Topic: Ledger (Live) - Angebote / Diskussion / Hilfe - page 4. (Read 22241 times)

Im Reddit-Thread von Ledger findet man ein paar mehr Informationen: https://www.reddit.com/r/ledgerwallet/comments/18i7u23/web3_connector_compromised/

Es sind offensichtlich alle dApps betroffen, die eine Ledger-Anbindung anbieten, also auch Metamask. Sobald man seinen Ledger mit der dApp verbindet wird ein "Drain-Contract" abgesetzt der die Cons auf die Wallet des Angreifers abzieht. Aktuell wurden so bereits ca 610k gestohlen.

Derzeit ist die einzige Möglichkeit sich zu schützen, den Ledger nicht zu verwenden.

Wenn ich es richtig verstehe, bietet Ledger auf Github libaries an, welche dann von "Defi" Providern in ihren DApps genutzt werden können. Das müsste mMn sowohl die Webseiten wie Sushi oder auch alle anderen (Uniswap, 1inch etc.) betreffen, bei denen man seinen Ledger verwenden kann, um dann auf die Coins zum traden, Staken etc. zugreifen zu können. Ich könnte mir sogar vorstellen, dass das auch noch viel weitere Kreise zieht, es gibt ja etliche DApps die Ledger unterstützen, ich denke da z.B. auch an die Avax Wallet und ähnliche. Also im Moment schließe verbinde ich meinen Ledger einfach nicht und verbinde ihn schon gar nicht mit irgendwelchen Seiten. Problematisch wird das z.B. wenn ich demnächst wieder meinen AVAX Validator erneuern will, bin gespannt wie sich das entwickelt...


Was mir noch nicht so ganz klar ist... normalerweise muss man ja am Ledger Transaktionen bestätigen... Also entweder haben sie das automatisiert, oder sie verfälschen dann die Daten nach der Bestätigung...

Ja. Da scheint ja richtig was in Gange zu sein. Sushi Swap usw. soll wohl auch betroffen sein davon. Und etliche mehr.
Twitter Channels melden auch schon einiges:

https://twitter.com/officer_cia/status/1735276914321846498?s=20  
https://twitter.com/bantg/status/1735279127752540465   

Muss mich da auch noch einlesen .

Ich würde das so interpretieren, es ist die Verbindung zu einem externen Wallet gemeint, also alles was nicht direkt in Ledger Live ist. Leider findet man dazu noch sehr wenig Informationen und weiß es daher auch nicht genau.

Ob da Metamask auch betroffen ist, weiß ich jetzt auch nicht, jedenfalls habe ich nur IOTA als externe Wallet auf dem Ledger in Verwendung, aber das lasse ich jetzt mal.

Hier geht es bald nur noch um Schaufeln und Mistgabeln...
Danke für die Warnung Buchi, aber was sind denn diese dApps überhaupt? Nach ganz normalen Coin Apps die man via Ledger Live runterladen kann, klingt das ersrmal nicht für mich.


Das ist ja auch super und ich werde meinen Ledger vorerst nicht mehr anstecken, bevor ich genau weiß worum es hierbei genau geht.

Da ihr den Ledger wieder ausgegraben habt, scheint es eine Sicherheitslücke in der "ledger library" zu geben. Also bis es ein Update gibt, sollte man den Ledger besser nicht mit den dApps verbinden, zumindest habe ich das so gelesen.


Quelle


Quelle

Wie gefährlich diese Lücke jetzt wirklich ist, kann ich selbst nicht beurteilen. Wollte es aber als vorsichtige Warnung an euch weitergeben.

Ich denke, da spielt neben den nachvollziehbaren genannten Gründen auch viel psychologisches und Gewohnheitsmäßiges rein. Ist doch oft so im Leben.

Was @Lakai01 hier sagt, trifft es auf den Punkt.

Es gibt leider bei den Altcoins und insbesondere bei den neuen Altcoin Projekten keine sinnvolle Alternative, wenn man sich nicht auf die hauseigenen Software-Wallets der Coins verlassen möchte. Und die ist ja meist noch unsicherer als der Ledger. An der Altcoin-Hardware-Wallet-Front bleibt dann auch Monate nach dem Fiasko nur Ledger und mit Abstrichen Trezor. Aber selbst bei diesem dauert es meist ewig bis ein neuer Altcoin unterstützt wird, wenn er denn überhaupt kommt.


Dennoch hat @sam00 natürlich recht. Die Probleme sind immer noch da und auch wenn man den Ledger notgedrungen für Altcoins noch nutzt, ist es sicherlich sinnvoll zumindest für Bitcoin eine Alternative zu suchen, wenn man es bis heute noch nicht getan hat.

