Nach dem Hack, der sein Connect Kit betraf, hat Ledger zugesagt, dass die Opfer bis Ende Februar 2024 entschädigt werden. Ein Rückblick auf die eingeleiteten Maßnahmen.
Ledger verspricht Hilfe für die Opfer des Hacks vom 14. Dezember
In der vergangenen Woche wurde das Connect Kit von Ledger Opfer eines Hacks, der zu einem Verlust von etwa 600.000 US-Dollar bei Nutzern führte, die betrügerische Autorisierungen unterschrieben hatten.
Schnell nach dem Vorfall hatte Pascal Gauthier, der CEO des Unternehmens, zugesagt, dass Ledger „so viele interne und externe Ressourcen wie möglich einsetzen würde, um den Betroffenen zu helfen, ihr Vermögen wiederzuerlangen“.
So wiederholte der Hardware-Wallet-Hersteller am Mittwoch dieses Versprechen:
We are 100% focused on following up to the last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe.
Wir sind uns bewusst, dass etwa 600k $ an Vermögenswerten betroffen sind, die von Benutzern gestohlen wurden, die blind auf EVM-DApps unterschreiben.
Ledger…
– Ledger (@Ledger) December 20, 2023
Zur kurzen Erinnerung: Dem Hacker war es gelungen, Schadcode in eine JavaScript-Bibliothek des Ledger Connect Kit einzuschleusen und damit Geld von Opfern abzuziehen, die mit dezentralen Finanzanwendungen (DeFi) interagierten.
Ledger hat sich verpflichtet, dass die Opfer die gestohlenen Beträge bis Ende Februar auf die eine oder andere Weise zurückerhalten, unabhängig davon, ob sie Kunden des Unternehmens sind oder nicht:
“ Wir verpflichten uns, mit allen Mitteln, auch durch Gesten des guten Willens, dafür zu sorgen, dass dies bis Ende Februar 2024 geschieht. Wir stehen bereits mit vielen betroffenen Nutzern in Kontakt und arbeiten aktiv mit ihnen an den Details. „
Allgemeine unverschlüsselte Signaturen bis Juni
Ein Element, das den Abfluss von Geldern hätte bremsen können, sind Klartext-Unterschriften. Im DeFi-Ökosystem ist die Blindunterschrift jedoch noch zu weit verbreitet, sodass man die Hintergründe einer Transaktion, die man genehmigt, nicht genau kennt.
Dies erleichtert Sicherheitsvorfälle wie diesen. Beispielsweise kann ein Hacker einen Frontend-Angriff auf eine dezentrale Anwendung (DApp) effektiver durchführen, sodass deren Nutzer eine Transaktion unterschreiben, die Rechte an einem betrügerischen Smart Contract gewährt, anstatt an dem der DApp.
Bei der blinden Signatur ist es schwieriger, solche Missbrauchsversuche zu erkennen. Aus diesem Grund kündigt Ledger an, dass dies mit ihren Geräten bis Juni 2024 nicht mehr möglich sein wird.
Dazu fordert das Unternehmen Entwickler auf, seine Funktion „Clear Signing“ in ihre Anwendungen zu integrieren:
“ Die einzige narrensichere Gegenmaßnahme gegen diese Art von Angriff ist, immer zu überprüfen, wozu Sie auf Ihrem Gerät Ihre Zustimmung geben. Dies ist nur mit Clear Signing möglich: Das bedeutet, dass Sie auf einem sicheren Bildschirm genau sehen und überprüfen können, was Sie unterschreiben. Wenn das Ökosystem weiterhin das blinde Signieren zulässt, bleiben die Nutzer gefährdet. Wir fordern die DApp-Entwickler auf, den Sicherheitsbaustein Clear Signing zu unterstützen. „
Außerdem ruft das Unternehmen Personen, die am 14. Dezember Berechtigungen für betroffene DApps erteilt haben, dazu auf, diese Berechtigungen zu widerrufen. Dies kann mit Diensten wie Revoke.cash geschehen.
Darüber hinaus wurde eine Hilfeseite für Opfer eingerichtet und Ledger warnt auch vor Phishing-Versuchen und erinnert daran, dass auf X seine beiden offiziellen Konten @ledger und @ledger_support sind.
