Ich hoffe, hier ist keiner zu Schaden gekommen!
Ich war nie ein Freund von Ledger und seit dem damaligen Klau der Adressen von Ledger-Bestellern (deren Nachwirkungen in Form von unendlich vielen Spam immer noch bei mir wirken) will ich mit denen so wie so nichts zu tun haben.
Ich wurde heute übrigens von dem Rechtsanwalt-Team, die sich um Entschädigung bemühen, angeschrieben. Man teilte mir folgendes mit:
Zitat:
Der Europäische Gerichtshof hat gestern in zwei lang erwarteten Entscheidungen Ihre Rechte ganz erheblich gestärkt. Wir haben uns daher entschieden, Ihren Anspruch schon jetzt final durchzusetzen, auch wenn unsere Pilotverfahren in dieser Sache noch nicht rechtskräftig abgeschlossen sind.
Zitat Ende
Das kann also für Ledger auch noch ein größeres Problem werden...
Topic: Ledger (Live) - Angebote / Diskussion / Hilfe - page 5. (Read 23186 times)
So eine Sicherheitslücke will man echt nicht bei einem Hardware Wallet sehen. Wenn der Code open source wäre, hätte das vielleicht irgend ein White Hack Hacker erkannt und es wären keine Gelder verloren gegangen oder ist diese Schnittstelle sogar Open Source? Falls nicht, frage ich mich sowieso, wie sowas ausgenutzt werden kann...
Der Code selbst ist sogar open source: https://github.com/LedgerHQ/connect-kit/tree/main/packages/connect-kitLedger hat das Problem mittlerweile auch schon behoben:
Quelle
Es soll heute im Laufe des Tages dazu auch eine detaillierte Auflistung erscheinen, wie das passieren konnte. Da bin ich aus technischer Sicht schon sehr gespannt drauf.
Anscheinend waren lt. dem CEO von SushiSwap nicht nur Ledger-User betroffen:
Quote
Nach Angaben von Metamask könnten jedoch nicht nur Ledger-Nutzer betroffen gewesen sein. Nutzern wird geraten, den Browser Cache zu löschen und die jeweiligen dApps neu zu laden bzw. auf eine konkrete Information der verwendeten Wallet-Anbieter und Anwendungen zu warten.
Quelle
Quelle
Der Fall zeigt, wie wichtig die genaue Kontrolle dessen ist, was der Ledger vor der Signierung anzeigt. Das muss einfach zu 100% mit dem übereinstimmen, was man machen möchte. Wenn dem nicht so ist, muss die Transaktion auf alle Fälle gestoppt werden. Viele klicken sich halt aus Bequemlichkeit über die Bestätigungen einfach hinweg ohne diese genauer zu lesen.
ist ja echt übel, NFTs wurde auch transferiert, da hat jemand ganze Arbeit geleistet... Bin mal gespannt, ob Ledger dafür aufkommt....
und dies soll wohl die hacker/scammer adresse sein, wo alle altcoins hinbewegt wurden sind:
https://etherscan.io/address/0x658729879fca881d9526480b82ae00efc54b5c2d
https://etherscan.io/address/0x658729879fca881d9526480b82ae00efc54b5c2d
Da meint man das man mit einem Hardware wallet sicher ist aber pustekuchen.
Hier ein Artikel dazu
https://www.btc-echo.de/schlagzeilen/sicherheitsluecke-im-ledger-code-176080/
Also aufpassen was man gerade wie macht…
Viele Grüße
Willi
Hier ein Artikel dazu
https://www.btc-echo.de/schlagzeilen/sicherheitsluecke-im-ledger-code-176080/
Also aufpassen was man gerade wie macht…
Viele Grüße
Willi
Habe es vorhin von einem Kumpel erfahren und musste direkt an den Thread denken 
So eine Sicherheitslücke will man echt nicht bei einem Hardware Wallet sehen. Wenn der Code open source wäre, hätte das vielleicht irgend ein White Hack Hacker erkannt und es wären keine Gelder verloren gegangen oder ist diese Schnittstelle sogar Open Source? Falls nicht, frage ich mich sowieso, wie sowas ausgenutzt werden kann...
