Hacker haben den Code hinter einem Kryptoprotokoll kompromittiert, das von mehreren Web3-Anwendungen und -Diensten verwendet wird, sagte der Softwarehersteller Ledger am Donnerstag.
Ledger, ein Unternehmen, das unter anderem ein weit verbreitetes und beliebtes Krypto-Hardware- und Software-Wallet herstellt, gab dies auf X (ehemals Twitter) bekannt Jemand hatte eine „bösartige Version“ seines Ledger Connect Kits herausgebrachteine Bibliothek, die von anderen Unternehmen und Projekten erstellte dezentrale Apps (dApps) verwenden, um eine Verbindung zum Ledger-Wallet-Dienst herzustellen.
„Eine echte Version wird jetzt gedrängt, um die schädliche Datei zu ersetzen. Interagieren Sie im Moment nicht mit dApps. Wir werden Sie über die Entwicklung der Situation auf dem Laufenden halten“, schrieb Ledger.
Bald darauf Ledger habe ein Update gepostet Die Hacker hätten die Originalversion ihrer Software etwa sechs Stunden zuvor ausgetauscht und das Unternehmen untersuche den Vorfall und werde „einen umfassenden Bericht vorlegen, sobald dieser fertig sei.“
Ledger-Sprecher Phillip Costigan gab keine Kommentare ab, die über die Angaben des Unternehmens auf seinem offiziellen X-Konto hinausgingen.
Das Unternehmen sagt Es wurden sechs Millionen Einheiten verkauft seiner Hardware-Wallet und Ledger Live, sein Software-Äquivalent, wird von 1,5 Millionen Benutzern verwendet. Es wird nicht angenommen, dass das Ledger-Hardware-Wallet von dem Hack betroffen ist.
Tal Be’ery, der Mitbegründer der Krypto-Wallet ZenGo, sagte gegenüber Tech, dass die Hacker im Wesentlichen eine bösartige Version der Software herausgebracht hätten, die darauf ausgelegt sei, Benutzer dazu zu verleiten, ihre Wallets und Vermögenswerte mit der bösartigen Version der Software zu verknüpfen.
Kontaktiere uns
Haben Sie weitere Informationen zu diesem Hack? Wir würden uns freuen, von Ihnen zu hören. Sie können Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, per Telegram, Keybase und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.
Das würde es den Hackern ermöglichen, die Krypto in den Wallets der Benutzer zu entleeren – solange die Benutzer den Drang akzeptieren, ihre Wallets mit der bösartigen Ledger-Version zu verbinden.
Es ist nicht sofort klar, wie viele Menschen dem Hack zum Opfer fielen. ZachXBT, ein bekannter unabhängiger Kryptoforscher, schrieb auf X, dass ein Opfer Mehr als 600.000 US-Dollar an Kryptowährungen wurden von ihrem Konto abgebucht.
Mehrere Blockchain-Sicherheitsforscher sowie Personen, die in der Web3-Branche tätig sind, warnten Benutzer in sozialen Medien vor dem Supply-Chain-Hack gegen Ledger.
Matthew Lilley, der Chief Technology Officer der Kryptowährungs-Handelsplattform Sushi, war einer der ersten, der den Angriff bemerkte und die Neuigkeiten teilte.
„Ich würde empfehlen, niemals mit einem zu interagieren [decentralized app] Immer wieder und ehrlich, machen Sie einfach mit Ihrem Leben weiter“, sagte Joseph Delong, CTO der NFT-Kreditplattform AstariaXYZ. scherzte über XDies bezieht sich auf die Tatsache, dass Ledger die bekanntermaßen unsichere Programmiersprache Java verwendet.