-Wallets zu verwenden, und zum anderen, sämtliche Details zu Transaktionen und sonstigen Aktionen sorgfältig auf dem Display der Hardware-Wallet zu verifizieren, bevor man diese autorisiert. Warum dies bei diversen Altcoins bzw. deren Anwendungen aber manchmal gar nicht so einfach ist und warum vor allem Nutzer ohne Hardware-Wallets auch weiterhin extrem vorsichtig sein sollten, fassen wir im Folgenden kurz zusammen.
Lese-Tipp: Warum Hardware Wallets ohne Display nutzlos sind
Update: Die bösartige Version der Datei wurde gegen die echte Version um etwa 14:35 Uhr ausgetauscht. Die neue Version sollte bald verbreitet sein.
Wir werden einen umfassenden Bericht bereitstellen, sobald er fertig ist.
In der Zwischenzeit möchten wir die Community daran erinnern, Transaktionen immer klar zu signieren – denkt daran, dass die Adressen und die Informationen auf eurem Ledger-Bildschirm die einzig vertrauenswürdigen Informationen sind. [...]
@Ledger auf 𝕏
Eine ausführlichere Auflistung der zeitlichen Abläufe hat Ledger hier bereitgestellt.
Die Grenzen der Verifizierung
Vereinfacht gesagt bieten Ethereum-Anwendungen für Nutzer, "DApps", in irgendeiner Form die Möglichkeit an, die eigene Wallet mit der Anwendung "sprechen zu lassen", um entsprechende Transaktionen und Aktionen nahtlos durchführen und autorisieren zu können. Eine kompromittierte Version dieses "Dolmetschers", also des Ledger Connect Kits, kann demnach die Wallet des Nutzers dazu auffordern, eine manipulierte Aktion zu autorisieren – und damit Geld stehlen.
Aufmerksame Nutzer, die sämtliche Informationen auf dem Display der Hardware-Wallet überprüfen, sollten an dieser Stelle natürlich misstrauisch werden und den Vorgang stoppen. Die Hardware-Wallet erfüllt in diesem Fall genau ihren Zweck. Leider ist genau das oftmals gar nicht so einfach. Während man bei einer simplen Bitcoin-Transaktion sämtliche Details nachvollziehbar darstellen kann, verhält es sich beispielsweise bei komplexeren "Token-Swaps" anders:
[...] Normalerweise funktioniert das so:
- Du klickst auf einen Button, der sagt "Token-Swap durchführen" oder so ähnlich.
- Deine Wallet fragt: "Möchtest du diese Operation durchführen?"
- Du klickst auf "Ja" – und schon ist das Geld weg.
Eine ebenso wichtige Warnung, die durch den starken Fokus auf Ledger aktuell ziemlich untergeht, richtet sich außerdem an Nutzer, die gar keine Hardware-Wallet nutzen: Denn auch hier kann es dazu kommen, dass die erwähnten manipulierten Versionen im Hintergrund verwendet werden – ohne zusätzlichen Schutz durch eine Hardware-Wallet.
Fazit
Missgeschicke und Schwachstellen sind früher oder später eigentlich unvermeidbar, vor allem bei komplexen und unübersichtlichen Anwendungsfällen, die aktuell vermehrt bei Altcoins wiederzufinden sind. Ledger erlaubt sich durch schlechte Sicherheitspraktiken in Verbindung mit ihrem ehemaligen Mitarbeiter einen weiteren Imageschaden, der sich mit dem Leak von Kundendaten oder zuletzt auch der Ledger Recover Funktion einreiht. Betont werden sollte aber sowohl die schnelle Reaktion und Problemlösung seitens Ledger als auch die Tatsache, dass es auf technischer Ebene keinen Grund zur Sorge bzw. keine Veränderung für Nutzer der Ledger-Hardware-Wallets gibt.
