Der Hacker, der hinter dem Angriff auf die Connector-Library von Ledger steckt, hat laut der Blockchain-Analyseplattform Lookonchain Krypto-Vermögenswerte im Wert von fast 484.000 US-Dollar gestohlen. Ledger hat die Zahlen noch nicht bestätigt, aber die Auswirkungen der Sicherheitslücke könnten nach Schätzungen der Analysten in die Hunderttausende gehen.
Benutzer auf X (Twitter) wiesen am 14. Dezember auf den entsprechenden Vorfall hin und behaupteten, dass ein beliebter Web3-Connector kompromittiert wurde, wodurch bösartiger Code in mehrere dezentrale Anwendungen (DApps) eingeschleust werden konnte.
Zu den Protokollen, die von dem Vorfall betroffen sind, gehören Zapper, SushiSwap, Phantom, Balancer und Revoke.cash, aber der tatsächliche Schaden könnte noch größer sein. Einigen X-Nutzern zufolge könnte die Sicherheitslücke auch in anderen ähnlichen Programmen bestehen, die Alternativen zu LedgerHQ/connect-kit sind.
Nach Angaben von MetaMask betrifft der Hack auch die Nutzer der beliebten Software-Wallet. Der Wallet-Anbieter hat deshalb einen Fix für seine Plattform bereitgestellt, der vorsieht, dass die Nutzer mit der neuesten Version, v2.121.0, in der Lage sein sollten, „wieder Transaktionen durchzuführen und automatisch aktualisiert zu werden. Falls Sie nicht auf dieser [aktuellen] Version sind, aktualisieren Sie bitte Ihre Website-Daten“.
most tweets about ledger are wrong
— Udi Wertheimer (@udiWertheimer) December 14, 2023
here’s what you need to know:
ALL ACTIVE ETHEREUM WALLETS ARE AT RISK
don’t connect ANY ethereum/evm wallets to ANY apps until further notice
doesn’t matter if it’s a ledger or not
if you didn’t use your wallet today you’re safe
Fast drei Stunden nach dem Vorfall meldete Ledger, dass die bösartige Version der Datei gegen 13:35 Uhr UTC durch die echte Version ersetzt worden war. Das Unternehmen weist seine Nutzer zudem darauf hin, Transaktionen immer zu löschen und fügt hinzu, dass die Adressen und die Informationen, die auf dem Ledger-Bildschirm angezeigt werden, die einzigen echten Informationen sind:
„Wenn es einen Unterschied zwischen dem Bildschirm auf Ihrem Ledger-Gerät und dem Bildschirm Ihres Computers/Telefons gibt, stoppen Sie die Transaktion sofort.“
We have identified and removed a malicious version of the Ledger Connect Kit.
— Ledger (@Ledger) December 14, 2023
A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.
Your Ledger device and…
Mehrere Protokolle haben die Ledger-Library seit dem Vorfall deaktiviert. Der Stablecoin-Emittent Tether (USDT) hat laut Geschäftsführer Paolo Ardoino auch die Adresse des Angreifers eingefroren.
Tether just froze the Ledger exploiter address
— Paolo Ardoino (@paoloardoino) December 14, 2023
Melde dich bei unseren Sozialen Medien an, um nichts zu verpassen: X, YouTube, Instagram und Telegram – aktuelle Nachrichten, Analysen, Expertenmeinungen und Interviews mit Fokus auf die DACH-Region.
