Ledger-Angriff zeigt, dass das Unternehmen nach mehreren Verstößen „nichts gelernt“ hat: ENS-Entwickler

Mitglieder der Krypto-Community haben ihre Antworten auf den Ledger Connect Kit-Exploit veröffentlicht, der mehrere dezentrale Anwendungen (DApps) im gesamten Web3-Bereich betraf.

Am 14. Dezember griff ein Hacker mithilfe des Ledger-Connectors das Frontend mehrerer DApps an. Der Angreifer hat wichtige Apps wie SushiSwap, Phantom und Revoke.cash gehackt und digitale Vermögenswerte im Wert von mindestens 484.000 US-Dollar gestohlen.

Ledger gab bekannt, dass das Problem drei Stunden nach den ersten Berichten über den Angriff behoben wurde. Der CEO des Unternehmens, Pascal Gauthier, sagte, es handele sich um einen Einzelfall und wies darauf hin, dass man mit den zuständigen Strafverfolgungsbehörden zusammenarbeite, um den Hacker zu finden und „ihn vor Gericht zu stellen“.

Während Ledger behauptet, es handele sich um ein Einzelereignis, warnte Linea, ein Zero-Knowledge-Rollup von Consensys, Web3-Benutzer, dass die Schwachstelle das gesamte Ethereum Virtual Machine (EVM)-Ökosystem beeinträchtigen könnte.

Einen Tag nach dem Vorfall gingen Community-Mitglieder auf X (Twitter), um ihre Meinung zum Ledger-Vorfall auszudrücken. Einige rieten ihren Anhängern, andere Wallet-Plattformen zu verwenden, während andere Ledger aufforderten, alles als Open-Source-Lösung bereitzustellen.

Ledgers Sicherheit erklärt pic.twitter.com/6hTeXYVWco

— Krypto-PM (@CryptoPM_) 15. Dezember 2023

Am 15. Dezember forderte der Bitcoin (BTC)-Unterstützer Brad Mills seine X-Follower auf, reine Bitcoin-Hardware zu verwenden, die von Bitcoin-Ingenieuren entwickelt wurde, die sich auf die Sicherung von BTC konzentrieren. Mühlen gedrängt Community-Mitglieder dürfen ihre Freunde niemals mit den Hardware-Wallets Ledger oder Trezor zu BTC einbinden.

Im Jahr 2020 führte ein weiterer Ledger-Vorfall zur Offenlegung von Benutzerinformationen wie Postanschriften, Telefonnummern und E-Mail-Adressen. In Bezug auf frühere Ledger-Verstöße sagte Nick Johnson, Entwickler des Ethereum Name Service, in einem Beitrag, dass niemand seine Hardware empfehlen oder seine Bibliotheken verwenden sollte.

Okay, also ist es klar @Hauptbuch hat aus mehreren Verstößen nichts über Opsec gelernt. Zum jetzigen Zeitpunkt glaube ich nicht, dass irgendjemand guten Gewissens seine Hardware empfehlen oder seine Bibliotheken nutzen sollte.

– nick.eth (@nicksdjohnson) 15. Dezember 2023

Nach Laut Johnson zeigte Ledger eine konsequente Missachtung der Betriebssicherheit und verdient nicht länger den „Vorteil des Zweifels, dass sie sich verbessern werden“.

Verwandt: Dezentrale Anwendungen unterbrechen Ledger Connect, da der Exploit-Fix bereitgestellt wird

Unterdessen kryptografischer Händler und Analyst Krillin kritisiert Ledger und rief sie dazu auf, einen Tag damit verbracht zu haben, negative Kommentare unter ihren Beiträgen auf X zu entfernen.

Während des Hacks am 14. Dezember nutzte der Angreifer einen Phishing-Exploit, um sich Zugang zum Computer eines ehemaligen Ledger-Mitarbeiters zu verschaffen. Es wurde auf das JavaScript-Konto des Node-Paket-Managers des Mitarbeiters zugegriffen, was zu der Sicherheitsverletzung führte.

Ein Community-Mitglied verfolgt den Hack geraten Ledger will „alles als Open Source bereitstellen“ und die Community zu ihrem „Chirurgen“ machen, der sie wieder zusammenfügt. Das Unternehmen gab am 24. Mai bekannt, dass es viele seiner Anwendungen als Open Source bereitgestellt hat und sich dazu verpflichtet, weitere Teile seines Codes als Open Source bereitzustellen .

Laut Community-Mitgliedern ist Transparenz kein Luxus, sondern eine Lebensader. „Vertrauen, einmal verloren, erfordert offene Adern, keine verschleierten Versprechen.“

Zeitschrift: „Kontoabstraktion“ lädt Ethereum-Wallets auf: Leitfaden für Dummies