Ledger Statement zum Connect Kit Exploit
Geposted von Stephan Leuchsner am
Das Wichtige auf einen Blick
- Am 14. Dezember 2023 wurde bei Ledger ein Exploit* für Ledger Connect Kit, eine Javascript-Bibliothek zur Verbindung von Websites mit Geldbörsen, festgestellt.
- Die Industrie hat mit Ledger zusammengearbeitet, um den Exploit zu neutralisieren und die gestohlenen Gelder sehr schnell einzufrieren - der Exploit lief effektiv für weniger als zwei Stunden.
- Die Sicherheitslücke wird derzeit untersucht, Ledger hat Anzeige erstattet und wird den Betroffenen helfen, ihr Geld zurückzubekommen.
- Die Integrität der Ledger-Hardware oder von Ledger Live wurde und wird durch diese Sicherheitslücke nicht beeinträchtigt.
- Die Sicherheitslücke war auf dApps von Drittanbietern beschränkt, die das Ledger Connect Kit verwenden.
Der Brief von Pascal Gauthier, Chairman & CEO von Ledger, zusammengefasst:
Am 14. Dezember 2023 wurde bei Ledger ein Exploit für das Ledger Connect Kit festgestellt. Das Connect Kit ist eine Javascript-Bibliothek, welche eine Schaltfläche integriert, die es Benutzern erlaubt, Ledger Geräte mit dApps von Drittanbietern zu verbinden.
Dieser Exploit war das Ergebnis eines ehemaligen Mitarbeiters, der Opfer eines Phishing-Angriffs wurde und es einem bösartigen Akteur ermöglichte, eine schädliche Datei in Ledgers NPMJS (ein Paketmanager für Javascript-Code, der von verschiedenen Anwendungen gemeinsam genutzt wird) hochzuladen. In Zusammenarbeit mit dem Ledger Partner WalletConnect wurde der bösartige Code innerhalb von 40 Minuten nach der Entdeckung entfernt und deaktiviert. Dies ist ein gutes Beispiel dafür, wie schnell die Branche zusammenarbeitet, um Sicherheitsprobleme zu lösen.
Warum dies geschah und wie Ledger die Sicherheit Praktiken verbessern wird, um dieses spezielle Risiko in Zukunft zu mindern, wird im folgenden Abschnitt erläutert:
Die Standard Praxis bei Ledger ist, dass keine einzelne Person Code ohne Überprüfung durch mehrere Parteien bereitstellen kann. Es gibt strenge Zugangskontrollen, interne Überprüfungen und Code-mehrfach Signaturen für die meisten Teile der Entwicklung. Mitarbeiter:innen, die das Unternehmen verlassen, wird der Zugang zu allen Ledger-Systemen entzogen.
Dies war ein unglücklicher Einzelfall und erinnert daran, dass Sicherheit nicht statisch ist. Ledger wird stärkere Sicherheitskontrollen implementieren und die Build-Pipeline mit dem NPM-Vertriebskanal verbinden.
Es ist auch eine Erinnerung daran, dass die Messlatte für die Sicherheit von dApps, bei denen Nutzer browserbasierte Signaturen verwenden, weiter angehoben werden muss.
Ledger ist der Meinung, dass eine klare Unterschrift im Gegensatz zu einer blinden Unterschrift dazu beitragen wird, diese Probleme zu entschärfen. dApps, die diesen Schutz für ihre Nutzer implementieren möchten, können auf developer.ledger.com erfahren, wie das geht.
Ledger hat sich bereits mit den Behörden in Verbindung gesetzt, um bei dieser Untersuchung zu helfen. Die betroffenen Nutzer werden unterstützt, den bösen Akteur vor Gericht zu stellen und die gestohlenen Vermögenswerte wiederzuerlangen.
Die Situation ist jetzt unter Kontrolle. Ledger versteht jedoch die Unsicherheit in der Community und im gesamten Ökosystem und teilt daher den genauen Zeitplan für die Reaktion des Teams und der Partner hier mit.
Den Original-Brief von Pascal Gauthier findest Du hier