Aber wie immer muss das ja jeder selbst entscheiden. Mehr als darauf hinweisen kann man ja auch nicht.

Vielen Dank für die Einblicke

Kann ich auf jeden Fall nachvollziehen. Ich hatte mir bei dem "Skandal" damasl auch direkt einen Trezor bestellt und dieser liegt seitdem unbenutzt im Schreibtisch.

Was ich nur komisch finde, ist , dass die Gefahr, die man damals gesehen hat ja nicht weg ist. Der Code ist immer noch closed source und man weiß doch bis heute nicht sicher, ob Ledger nicht auch ohne unsere Zustimmung unsere Seeds auslesen kann.

Ich nutze meinen alten S auch noch (der ist ja auch davon nicht betroffen), aber sollte es einmal keine Unterstützung mehr geben für den S werde ich mir keinen Ledger mehr holen, also so lange nutzen bis er nicht mehr funktioniert oder der Support eingestellt wird.

Bei den Integrationen ist es leider so wie von Lakai01 beschrieben, die Unterstützungen kommen immer zuerst für den Ledger. Aber das kann natürlich auch der Konsument ändern, steigt der Marktanteil von Trezor werden sich die einzelnen Entwickler mehr um den Trezor kümmern.

Für mich ist der Grund wesentlich banaler: Webwallets, die ich nutze (bspw von Avalanche) unterstützen allesamt nur Ledger. Auch neuere Projekte wie A0 oder KAS arbeiten zuerst an einer Ledgerintegration bevor überhaupt über weitere HW-Wallets nachgedacht wird - abseits von Exoten.
Für mich fehlt derzeit also einfach die Alternative, selbst Trezor wird ja nur sehr spärlich unterstützt ... würde aber lieber heute als morgen wechseln wollen.

Bzgl dem Update: sofern du das Firmware Update nicht einspielst kann dein Nano X das nicht. Hier ist nur die Frage, ab wann bspw. Ledger Live nur mehr Sticks mit dem neuesten Update unterstützt (die Frage nach "ob" stellt sich hier nicht, das kommt garantiert).

Also ich finde es ist hier schon um einiges ruhiger geworden weil a) dank Ledgers Firmenpolitik sich jetzt einige alternative Hardware Wallets zugelegt haben und b) weil man nicht wochenlang auf ein und dem selben Thema hier rumhacken sollte, weil es eh nichts mehr ändert.

Einige Kunden benutzen ihre Ledger eben doch noch, ich auch. Ich hoffe aber inständig, dass die 3 Parteien Seed Sicherung für immer nur optional bleibt und nicht heimlich im Hintergrund bei allen Kunden statt finden wird!


Die Mistgabeln stehen jederzeit griffbereit. So oft wie Ledger es schafft hinrissigen Mist zu verzapfen, lohnt es sich nicht mehr die wegzustellen.

Das ich hier die Ledger Angebote poste, wenn sie mir über den Weg laufen, liegt auch mit am Thema des Fadens

Es haben fast alle ordentlich geschimpft. Aber ich Wette das mehr als 90% immer noch den Stick oder die Sticks haben.
Und da die Adressen ja eh schon bekannt sind kann man das Teil auch behalten. Ich selbst habe sie auch noch und behalte diese.
Habe etwas besseres noch nicht in den Fingern gehabt. Warum ? Noch nie etwas anderes bestellt.
Und so lange ich denke das ich sicher bin bleibe ich auch dabei.
Und wenn man bedenkt das ich im Nov. 2020 ganze 71,40 Euro incl. Versand für den Nano X bezahlt habe dann haben sie den dieses Jahr nicht verramscht.
Scheinbar läuft der Laden dennoch und sie brauchen keine Top Angebote raushauen. Siehe Black Friday etc.

Ich war jetzt ein paar Monate nicht hier aber habe den Eindruck, dass sich Ledgers Ruf (zumindest im deutschen Bereich) wieder stark gebessert hat, weil wieder fleißig Angebote gepostet werden usw.

Gab es einen bestimmten Grund, weil nach dem Fiasko mit den Seeds ja eigentlich alle die Mistgabeln rausgeholt haben?

