Ledger Hack: So will das Unternehmen Schäden wiedergutmachen

Nach dem Ledger-Hack der vergangenen Woche will das Unternehmen Schäden wiedergutmachen. Dazu kündigte man nicht nur eine Entschädigung von fast 600.000 US-Dollar, sondern auch nachhaltige Verbesserungen in DeFi an.

Ledger Hack: So will das Unternehmen Schäden wiedergutmachen

Nach dem Ledger-Hack von letzter Woche kündigte der französische Hersteller von Hardware Wallets nun nachhaltige Gegenmassnahmen an. Zuerst sei es das Ziel, alle geschädigten Nutzer zu entschädigen, wie das Unternehmen in einer Twitter-Mitteilung verkündete.

Etwa 600.000 US-Dollar Schaden seien entstanden, nachdem ein unbekannter Hacker Zugriff auf die Github-Bibliothek von Ledger erlangen konnte. Durch Schadsoftware wurden die Gelder von Nutzern bei Transaktionen zur Wallet des Angreifers umgeleitet.

Teilweise sei es auch zu Schäden bei Nutzern gekommen, die keine Wallet von Ledger genutzt hatten, erklärte man. Wie es dazu kam, geht aus der Mitteilung allerdings nicht hervor. Der Hack hatte es schliesslich auf das Ledger Connect Kit abgesehen.

“Wir verpflichten uns, […] dass die [Entschädigung] bis Ende Februar 2024 erfolgt. Wir stehen bereits mit vielen betroffenen Nutzern in Kontakt und arbeiten aktiv mit ihnen an den Einzelheiten”, schreibt Ledger.

Nachhaltige Verbesserungen sollen DeFi erreichen

Durch den Vorfall will sich Ledger ausserdem Verpflichten, nachhaltige Verbesserungen in Zusammenarbeit mit der Kryptobranche im DeFi-Sektor zu etablieren. Dabei geht es um die Art und Weise, wie Transaktionen verifiziert werden.

Bisher werden Transaktionen über Ledger-Geräte üblicherweise durch sogenannten Blind Signing vorgenommen. Dabei sieht der Nutzer zwar, dass er eine Transaktion bestätigen soll, wohin genau die Gelder gehen, ist dabei allerdings nicht zu erkennen.

Diese Funktionsweise hatte sich der Angreifer zunutze gemacht, indem er seine eigene Wallet-Adresse gegen die der eigentlich ausgewählten dApps ersetzte. Ledger kündigte deshalb an, Blind Signing generell abzuschaffen.

Wir kündigen an, dass Benutzer ab Juni 2024 nicht mehr in der Lage sein werden, mit Ledger-Geräten Blind Signing zu betreiben.

Ab dann soll nur noch Clear Signing möglich sein. Nutzer sehen in dem Fall ganz genau, an welche Adresse ihre Kryptowährungen transferiert werden. Diese Vorgehensweise soll es Nutzern vereinfachen, die korrekte Adresse zu prüfen, um eine Entwendung zu verhindern.

“Dies wird zu einem neuen Standard zum Schutz der Nutzer und zur Förderung von Clear Signing bei dApps führen”, hofft Ledger.

Die Hoffnung ist durchaus realistisch, denn Ledger ist derzeit der grösste Hersteller von Hardware Wallets, der auf der Erde existiert. Nach dem letzten Vorfall hatten vereinzelte Grössen der Szene bereits dazu aufgerufen, Ledger zu boykottieren. Die Arbeit des Unternehmens sei einfach zu schludrig, so das Argument.

Ledger ruft Nutzer dazu auf, jede Transaktion händisch zu prüfen, um Diebstahl dieser Art zu vermeiden. Dapp-Entwickler ruft Ledger dazu auf, Kontakt aufzunehmen, um die technische Grundlage für Clear Signing auf möglichst vielen dezentralisierten Anwendungen zu verbreiten.

“Wir möchten noch einmal daran erinnern, dass Ledger-Geräte und Ledger Live schon immer sicher waren und durch diese Sicherheitslücke nicht gefährdet wurden”, erklärt Ledger abschliessend.

Quelle