Damit zeigt sich, dass du eigentlich kein Vertrauen mehr in diese Firma hast. Ich hoffe, dass es be Ledger aber nicht mehr zu Risiken kommen wird.
Das Vertrauen ist leider tatsächlich ziemlich ramponiert. Gäbe es eine für meine Situation brauchbare Alternative wäre ich auch schon weg. Die fehlt aber leider nach wie vor. Wäre toll, wenn Trezor da mehr in die Gänge kommen würde und für bessere Abdeckungen bei Drittanbieter-Wallets sorgen könnte, bspw über bezahlte Schnittstellenentwicklungen. 
Topic: Ledger (Live) - Angebote / Diskussion / Hilfe - page 3. (Read 22241 times)
Was mich hier aber noch mehr stört ist, dass die Wahrscheinlichkeit, dass so etwas wieder passiert und es auch mich irgendwann erwischen könnte, sehr hoch ist wenn Ledger es verabsäumt hier endlich besser zu werden.
Damit zeigt sich, dass du eigentlich kein Vertrauen mehr in diese Firma hast. Ich hoffe, dass es be Ledger aber nicht mehr zu Risiken kommen wird.
Sie schreiben auf ihrer Homepage, dass sie mehr 800 Mitarbeiter und 10 Büros haben. Klingt für mich nach viel Home-Office und Nutzung von Collaboration Tools. Gerade im Home-Office haben viele keine Trennung zwischen Privat und Firmen PC. Daher kann ich mir sehr gut vorstellen, dass in diesem Bereich eine große Schwachstelle innerhalb der Firma vorherscht und versucht wird, dieses auszunutzen.
Das zeigt einfach, dass sie nicht professionell arbeiten und ihre Prozesse nicht im Griff haben.
~Was mich hier aber noch mehr stört ist, dass die Wahrscheinlichkeit, dass so etwas wieder passiert und es auch mich irgendwann erwischen könnte, sehr hoch ist wenn Ledger es verabsäumt hier endlich besser zu werden.
Mir kommt es vor als wäre es ihnen schlichtweg auch egal. So wie schon Cricktor erwähnt hat, seit dem Daten klau bin ich einfach kein Freund mehr von Ledger und ihre Unachtsamkeit bestätigt mir das auch immer wieder. Da haben sie noch einiges zum nachholen, wenn sie das überhaupt wollen.
Zu ISO Zertifizierungen, ohne jetzt eine große Recherche gemacht zu haben da gibt es zu ISO und Blockchain auch schon das eine oder andere.
ISO unterstützt Blockchain
Das zeigt einfach, dass sie nicht professionell arbeiten und ihre Prozesse nicht im Griff haben.
Vor allem zeigt es eines: Sie haben aus den letzten Vorfällen nichts oder wenn dann viel zu wenig gelernt. So etwas darf einer Firma wie Ledger nicht passieren, hier kann man aus Security-Sicht nichtmal bei einem Startup ein Auge zudrücken... schon gar nicht bei einer Firma, auf deren Geräten Milliarden von Euros verwaltet werden. Was mich hier aber noch mehr stört ist, dass die Wahrscheinlichkeit, dass so etwas wieder passiert und es auch mich irgendwann erwischen könnte, sehr hoch ist wenn Ledger es verabsäumt hier endlich besser zu werden.
Warum hier bei Ledger eine einzige Person gereicht hat für die Übernahme ist sehr schräg und auch absolut nicht praxis-üblich.
Das zeigt einfach, dass sie nicht professionell arbeiten und ihre Prozesse nicht im Griff haben.
Ich hab mal auf deren Seite geschaut, ob sie nach irgendwas ISO zertifiziert sind. Habe diesbezüglich aber nichts zu gefunden. Noch nicht mal ISO 9001, was ja schon Standard ist.
Aber manchmal schreiben die Firmen das nicht öffentlich und auf Nachfage gibt es die entsprechenden Infos.
[...]
Zugriff haben die "Bösen" bekommen, indem ein Mitarbeiter auf eine Phishing Attacke reingefallen ist
Die Schwachstelle "Mitarbeiter" ist tatsächlich mittlerweile nicht mehr zu unterschätzen. Unser Betrieb ist ebenfalls Security-technisch äußerst gut aufgestellt - müssen wir auch aufgrund der Branche in der wir arbeiten ... das bestätigen uns auch immer wieder unabhängige Firmen, die bezahlt versuchen, in unser System einzudringen. Man ist jedoch selbst mit dem besten Schutzsystem aufgeschmissen, wenn gezielt ein bestimmter Mitarbeiter attackiert wird und dieser Daten preisgibt, oder zu unbedarften Handlungen verleitet wird wie jetzt im Angriffsfall von Ledger. Zugriff haben die "Bösen" bekommen, indem ein Mitarbeiter auf eine Phishing Attacke reingefallen ist
Softwaretechnisch hätte man diesen Fall aber tatsächlich recht einfach absichern können: Normalerweise ist für die Übernahme von Code in offizielle Repositories ein so genannten "Pull Request" notwendig, den klassischerweise auch mehrere Personen bestätigen müssen, bevor dieser übernommen wird. Warum hier bei Ledger eine einzige Person gereicht hat für die Übernahme ist sehr schräg und auch absolut nicht praxis-üblich.
