Kryptowährung
Ledger-CEO erklärt Hack und nennt ihn „einzelnen Vorfall“
Pascal Gauthier, CEO von Ledger, hat sich in einem Beitrag im Blog des Unternehmens mit dem Hack des Wallet-Anbieters vom 14. Dezember befasst. Er sagte, der Hack der Javascript-Connector-Bibliothek von Ledger sei ein „einzelner Vorfall“ gewesen und verspreche eine stärkere Sicherheitskontrolle.
Mein persönliches Engagement: Ledger wird so viele interne und externe Ressourcen wie möglich einsetzen, um den betroffenen Personen bei der Wiedererlangung ihrer Vermögenswerte zu helfen.
— Pascal Gauthier @Ledger (@_pgauthier) 14. Dezember 2023
Der Exploit lief weniger als zwei Stunden und wurde innerhalb von 40 Minuten nach der Entdeckung deaktiviert und war auf DApps von Drittanbietern beschränkt, sagte Gauthier. Dies sei möglich geworden, nachdem ein ehemaliger Mitarbeiter Opfer eines Phishing-Betrugs geworden sei, sagte er. Die Identität dieses Mitarbeiters wurde angeblich im gehackten Code zurückgelassen. Ledger-Hardware und die Ledger-Live-Plattform waren nicht betroffen. Außerdem:
„Die gängige Praxis bei Ledger ist, dass keine einzelne Person Code ohne Überprüfung durch mehrere Parteien bereitstellen kann. Für die meisten Teile unserer Entwicklung verfügen wir über strenge Zugriffskontrollen, interne Überprüfungen und Code-Mehrfachsignaturen. Dies ist in 99 % unserer internen Systeme der Fall. Jedem Mitarbeiter, der das Unternehmen verlässt, wird der Zugriff auf alle Ledger-Systeme entzogen.“
Gauthier bezeichnete den Hack weiter als „einen bedauerlichen Einzelfall“. Nun versprach er:
„Ledger wird strengere Sicherheitskontrollen implementieren und unsere Build-Pipeline, die strenge Software-Lieferkettensicherheit implementiert, mit dem NPM-Vertriebskanal verbinden.“
Ein Hack dieser Art könnte auch anderen passieren, fügte Gauthier hinzu. Gutheir sagte, dass das Ledger Connect Kit 1.1.8 sicher und einsatzbereit sei. Er dankte WalletConnect, Tether, Chainalysis und zachxbt für ihre Unterstützung.
Verwandt: Ledger behebt Sicherheitslücke, nachdem mehrere DApps, die die Connector-Bibliothek verwenden, kompromittiert wurden
Die Größe des Hacks wurde ursprünglich auf 484.000 US-Dollar geschätzt, aber der Web3-Sicherheitsdienst Blockaid teilte Cointelegraph später mit, dass die Summe bis 20:00 UT auf 504.000 US-Dollar gestiegen sei. Das Unternehmen fügte hinzu, dass der Hack jeden EVM-Benutzer betreffen könnte, der mit betroffenen DApps interagiert.
Hier ist eine Liste der Dapps, die davon betroffen sein könnten @Hauptbuch hacken! Interagieren Sie heute überhaupt nicht mit DEFI! Keine App ist sicher, unabhängig davon, ob Sie ein Ledger verwenden. pic.twitter.com/2ihbasF3R7
– Ran Neuner (@cryptomanran) 14. Dezember 2023
Magazin: Bitcoin im Wert von 3,4 Milliarden US-Dollar in einer Popcorndose: Die Geschichte des Silk Road-Hackers