Der heute aufgetretene Exploit in der Ledger Library, die in viele Krypto-Projekte integriert ist, hat weit verbreitete Besorgnis und Marktinstabilität ausgelöst. Dieses Ereignis verdeutlicht die allgegenwärtigen Risiken in der digitalen Vermögenslandschaft, insbesondere im aufstrebenden Bereich der dezentralen Finanzen (DeFi).
Der Kern der Krise liegt in einer kritischen Schwachstelle in der "LedgerHQ"-Bibliothek, einer Softwarekomponente, welche von verschiedenen dezentralen Anwendungen (Dapps) verwendet wird. Die Sicherheitslücke ermöglichte das Einschleusen von bösartigem Code in die Frontends zahlreicher Dapps und setzte die Nutzer und ihr Vermögen einem erheblichen Risiko aus.
Ledger Library als Übertragungsmedium
Die Art von Schwachstelle, welche ausgenutzt wurde, wird oft als "Lieferkettenangriff" (engl. supply chain attack) bezeichnet. Dabei stellt nicht das Endprodukt die Angriffsfläche dar, sondern ein Bestandteil davon. Solche Angriffe sind besonders heimtückisch, weil sie gleichzeitig mehrere Systeme angreifen können, die dieselbe kompromittierte Komponente nutzen. In diesem Fall fungierte die Ledger Library als Kanal und verbreitete den bösartigen Code schnell über verschiedene Plattformen. Diese weitreichende Auswirkung unterstreicht die Vernetzung moderner Kryptoplattformen und die Kaskadeneffekte, die durch einen einzigen Ausfallpunkt entstehen können.
ledger asks to use connect-kit loader to load connect-kit, but even if you follow the best practices and pin the version of the loader loader, it fetches the latest version of connect-kit >=1.0.0, <2.0.0.
this has allowed the attackers to infiltrate a shitton of libraries by…
— banteg (@bantg) December 14, 2023
Die Reaktion von Ledger und die Nachwirkungen
Als Reaktion auf diese Krise hat Ledger, der Hersteller der bekannten Hardware-Wallet und Ersteller der kompromittierten Bibliothek, schnell gehandelt. Sie identifizierten und entfernten die bösartige Version ihrer Software und veröffentlichten ein Update, um die Schwachstelle zu beheben. Trotzdem gelang es dem Angreifer, in den wenigen Stunden, in denen die Sicherheitslücke bestand, rund 600'000 USD aus Wallets zu ziehen.
Die schnelle Reaktion von Ledger war vorbildlich, um weitere Verluste zu verhindern und das Vertrauen in die Systeme wiederherzustellen. Sie forderten die Nutzer über X, vormals Twitter, dazu auf, vorerst auf Interaktionen mit dezentralen Anwendungen zu vermeiden bis das Problem vollständig behoben ist. Weder auf der Status Seite, im hauseigenen Blog, noch im Developer-Portal ist der Vorfall erwähnt.
🚨We have identified and removed a malicious version of the Ledger Connect Kit. 🚨
A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.
Your Ledger device and…
— Ledger (@Ledger) December 14, 2023
Für die Dapp-Nutzer gilt es zu beachten, dass das Update der Library nicht nur Ledger-Nutzer betrifft und zuerst noch von allen Projekten implementiert werden muss. Die Gefahr für die Benutzer ist noch keineswegs gebannt. Dieser Vorfall erinnert uns daran, wie wichtig strenge Sicherheitsprotokolle und schnelle Krisenreaktionsmechanismen in der Kryptoindustrie sind.