Ledger bzw. der CEO hat sich dazu ja geäußert und meinte, dass sie zukünftig ihre Sicherheitsvorschriften erhöhen wollen.. Hätte man mal im Vorfeld machen sollen, wenn ihr mich fragt
Das behauptet Ledger doch immer nachdem etwas passiert ist.
Also das ist schon ein lustiger Verein und davon ab, weiß ich bei denen auch nicht ob ich so einer Antwort noch glauben schenken kann.
Zugriff haben die "Bösen" bekommen, indem ein Mitarbeiter auf eine Phishing Attacke reingefallen ist
Da wird bestimmt schon eine Mitarbeiter Schulung durch den IT-Admin helfen und das Problem ist damt abgestellt
Was ich an der Sache nicht verstehe, verfolge es aber als Ledger-Gegner auch nicht wirklich intensiv: die open-source Bibliothek ist im Ledger-Github gehostet, den oder die Schadcode-Commits sollte doch aber Ledger durchgewunken haben. Irgendjemand bei Ledger wird doch für die Annahme von Code-Einreichungen verantwortlich sein?
Was für eine Shit-Show mal wieder von den pariser Ledger-Helden...
Was für eine Shit-Show mal wieder von den pariser Ledger-Helden...
Ledger bzw. der CEO hat sich dazu ja geäußert und meinte, dass sie zukünftig ihre Sicherheitsvorschriften erhöhen wollen.. Hätte man mal im Vorfeld machen sollen, wenn ihr mich fragt
Zugriff haben die "Bösen" bekommen, indem ein Mitarbeiter auf eine Phishing Attacke reingefallen ist
Was ich an der Sache nicht verstehe, verfolge es aber als Ledger-Gegner auch nicht wirklich intensiv: die open-source Bibliothek ist im Ledger-Github gehostet, den oder die Schadcode-Commits sollte doch aber Ledger durchgewunken haben. Irgendjemand bei Ledger wird doch für die Annahme von Code-Einreichungen verantwortlich sein?
Was für eine Shit-Show mal wieder von den pariser Ledger-Helden...
Was für eine Shit-Show mal wieder von den pariser Ledger-Helden...
Ich hoffe, hier ist keiner zu Schaden gekommen!
Ich war nie ein Freund von Ledger und seit dem damaligen Klau der Adressen von Ledger-Bestellern (deren Nachwirkungen in Form von unendlich vielen Spam immer noch bei mir wirken) will ich mit denen so wie so nichts zu tun haben.
Ich wurde heute übrigens von dem Rechtsanwalt-Team, die sich um Entschädigung bemühen, angeschrieben. Man teilte mir folgendes mit:
Zitat:
Der Europäische Gerichtshof hat gestern in zwei lang erwarteten Entscheidungen Ihre Rechte ganz erheblich gestärkt. Wir haben uns daher entschieden, Ihren Anspruch schon jetzt final durchzusetzen, auch wenn unsere Pilotverfahren in dieser Sache noch nicht rechtskräftig abgeschlossen sind.
Zitat Ende
Das kann also für Ledger auch noch ein größeres Problem werden...
Ich war nie ein Freund von Ledger und seit dem damaligen Klau der Adressen von Ledger-Bestellern (deren Nachwirkungen in Form von unendlich vielen Spam immer noch bei mir wirken) will ich mit denen so wie so nichts zu tun haben.
Ich wurde heute übrigens von dem Rechtsanwalt-Team, die sich um Entschädigung bemühen, angeschrieben. Man teilte mir folgendes mit:
Zitat:
Der Europäische Gerichtshof hat gestern in zwei lang erwarteten Entscheidungen Ihre Rechte ganz erheblich gestärkt. Wir haben uns daher entschieden, Ihren Anspruch schon jetzt final durchzusetzen, auch wenn unsere Pilotverfahren in dieser Sache noch nicht rechtskräftig abgeschlossen sind.
Zitat Ende
Das kann also für Ledger auch noch ein größeres Problem werden...
Ja cool. Damit habe ich ja gar nicht mehr gerechnet. Ich habe auch Post bekommen. Na mal schauen was man dann so einträgt in deren Formular.
