In der vergangenen Woche hat ein Cyberangriff auf die Ledger Connect Schnittstelle, das Herzstück des bekannten Hardware Wallets Ledger, für Aufsehen gesorgt. Doch was ist wirklich geschehen? Manche Medienberichte könnten den Eindruck erwecken, als wäre Ledger selbst gehackt worden. Dies entspricht jedoch nicht ganz der Wahrheit.
1. Die Rolle der NPM-Javascript-Bibliothek
Tatsächlich wurde der NPM-Zugang (Node Package Manager) gehackt. Dort liegt die Javascript-Bibliothek namens Ledger Connect. Diese Javascript-Bibliothek stellt eine modulare Schnittstelle für Softwareentwickler dar und wird von zahlreichen dezentralen Anwendungen, den sogenannten DApps, genutzt. Um es verständlicher zu machen: Wenn Sie eine Website besuchen und dort Ihre Seite mit Ihrem Ledger verbinden möchten, nutzen die Entwickler dieser Website diese Javascript-Bibliothek.
Ein Mitarbeiter von Ledger scheint hier einen Fehler gemacht zu haben, wodurch ein Hacker Zugriff auf diese Bibliothek erlangte und bösartigen Code einschleusen konnte.
2. Das gefälschte Pop-Up-Fenster
Dieser bösartige Code erzeugte ein neues Pop-Up-Fenster – eine gefälschte Version des Fensters, in dem man normalerweise gefragt wird, ob man seine Seite mit dem Ledger verbinden möchte. Durch die Interaktion mit diesem Fake-Pop-Up war es möglich, dass Geldtransaktionen nicht an den eigenen Ledger gingen, sondern an eine betrügerische Adresse, die Wallet-Adresse des Hackers.
3. Die Folgen des Hacks
Insgesamt wurden durch diesen Vorfall etwa 600.000 Dollar gestohlen. Ledger hat jedoch bereits angekündigt, dass sie die betroffenen Nutzer entschädigen werden. Wichtig ist zu verstehen, dass der eigentliche Ledger nicht gehackt wurde, sondern lediglich die JavaScript-Bibliothek, die eine Verbindung zum Ledger ermöglicht.
4. Mein persönlicher Blick auf das Geschehen
Trotz dieses Vorfalls bleibt mein Vertrauen in Ledger unerschüttert. Fehler können passieren und es spricht für die Firma, dass sie schnell reagiert und Maßnahmen ergriffen hat, um den Schaden zu beheben.
Meiner Meinung nach ist es ratsam, sich auf große Unternehmen wie Ledger zu verlassen, die über ausreichende finanzielle Mittel und Ressourcen verfügen, um solche Vorfälle effektiv zu handhaben. Ich würde daher immer noch empfehlen, ein Hardware-Wallet von Ledger zu verwenden.