In den letzten Jahren, wäre ich garantiert nicht der Erste gewesen der die aktuellen Weihnachtsangebote von Ledger hier postet
Zeiten ändern sich.
Aber wer noch einen rubinroten Ledger Nano S Plus, Ledger Nano X oder das Ledger Nano Rubinrot-Duo sein eigen nennen möchte, bekommt ihn/es jetzt mit 20% Weihnachtsrabatt


Quelle: https://shop.ledger.com/de/pages/holiday-offer-ruby-red#offers

Vermutlich hast du Recht und so wie du schon sagst, selbst bei 0.1% von 10.000 Personen würde es sich ja auszahlen. Man selbst sollte ja auch nie groß reden, dann ist man blöderweise nur einmal nicht achtsam und wird auch Opfer von so einem Scam Versuch. Das einzige was wir tun können ist die Leute zu sensibilisieren.

Heute begrüsste mir die Ledger Live App mit neuen Black Friday Angeboten


Quelle: https://shop.ledger.com/pages/black-friday

Ich wusste erst nicht so recht ob ich es hier schreiben soll, aber der Titel des Fadens heisst ja immer noch "Ledger (Live) - Angebote / Diskussion / Hilfe".
Wer also noch nicht die Nase voll hat von Ledger und deren Firmenpolitik, könnte sich evtl eines der Angebote sichern.

Da wäre ich mir gar nicht mal so sicher wenn man sich die diversen Reddit-Beiträge oder Scamversuche über Telegram so ansieht. Auch das klassische "Vitalik streamed gerade auf Youtube und verschenkt ETH!!" sieht man ja nach wie vor auf allen möglichen Plattformen, angefangen von TikTok über Facebook bis hin zu X.

Die Scamer arbeiten hier eher nach dem "Masse statt Klasse"-Prinzip und versuchen ihre Angriffe soweit wie möglich zu streuen. Wenn von 10.000 Versuchen nur 0,1% Erfolg haben hat es sich für die Angreifer ja schon gelohnt.

Die Ledger-Hacks sind insofern gefährlich, weil man hier gezielte Angriffe durchführen kann. Wenn man bspw. eine Mail mit persönlicher Anrede und Anschrift bekommt wirkt das deutlich seriöser als die "Dear Customer!"-Massenmails und man fällt definitiv leichter darauf herein. Wenn man das dann auch noch in Verbindung mit einem "ihr Ledger mit dem Kaufdatum von xx.xx.xxxx ist leider defekt, Sie müssen zur Sicherung ihrer Coins hier ihren Code eingeben", dann fallen da garantiert viele (technisch unbedarftere) Kunden von Ledger drauf rein. Die Ledger in meinem Freundeskreis gingen zum großen Teil an Personen die weit unter 1 BTC verfügen und sich den Ledger eher nur auf Anraten durch affinere Personen gekauft haben, weniger aufgrund des eigenen Bedürfnisses.

Wobei ich anmerken muss, dass es vermutlich im Kundenkreis von Ledger (vergleichsweise mit  gestohlenen Kundendaten anderer Unternehmen) nicht viele Personen mit den von dir genannten Eigenschaften auffindbar sein werden. Immerhin sprechen wir hier von Menschen mit einem besonderen Sicherheitsinteresse. Ein Laie kauft (kaum) einen Ledger um seine Kryptos ordentlich abzusichern. Du hast aber absolut Recht, wir hier im Forum sind bestimmt sehr vorsichtig mit solchen Scam-Mails aber ich gehe davon aus, dass die Mehrheit der Ledger Besitzer diese Merkmale aufweisen wird.

Wer letztendlich wirklich bei diesen Betrugsversuchen Opfer wird ist mir nicht ganz klar. Überwiegend sind es bei Mail-Scams und telefonischen Betrugsversuchen eher betagte Menschen die teilweise auch verwirrt sind.

Das halte ich genauso. Normalerweise hilft jedoch auch bereits ein Blick auf die Mailadresse des Absenders. Steht da bspw. [email protected] oder noch besser "[email protected]" weiß man eigentlich schon recht gut, woran man ist.

Das Problem ist jedoch folgendes: "Wir" sind nicht die Zielgruppe der Scamer, also Personen, die sich grundsätzlich sehr gut in der Materie auskennen und dementsprechend auch vorsichtig agieren. Zielgruppe sind Leute, die relativ unbedarft im Internet unterwegs sind und sich auch dazu hinreissen lassen, solche Links zu klicken. Diese bringt man dann leider auch recht einfach um ihre sauer verdienten BTC, sei es über gefakte Ledger-Live-Applikationen oder Webseiten, wo der Mnemonic Code eingegeben werden muss, um "wieder Zugriff auf die Coins zu bekommen".

Hier helfen leider auch die besten Schutzmaßnahmen von Browsern, Mailprogrammen und die eindringlichsten Appelle nichts wenn die Opfer leichtfertig auf Links klicken und auch noch leichtfertig mit dem Mnemonic Code hantieren.