So eine Sicherheitslücke will man echt nicht bei einem Hardware Wallet sehen. Wenn der Code open source wäre, hätte das vielleicht irgend ein White Hack Hacker erkannt und es wären keine Gelder verloren gegangen oder ist diese Schnittstelle sogar Open Source? Falls nicht, frage ich mich sowieso, wie sowas ausgenutzt werden kann...
und dies soll wohl die hacker/scammer adresse sein, wo alle altcoins hinbewegt wurden sind:
https://etherscan.io/address/0x658729879fca881d9526480b82ae00efc54b5c2d
https://etherscan.io/address/0x658729879fca881d9526480b82ae00efc54b5c2d
Das ist nur zum Teil korrekt. Letztendlich muss man den Contract ja auch noch handisch am Gerät selbst bestätigen. Leider wird da immer blind vetraut und der Großteil liest sich aus Bequemlichkeit nicht einmal durch, was man da wirklich signiert.
Ja, den Contract muss man natürlich bestätigen, wenn man den aber nicht genau liest glaubt man, dass man die Verbindung mit Metamask signieren muss und führt das natürlich durch. Man muss also auch als versierter Nutzer höllisch aufpassen was man macht. Das große Problem wird auch sein, dass die dApps die gefixte Version aktiv einbinden müssen. Man weiß also als Enduser erstmal nicht, ob die verwendete App schon wieder sicher ist oder nicht ...
Letztendlich muss man den Contract ja auch noch handisch am Gerät selbst bestätigen. Leider wird da immer blind vetraut und der Großteil liest sich aus Bequemlichkeit nicht einmal durch, was man da wirklich signiert.
Was müsste man denn lesen, wenn es korrekt wäre bzw. was, wenn es ein Scam wäre?
~
Man sieht ganz eindeutig sogar noch das offizielle Popup im Hintergrund.
Man sieht ganz eindeutig sogar noch das offizielle Popup im Hintergrund.
Also das Popup im Vordergrund ist also Scam Popup, verstehe ich das richtig? Da hat sich also Ledger wieder ein Stückchen geliefert oder ist ja auf Ledgers Mist gewachsen (die libaries werden ja von Ledger auf Github angeboten)? Jetzt wäre schön langsam Gras über die eingebaute Sicherheitslücke gewachsen und jetzt das.
Im Reddit-Thread von Ledger findet man ein paar mehr Informationen: https://www.reddit.com/r/ledgerwallet/comments/18i7u23/web3_connector_compromised/
Es sind offensichtlich alle dApps betroffen, die eine Ledger-Anbindung anbieten, also auch Metamask. Sobald man seinen Ledger mit der dApp verbindet wird ein "Drain-Contract" abgesetzt der die Cons auf die Wallet des Angreifers abzieht. Aktuell wurden so bereits ca 610k gestohlen.
Derzeit ist die einzige Möglichkeit sich zu schützen, den Ledger nicht zu verwenden.
Es sind offensichtlich alle dApps betroffen, die eine Ledger-Anbindung anbieten, also auch Metamask. Sobald man seinen Ledger mit der dApp verbindet wird ein "Drain-Contract" abgesetzt der die Cons auf die Wallet des Angreifers abzieht. Aktuell wurden so bereits ca 610k gestohlen.
Derzeit ist die einzige Möglichkeit sich zu schützen, den Ledger nicht zu verwenden.
Das ist nur zum Teil korrekt. Letztendlich muss man den Contract ja auch noch handisch am Gerät selbst bestätigen. Leider wird da immer blind vetraut und der Großteil liest sich aus Bequemlichkeit nicht einmal durch, was man da wirklich signiert.