Ob am Ende wirklich etwas bei rum kommt muss man sehen. Aber besser als gar nichts machen.
Genug Spam bekommen und von abgeklemmten Tel. Nummern ganz zu schweigen.
Ich hoffe, hier ist keiner zu Schaden gekommen!
Ich war nie ein Freund von Ledger und seit dem damaligen Klau der Adressen von Ledger-Bestellern (deren Nachwirkungen in Form von unendlich vielen Spam immer noch bei mir wirken) will ich mit denen so wie so nichts zu tun haben.
Ich wurde heute übrigens von dem Rechtsanwalt-Team, die sich um Entschädigung bemühen, angeschrieben. Man teilte mir folgendes mit:
Zitat:
Der Europäische Gerichtshof hat gestern in zwei lang erwarteten Entscheidungen Ihre Rechte ganz erheblich gestärkt. Wir haben uns daher entschieden, Ihren Anspruch schon jetzt final durchzusetzen, auch wenn unsere Pilotverfahren in dieser Sache noch nicht rechtskräftig abgeschlossen sind.
Zitat Ende
Das kann also für Ledger auch noch ein größeres Problem werden...
Ich war nie ein Freund von Ledger und seit dem damaligen Klau der Adressen von Ledger-Bestellern (deren Nachwirkungen in Form von unendlich vielen Spam immer noch bei mir wirken) will ich mit denen so wie so nichts zu tun haben.
Ich wurde heute übrigens von dem Rechtsanwalt-Team, die sich um Entschädigung bemühen, angeschrieben. Man teilte mir folgendes mit:
Zitat:
Der Europäische Gerichtshof hat gestern in zwei lang erwarteten Entscheidungen Ihre Rechte ganz erheblich gestärkt. Wir haben uns daher entschieden, Ihren Anspruch schon jetzt final durchzusetzen, auch wenn unsere Pilotverfahren in dieser Sache noch nicht rechtskräftig abgeschlossen sind.
Zitat Ende
Das kann also für Ledger auch noch ein größeres Problem werden...
So eine Sicherheitslücke will man echt nicht bei einem Hardware Wallet sehen. Wenn der Code open source wäre, hätte das vielleicht irgend ein White Hack Hacker erkannt und es wären keine Gelder verloren gegangen oder ist diese Schnittstelle sogar Open Source? Falls nicht, frage ich mich sowieso, wie sowas ausgenutzt werden kann...
Der Code selbst ist sogar open source: https://github.com/LedgerHQ/connect-kit/tree/main/packages/connect-kitLedger hat das Problem mittlerweile auch schon behoben:
Quelle
Es soll heute im Laufe des Tages dazu auch eine detaillierte Auflistung erscheinen, wie das passieren konnte. Da bin ich aus technischer Sicht schon sehr gespannt drauf.
Anscheinend waren lt. dem CEO von SushiSwap nicht nur Ledger-User betroffen:
Quote
Nach Angaben von Metamask könnten jedoch nicht nur Ledger-Nutzer betroffen gewesen sein. Nutzern wird geraten, den Browser Cache zu löschen und die jeweiligen dApps neu zu laden bzw. auf eine konkrete Information der verwendeten Wallet-Anbieter und Anwendungen zu warten.
Quelle
Quelle
Der Fall zeigt, wie wichtig die genaue Kontrolle dessen ist, was der Ledger vor der Signierung anzeigt. Das muss einfach zu 100% mit dem übereinstimmen, was man machen möchte. Wenn dem nicht so ist, muss die Transaktion auf alle Fälle gestoppt werden. Viele klicken sich halt aus Bequemlichkeit über die Bestätigungen einfach hinweg ohne diese genauer zu lesen.
ist ja echt übel, NFTs wurde auch transferiert, da hat jemand ganze Arbeit geleistet... Bin mal gespannt, ob Ledger dafür aufkommt....
und dies soll wohl die hacker/scammer adresse sein, wo alle altcoins hinbewegt wurden sind:
https://etherscan.io/address/0x658729879fca881d9526480b82ae00efc54b5c2d
https://etherscan.io/address/0x658729879fca881d9526480b82ae00efc54b5c2d
Da meint man das man mit einem Hardware wallet sicher ist aber pustekuchen.
Hier ein Artikel dazu
https://www.btc-echo.de/schlagzeilen/sicherheitsluecke-im-ledger-code-176080/
Also aufpassen was man gerade wie macht…
Viele Grüße
Willi
Hier ein Artikel dazu
https://www.btc-echo.de/schlagzeilen/sicherheitsluecke-im-ledger-code-176080/
Also aufpassen was man gerade wie macht…
Viele Grüße
Willi
Habe es vorhin von einem Kumpel erfahren und musste direkt an den Thread denken
So eine Sicherheitslücke will man echt nicht bei einem Hardware Wallet sehen. Wenn der Code open source wäre, hätte das vielleicht irgend ein White Hack Hacker erkannt und es wären keine Gelder verloren gegangen oder ist diese Schnittstelle sogar Open Source? Falls nicht, frage ich mich sowieso, wie sowas ausgenutzt werden kann...
