Krypto News: Blockchain-Firma Ledger bestätigt die Kompromittierung von Library ConnectKit

Jimmy Aki
| 2 min read
Ledger
Source: iStock/welcomia

Der Hardware-Wallet-Anbieter Ledger hat seine Nutzer/innen davor gewarnt, sich mit unterstützten dezentralen Anwendungen (dApps) zu verbinden, die seine Software nutzen, da sein Library ConnectKit kompromittiert wurde.

Wie Ledger auf seinem X-Handle (früher Twitter) mitteilte, wurde eine bösartige Version des Library ConnectKit identifiziert und aus dem Backend entfernt.

Daher wird Nutzern dringend geraten, vorübergehend nicht mit dApps zu interagieren. Ledger versicherte jedoch, dass ihre Ledger-Geräte und Ledger Live-Apps von dem schädlichen Code nicht betroffen sind.

Die kompromittierte Bibliothek connectkit wurde zuerst von einem Entwickler auf X mit dem Benutzernamen @bantg entdeckt, der feststellte, dass das Backend der Ledger-Software mit einem Drainer infiziert war.

Der Abfluss wurde angeblich einem Content Delivery Network (CDN) hinzugefügt, in dem die Softwarebibliothek gehostet wurde.

Blockaid erklärte, dass ein Cyberangreifer einen “Wallet-entziehenden Payload in das beliebte NPM-Paket” einschleuste, was zu einer Kompromittierung von dApps führte, die die Versionen 1.14 und höher von Ledgers ConnectKit verwenden.

Matthew Lilley, Chief Technology Officer (CTO) von Sush, gab außerdem bekannt, dass das LedgerHQ/connectkit JS von einem CDN-Konto lädt, das kompromittiert wurde. Infolgedessen wurde ein bösartiger JS-Code in mehrere DApps eingeschleust.

Blockchain-Projekte wie RevokeCash und Kyber Network haben den Vorfall bestätigt. RevokeCash hat daraufhin seine Website kurzzeitig gesperrt, das Problem aber inzwischen behoben, die ausgenutzte Abhängigkeit entfernt und seine Website wieder geöffnet.

Das Projekt rät seinen Nutzern jedoch davon ab, ihre Krypto-Wallets für den Rest des Tages mit einem Blockchain-Protokoll zu verbinden.

Nach Behebung des Problems immer noch nicht sicher


Das Ledger-Protokoll hat den Einsatz authentischer Software bestätigt und arbeitet aktiv daran, die wallet-entziehende Nutzlast aus seinem CDN-Dienst zu entfernen.

Trotz dieser Bemühungen raten Branchenexperten den Krypto-Nutzern zur Vorsicht, wenn sie sich mit Web3-basierten Lösungen beschäftigen.

Ethereum-Kernentwickler Hudson Jameson erklärte, dass Krypto-Nutzer, die eine der zahlreichen dApps besuchen, die mit dem Ledger-Ökosystem verbunden sind, durch Browseraufforderungen wie Metamask ihre Krypto-Wallet-Daten preisgeben könnten.

Diese Schwachstelle birgt das Risiko, dass Assets kompromittiert werden. Um dieses Risiko zu minimieren, wird den Nutzern dringend empfohlen, nicht mit den betroffenen dApps zu interagieren, bis das Update veröffentlicht wird.

Jameson betonte, dass auch nach der Entfernung des bösartigen Codes alle angeschlossenen dApps ihre Bibliotheken aktualisieren müssen, bevor sie als sicher für die Nutzung angesehen werden können.