Aber ja, wenn nicht unbedingt nötig, würde ich den meisten empfehlen, den Ledger momentan nicht zu benutzen, wenn man nicht im Thema ist. Das wäre wohl das Sicherste.
Letztendlich ist es einfach nur ein dummes Overlay über dem eigentlichem Popup sobald man sich mit irgendwelchen dApps wie Metamask oder so verbinden möchte.
Beim Versuch einer Verbindung signiert man dann diesen "Drain-Contract" bei dem die Wallet dann im Endeffekt komplett geleert wird.
Siehe hier:
Man sieht ganz eindeutig sogar noch das offizielle Popup im Hintergrund.
Im Reddit-Thread von Ledger findet man ein paar mehr Informationen: https://www.reddit.com/r/ledgerwallet/comments/18i7u23/web3_connector_compromised/
Es sind offensichtlich alle dApps betroffen, die eine Ledger-Anbindung anbieten, also auch Metamask. Sobald man seinen Ledger mit der dApp verbindet wird ein "Drain-Contract" abgesetzt der die Cons auf die Wallet des Angreifers abzieht. Aktuell wurden so bereits ca 610k gestohlen.
Derzeit ist die einzige Möglichkeit sich zu schützen, den Ledger nicht zu verwenden.
Es sind offensichtlich alle dApps betroffen, die eine Ledger-Anbindung anbieten, also auch Metamask. Sobald man seinen Ledger mit der dApp verbindet wird ein "Drain-Contract" abgesetzt der die Cons auf die Wallet des Angreifers abzieht. Aktuell wurden so bereits ca 610k gestohlen.
Derzeit ist die einzige Möglichkeit sich zu schützen, den Ledger nicht zu verwenden.
Wenn ich es richtig verstehe, bietet Ledger auf Github libaries an, welche dann von "Defi" Providern in ihren DApps genutzt werden können. Das müsste mMn sowohl die Webseiten wie Sushi oder auch alle anderen (Uniswap, 1inch etc.) betreffen, bei denen man seinen Ledger verwenden kann, um dann auf die Coins zum traden, Staken etc. zugreifen zu können. Ich könnte mir sogar vorstellen, dass das auch noch viel weitere Kreise zieht, es gibt ja etliche DApps die Ledger unterstützen, ich denke da z.B. auch an die Avax Wallet und ähnliche. Also im Moment schließe verbinde ich meinen Ledger einfach nicht und verbinde ihn schon gar nicht mit irgendwelchen Seiten. Problematisch wird das z.B. wenn ich demnächst wieder meinen AVAX Validator erneuern will, bin gespannt wie sich das entwickelt...
Was mir noch nicht so ganz klar ist... normalerweise muss man ja am Ledger Transaktionen bestätigen... Also entweder haben sie das automatisiert, oder sie verfälschen dann die Daten nach der Bestätigung...
Was mir noch nicht so ganz klar ist... normalerweise muss man ja am Ledger Transaktionen bestätigen... Also entweder haben sie das automatisiert, oder sie verfälschen dann die Daten nach der Bestätigung...
Das ist ja auch super und ich werde meinen Ledger vorerst nicht mehr anstecken, bevor ich genau weiß worum es hierbei genau geht.
Twitter Channels melden auch schon einiges:
https://twitter.com/officer_cia/status/1735276914321846498?s=20
https://twitter.com/bantg/status/1735279127752540465
Muss mich da auch noch einlesen .
Hier geht es bald nur noch um Schaufeln und Mistgabeln...
Danke für die Warnung Buchi, aber was sind denn diese dApps überhaupt? Nach ganz normalen Coin Apps die man via Ledger Live runterladen kann, klingt das ersrmal nicht für mich.
Danke für die Warnung Buchi, aber was sind denn diese dApps überhaupt? Nach ganz normalen Coin Apps die man via Ledger Live runterladen kann, klingt das ersrmal nicht für mich.