So eine Sicherheitslücke will man echt nicht bei einem Hardware Wallet sehen. Wenn der Code open source wäre, hätte das vielleicht irgend ein White Hack Hacker erkannt und es wären keine Gelder verloren gegangen oder ist diese Schnittstelle sogar Open Source? Falls nicht, frage ich mich sowieso, wie sowas ausgenutzt werden kann...
und dies soll wohl die hacker/scammer adresse sein, wo alle altcoins hinbewegt wurden sind:
https://etherscan.io/address/0x658729879fca881d9526480b82ae00efc54b5c2d
https://etherscan.io/address/0x658729879fca881d9526480b82ae00efc54b5c2d
Das ist nur zum Teil korrekt. Letztendlich muss man den Contract ja auch noch handisch am Gerät selbst bestätigen. Leider wird da immer blind vetraut und der Großteil liest sich aus Bequemlichkeit nicht einmal durch, was man da wirklich signiert.
Ja, den Contract muss man natürlich bestätigen, wenn man den aber nicht genau liest glaubt man, dass man die Verbindung mit Metamask signieren muss und führt das natürlich durch. Man muss also auch als versierter Nutzer höllisch aufpassen was man macht. Das große Problem wird auch sein, dass die dApps die gefixte Version aktiv einbinden müssen. Man weiß also als Enduser erstmal nicht, ob die verwendete App schon wieder sicher ist oder nicht ...
Letztendlich muss man den Contract ja auch noch handisch am Gerät selbst bestätigen. Leider wird da immer blind vetraut und der Großteil liest sich aus Bequemlichkeit nicht einmal durch, was man da wirklich signiert.
Was müsste man denn lesen, wenn es korrekt wäre bzw. was, wenn es ein Scam wäre?
~
Man sieht ganz eindeutig sogar noch das offizielle Popup im Hintergrund.
Man sieht ganz eindeutig sogar noch das offizielle Popup im Hintergrund.
Also das Popup im Vordergrund ist also Scam Popup, verstehe ich das richtig? Da hat sich also Ledger wieder ein Stückchen geliefert oder ist ja auf Ledgers Mist gewachsen (die libaries werden ja von Ledger auf Github angeboten)? Jetzt wäre schön langsam Gras über die eingebaute Sicherheitslücke gewachsen und jetzt das.
Im Reddit-Thread von Ledger findet man ein paar mehr Informationen: https://www.reddit.com/r/ledgerwallet/comments/18i7u23/web3_connector_compromised/
Es sind offensichtlich alle dApps betroffen, die eine Ledger-Anbindung anbieten, also auch Metamask. Sobald man seinen Ledger mit der dApp verbindet wird ein "Drain-Contract" abgesetzt der die Cons auf die Wallet des Angreifers abzieht. Aktuell wurden so bereits ca 610k gestohlen.
Derzeit ist die einzige Möglichkeit sich zu schützen, den Ledger nicht zu verwenden.
Es sind offensichtlich alle dApps betroffen, die eine Ledger-Anbindung anbieten, also auch Metamask. Sobald man seinen Ledger mit der dApp verbindet wird ein "Drain-Contract" abgesetzt der die Cons auf die Wallet des Angreifers abzieht. Aktuell wurden so bereits ca 610k gestohlen.
Derzeit ist die einzige Möglichkeit sich zu schützen, den Ledger nicht zu verwenden.
Das ist nur zum Teil korrekt. Letztendlich muss man den Contract ja auch noch handisch am Gerät selbst bestätigen. Leider wird da immer blind vetraut und der Großteil liest sich aus Bequemlichkeit nicht einmal durch, was man da wirklich signiert.
Aber ja, wenn nicht unbedingt nötig, würde ich den meisten empfehlen, den Ledger momentan nicht zu benutzen, wenn man nicht im Thema ist. Das wäre wohl das Sicherste.
Letztendlich ist es einfach nur ein dummes Overlay über dem eigentlichem Popup sobald man sich mit irgendwelchen dApps wie Metamask oder so verbinden möchte.
Beim Versuch einer Verbindung signiert man dann diesen "Drain-Contract" bei dem die Wallet dann im Endeffekt komplett geleert wird.
Siehe hier:
Man sieht ganz eindeutig sogar noch das offizielle Popup im Hintergrund.
Jump to: