Verluste gemeldet, Benutzer werden zur Vorsicht aufgefordert
BlockAid, ein auf Web3-Sicherheit spezialisiertes Cybersicherheitsunternehmen, gab bekannt, dass durch die Integration des Schadcodes in Live-Websites erhebliche Verluste in Höhe von etwa 150.000 US-Dollar entstanden sind. Allerdings versicherte Ledger den Nutzern, dass ihre Vermögenswerte sicher seien, solange sie keine Transaktionen durchführten.
Ido Ben-Natan, CEO von Ledger, betonte, dass der Exploit nicht ohne vorherige Bestätigung der Benutzer durchgeführt werden könne, räumte jedoch ein, dass viele Websites betroffen seien, und warnte vor den möglichen Auswirkungen auf Benutzer.
SushiSwap, eine dezentrale Austauschplattform, hat das Problem auf seiner Plattform behoben und die Kompromittierung im Ledger-Connector anerkannt, die das Einschleusen von Schadcode in verschiedene dezentrale Anwendungen (dApps) ermöglichen könnte.
Vorsichtsmaßnahmen von Revoke.cash und Ledger
Aus Sicherheitsgründen hat Revoke.cash, ein Dienst, der es Benutzern ermöglicht, die für Web3-Apps gewährten Transaktionssignierungsfunktionen zurückzufordern, vorübergehend seinen Front-End-Betrieb eingestellt, um Benutzertäuschung zu verhindern.
Ben-Natan warnte ausdrücklich vor Interaktionen mit Revoke.cash, da dieses anfällig für den Angriff ist. Der offizielle Account von Ledger bestätigte den potenziellen Angriffsvektor und gab an, dass der Schadcode inzwischen entfernt wurde.
Die neue Version der Ledger-Software wird derzeit verbreitet und soll die Bedrohung nach der Aktivierung je nach Caching von Drittanbieter-dApps vollständig neutralisieren.
Vorsichtig und informiert bleiben
Während der Schadcode erst vor kurzem aufgetaucht ist und nur dann zum Diebstahl von Geldern führen kann, wenn weitere Maßnahmen ergriffen werden, empfehlen Experten, Vorsicht walten zu lassen und von der Verwendung von Krypto-Web-Apps abzusehen. WalletConnect, eine weit verbreitete Schnittstelle für dApp-Entwickler ohne direkte Integration mit Ledger, gab den Benutzern ebenfalls eine Warnung heraus.
Philip Costigan, Leiter der Öffentlichkeitsarbeit bei Ledger, forderte die Benutzer auf, vorerst die Interaktion mit dApps zu vermeiden, und versicherte ihnen regelmäßige Updates, sobald sich die Situation weiterentwickelt.
Bei früheren Vorfällen, wie dem Angriff auf die SushiSwap-Token-Verkaufsplattform, verloren Benutzer etwa 865 ETH (damals 3 Millionen US-Dollar und derzeit 2 Millionen US-Dollar). Diese Angriffe beinhalteten DNS-Manipulationen, um ahnungslose Benutzer auf gefälschte Versionen echter Plattform-Websites umzuleiten, was dazu führte, dass Gelder an die Angreifer umgeleitet wurden.
Aktualisiert am 14. Dezember 2023 um 8:34 Uhr ET, 8:53 Uhr ET, 9:03 Uhr ET und 9:15 Uhr ET mit zusätzlichen Informationen und Kommentaren von Ledger und BlockAid.