Ich würde das so interpretieren, es ist die Verbindung zu einem externen Wallet gemeint, also alles was nicht direkt in Ledger Live ist. Leider findet man dazu noch sehr wenig Informationen und weiß es daher auch nicht genau.
Ob da Metamask auch betroffen ist, weiß ich jetzt auch nicht, jedenfalls habe ich nur IOTA als externe Wallet auf dem Ledger in Verwendung, aber das lasse ich jetzt mal.
Da ihr den Ledger wieder ausgegraben habt, scheint es eine Sicherheitslücke in der "ledger library" zu geben.
Hier geht es bald nur noch um Schaufeln und Mistgabeln...
Danke für die Warnung Buchi, aber was sind denn diese dApps überhaupt? Nach ganz normalen Coin Apps die man via Ledger Live runterladen kann, klingt das ersrmal nicht für mich.
Wie gefährlich diese Lücke jetzt wirklich ist, kann ich selbst nicht beurteilen. Wollte es aber als vorsichtige Warnung an euch weitergeben.
Das ist ja auch super und ich werde meinen Ledger vorerst nicht mehr anstecken, bevor ich genau weiß worum es hierbei genau geht.
Da ihr den Ledger wieder ausgegraben habt, scheint es eine Sicherheitslücke in der "ledger library" zu geben. Also bis es ein Update gibt, sollte man den Ledger besser nicht mit den dApps verbinden, zumindest habe ich das so gelesen.
Quelle
Quelle
Wie gefährlich diese Lücke jetzt wirklich ist, kann ich selbst nicht beurteilen. Wollte es aber als vorsichtige Warnung an euch weitergeben.
Quote
🚨 ledger library confirmed compromised and replaced with a drainer. wait out interacting with any dapps till things become clearer.
Quelle
Quote
Lets break this down for Ledger users!
👉Risk of Funds: There is a potential risk to the funds stored in the #Ledger if they interact with #dApps using this compromised library.
👉Avoid dApp Interactions: Ledger owners should avoid connecting their Ledger to any dApps until it is confirmed to be safe, as this could trigger the drainer script and lead to loss of funds.
👉Need for Vigilance: Owners should monitor official channels from Ledger for updates and instructions on how to proceed.
👉Update and Verification: It may be necessary to update the Ledger firmware or software once a fix is available, ensuring it's downloaded from the official Ledger website.
👉Security Measures: Users should also consider changing passwords and checking for any unauthorized transactions.
👉Risk of Funds: There is a potential risk to the funds stored in the #Ledger if they interact with #dApps using this compromised library.
👉Avoid dApp Interactions: Ledger owners should avoid connecting their Ledger to any dApps until it is confirmed to be safe, as this could trigger the drainer script and lead to loss of funds.
👉Need for Vigilance: Owners should monitor official channels from Ledger for updates and instructions on how to proceed.
👉Update and Verification: It may be necessary to update the Ledger firmware or software once a fix is available, ensuring it's downloaded from the official Ledger website.
👉Security Measures: Users should also consider changing passwords and checking for any unauthorized transactions.
Quelle
Wie gefährlich diese Lücke jetzt wirklich ist, kann ich selbst nicht beurteilen. Wollte es aber als vorsichtige Warnung an euch weitergeben.
Was ich nur komisch finde, ist , dass die Gefahr, die man damals gesehen hat ja nicht weg ist. Der Code ist immer noch closed source und man weiß doch bis heute nicht sicher, ob Ledger nicht auch ohne unsere Zustimmung unsere Seeds auslesen kann.
Ich denke, da spielt neben den nachvollziehbaren genannten Gründen auch viel psychologisches und Gewohnheitsmäßiges rein. Ist doch oft so im Leben.
Für mich ist der Grund wesentlich banaler: Webwallets, die ich nutze (bspw von Avalanche) unterstützen allesamt nur Ledger. Auch neuere Projekte wie A0 oder KAS arbeiten zuerst an einer Ledgerintegration bevor überhaupt über weitere HW-Wallets nachgedacht wird - abseits von Exoten.
