Ist die Ledger Hardware Wallet noch sicher?

Bei Ledger handelt es sich um einen etablierten Hardware-Wallet-Hersteller, welcher zuletzt Opfer eines Hacker-Angriffs geworden ist. Der Hack betrifft dApps und hat bislang zum Verlust von Assets in Höhe von 610.000 USD geführt.

Von: Dennis Geisler 15. Dezember 2023 ∙ 3 minutes read

News

Das etablierte Hardware-Unternehmen Ledger stand in den letzten Monaten häufiger in der Kritik und Wallet-Alternativen werden zunehmend interessanter.
Gestern hat das Unternehmen bestätigt, dass in der Bibliothek von Ledger eine Schwachstelle entdeckt wurde, die eine Reihe von Web3-Interaktionen beeinträchtigt und einen Schaden von bislang über 610.000 USD verursacht hat.
Ledger hat in Zusammenarbeit mit WalletConnect jedoch schnell reagiert und die betroffene schädliche Datei innerhalb von vierzig Minuten nach Entdeckung des Exploits erfolgreich deaktiviert.
Konkurrenzmodelle von Trezor und Bitbox können sinnvolle Alternativen darstellen und schneiden in unserem Hardware-Wallet-Vergleich positiv ab.

Ledger bestätigt Sicherheitslücke: Über 600.000 US-Dollar angeblich kompromittiert

Vor kurzem haben Kryptowährungsexperten, darunter der beliebte On-Chain-Ermittler ZachXBT, eine anhaltende Schwachstelle im Zusammenhang mit verschiedenen Web3-Interaktionen in der Bibliothek von Ledger bemerkt.

🚨We have identified and removed a malicious version of the Ledger Connect Kit. 🚨

A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.

Your Ledger device and…
— Ledger (@Ledger) December 14, 2023

Ledger bestätigte die Schwachstelle auf X

In einem offiziellen Tweet bestätigte das Unternehmen die Sicherheitslücke und wies ihre Nutzer ausdrücklich darauf hin, nicht mit dApps zu interagieren. Das Unternehmen bestätigte aber auch, dass Ledger-Geräte und die Ledger Live-App NICHT kompromittiert wurden.

»Wir haben eine schädliche Version des Ledger Connect Kit identifiziert und entfernt und bieten derzeit eine Originalversion als Ersatz für die Schaddatei an. Wir werden Sie über die Entwicklung der Situation auf dem Laufenden halten«, heißt es von Seite des Unternehmens.

In der Zwischenzeit wies ZachXBT darauf hin, dass offenbar bereits rund 610.000 US-Dollar kompromittiert seien.

Ledger-CEO spricht über den Exploit

Pascal Gauthier, der CEO von Ledger, hat sich nach dem jüngsten Vorfall an die Community gewandt und bestätigt, dass die Hacker-Bedrohung – sehr zur Erleichterung der Nutzer – erfolgreich neutralisiert wurde.

Beim Vorfall wurde schädlicher Code in die Javascript-Bibliothek von Ledger eingeschleust, was insbesondere Versionen größer als 1.1.4 betraf. Gauthier erklärte, dass der Exploit auf eine Schwachstelle zurückzuführen sei, die von einem böswilligen Akteur ausgenutzt worden sei.

Der Hacker verschaffte sich Zugriff durch einen Phishing-Angriff auf einen ehemaligen Mitarbeiter, der zum unbefugten Hochladen einer schädlichen Datei führte, die in verschiedenen Anwendungen verwendet wird.

Ledgers schnelles Handeln hat Schlimmeres verhindert!

Als das Team des Unternehmens den Exploit entdeckte, reagierte es umgehend und arbeitete gemeinsam mit WalletConnect daran, das kompromittierte NPMJS zu entfernen und die schädliche Datei umgehend zu deaktivieren.

Die entscheidende Maßnahme, die innerhalb von nur vierzig Minuten nach der Identifizierung des Exploits durchgeführt wurde, unterstreicht die Effizienz und Reaktionsfähigkeit des Teams angesichts einer kritischen Sicherheitsverletzung.

Die schnelle Reaktion von Ledger auf den Vorfall war nicht nur ein Beweis ihrer eigenen Entschlossenheit, sondern diente auch als eindrucksvolles Beispiel für die kollektive Stärke innerhalb der Branche.

CEO Pascal Gauthier betonte diesen Punkt und hob den Vorfall als Beweis für die Fähigkeit der breiteren DeFi-Community hervor, zusammenzukommen und Sicherheitsherausforderungen effektiv und zügig anzugehen.

Fazit: Es besteht weiterhin Grund zur Sorge

Auch wenn Ledger viele Jahre den Markt für Hardware-Wallets dominiert hat und daher ein großes Urvertrauen genießt, hat sich das Unternehmen in der letzten Zeit nicht immer von der besten Seite gezeigt. Da kommt ein Hacking-Angriff natürlich ungelegen.

Fakt ist jedoch, dass das Ledger-Team rasant reagiert und damit einen potenziell sehr viel schlimmeren Schaden verhindert hat. Trotzdem besteht Grund zur Sorge, denn der Exploit könnte nicht nur Ledger selbst betreffen.

Connect Kit, welches von Ledger verwaltet wird, ist eine weitverbreitete Software unter den DeFi-Protokollen und zugleich die betroffene Schwachstelle. Dabei handelt es sich um Code, den Protokolle wie Coinbase, Metamask, Sushi und sogar Lido verwenden, um eine Verbindung zu Krypto-Hardware-Wallets herzustellen.

Daher ist es sehr wahrscheinlich, dass der jüngste Hack Auswirkungen auf die Frontends aller oben genannten Protokolle hatte, die das Connect Kit verwenden.

📌

In unserem Hardware-Wallet-Vergleich testen wir die verschiedenen Anbieter und vergleichen Ledger, Trezor und die Bitbox02 miteinander.

Auch wenn Ledger grundsätzlich als seriöser Anbieter für Hardware-Wallets zu verstehen ist, zeigen die jüngsten Geschehnisse, dass der Ledger insgesamt nicht perfekt ist. Entsprechend gibt es aber immer mehr Alternativen, welche teilweise sogar quelloffen und damit eindeutig nachvollziehbar funktionieren.

Eine zunehmend beliebte Alternative stellt die BitBox02 dar, welche aus der Schweiz kommt und für Menschen mit Fokus auf Sicherheit sogar eine Bitcoin-only Version anbietet. Wir haben das Hardware-Wallet daher in einem Erfahrungsbericht umfangreich für dich getestet!