Für mich fehlt derzeit also einfach die Alternative, selbst Trezor wird ja nur sehr spärlich unterstützt ... würde aber lieber heute als morgen wechseln wollen.
Für mich fehlt derzeit also einfach die Alternative, selbst Trezor wird ja nur sehr spärlich unterstützt ... würde aber lieber heute als morgen wechseln wollen.
Was @Lakai01 hier sagt, trifft es auf den Punkt.
Es gibt leider bei den Altcoins und insbesondere bei den neuen Altcoin Projekten keine sinnvolle Alternative, wenn man sich nicht auf die hauseigenen Software-Wallets der Coins verlassen möchte. Und die ist ja meist noch unsicherer als der Ledger. An der Altcoin-Hardware-Wallet-Front bleibt dann auch Monate nach dem Fiasko nur Ledger und mit Abstrichen Trezor. Aber selbst bei diesem dauert es meist ewig bis ein neuer Altcoin unterstützt wird, wenn er denn überhaupt kommt.
Was ich nur komisch finde, ist , dass die Gefahr, die man damals gesehen hat ja nicht weg ist. Der Code ist immer noch closed source und man weiß doch bis heute nicht sicher, ob Ledger nicht auch ohne unsere Zustimmung unsere Seeds auslesen kann.
Dennoch hat @sam00 natürlich recht. Die Probleme sind immer noch da und auch wenn man den Ledger notgedrungen für Altcoins noch nutzt, ist es sicherlich sinnvoll zumindest für Bitcoin eine Alternative zu suchen, wenn man es bis heute noch nicht getan hat.
Aber wie immer muss das ja jeder selbst entscheiden. Mehr als darauf hinweisen kann man ja auch nicht.
Vielen Dank für die Einblicke 
Kann ich auf jeden Fall nachvollziehen. Ich hatte mir bei dem "Skandal" damasl auch direkt einen Trezor bestellt und dieser liegt seitdem unbenutzt im Schreibtisch.
Was ich nur komisch finde, ist , dass die Gefahr, die man damals gesehen hat ja nicht weg ist. Der Code ist immer noch closed source und man weiß doch bis heute nicht sicher, ob Ledger nicht auch ohne unsere Zustimmung unsere Seeds auslesen kann.
Kann ich auf jeden Fall nachvollziehen. Ich hatte mir bei dem "Skandal" damasl auch direkt einen Trezor bestellt und dieser liegt seitdem unbenutzt im Schreibtisch.
Was ich nur komisch finde, ist , dass die Gefahr, die man damals gesehen hat ja nicht weg ist. Der Code ist immer noch closed source und man weiß doch bis heute nicht sicher, ob Ledger nicht auch ohne unsere Zustimmung unsere Seeds auslesen kann.
Ich war jetzt ein paar Monate nicht hier aber habe den Eindruck, dass sich Ledgers Ruf (zumindest im deutschen Bereich) wieder stark gebessert hat, weil wieder fleißig Angebote gepostet werden usw.
Gab es einen bestimmten Grund, weil nach dem Fiasko mit den Seeds ja eigentlich alle die Mistgabeln rausgeholt haben?
Gab es einen bestimmten Grund, weil nach dem Fiasko mit den Seeds ja eigentlich alle die Mistgabeln rausgeholt haben?
Ich nutze meinen alten S auch noch (der ist ja auch davon nicht betroffen), aber sollte es einmal keine Unterstützung mehr geben für den S werde ich mir keinen Ledger mehr holen, also so lange nutzen bis er nicht mehr funktioniert oder der Support eingestellt wird.
Bei den Integrationen ist es leider so wie von Lakai01 beschrieben, die Unterstützungen kommen immer zuerst für den Ledger. Aber das kann natürlich auch der Konsument ändern, steigt der Marktanteil von Trezor werden sich die einzelnen Entwickler mehr um den Trezor kümmern.
Jump to: