• Das etablierte Hardware-Unternehmen Ledger stand in den letzten Monaten häufiger in der Kritik und Wallet-Alternativen werden zunehmend interessanter.
  • Gestern hat das Unternehmen bestätigt, dass in der Bibliothek von Ledger eine Schwachstelle entdeckt wurde, die eine Reihe von Web3-Interaktionen beeinträchtigt und einen Schaden von bislang über 610.000 USD verursacht hat.
  • Ledger hat in Zusammenarbeit mit WalletConnect jedoch schnell reagiert und die betroffene schädliche Datei innerhalb von vierzig Minuten nach Entdeckung des Exploits erfolgreich deaktiviert.
  • Konkurrenzmodelle von BitBox sind unserer Meinung nach die beste Alternative und schneiden in unserem Hardware-Wallet-Vergleich positiv ab.

Ledger bestätigt Sicherheitslücke: Über 600.000 US-Dollar angeblich kompromittiert

Vor kurzem haben Kryptowährungsexperten, darunter der beliebte On-Chain-Ermittler ZachXBT, eine anhaltende Schwachstelle im Zusammenhang mit verschiedenen Web3-Interaktionen in der Bibliothek von Ledger bemerkt.

Ledger bestätigte die Schwachstelle auf X

In einem offiziellen Tweet bestätigte das Unternehmen die Sicherheitslücke und wies ihre Nutzer ausdrücklich darauf hin, nicht mit dApps zu interagieren. Das Unternehmen bestätigte aber auch, dass Ledger-Geräte und die Ledger Live-App NICHT kompromittiert wurden.

»Wir haben eine schädliche Version des Ledger Connect Kit identifiziert und entfernt und bieten derzeit eine Originalversion als Ersatz für die Schaddatei an. Wir werden Sie über die Entwicklung der Situation auf dem Laufenden halten«, heißt es von Seite des Unternehmens.

In der Zwischenzeit wies ZachXBT darauf hin, dass offenbar bereits rund 610.000 US-Dollar kompromittiert seien.

Ledger-CEO spricht über den Exploit

Pascal Gauthier, der CEO von Ledger, hat sich nach dem jüngsten Vorfall an die Community gewandt und bestätigt, dass die Hacker-Bedrohung – sehr zur Erleichterung der Nutzer – erfolgreich neutralisiert wurde.

Beim Vorfall wurde schädlicher Code in die Javascript-Bibliothek von Ledger eingeschleust, was insbesondere Versionen größer als 1.1.4 betraf. Gauthier erklärte, dass der Exploit auf eine Schwachstelle zurückzuführen sei, die von einem böswilligen Akteur ausgenutzt worden sei.

Der Hacker verschaffte sich Zugriff durch einen Phishing-Angriff auf einen ehemaligen Mitarbeiter, der zum unbefugten Hochladen einer schädlichen Datei führte, die in verschiedenen Anwendungen verwendet wird.

Ledgers schnelles Handeln hat Schlimmeres verhindert!

Als das Team des Unternehmens den Exploit entdeckte, reagierte es umgehend und arbeitete gemeinsam mit WalletConnect daran, das kompromittierte NPMJS zu entfernen und die schädliche Datei umgehend zu deaktivieren.

Die entscheidende Maßnahme, die innerhalb von nur vierzig Minuten nach der Identifizierung des Exploits durchgeführt wurde, unterstreicht die Effizienz und Reaktionsfähigkeit des Teams angesichts einer kritischen Sicherheitsverletzung.

Die schnelle Reaktion von Ledger auf den Vorfall war nicht nur ein Beweis ihrer eigenen Entschlossenheit, sondern diente auch als eindrucksvolles Beispiel für die kollektive Stärke innerhalb der Branche.

CEO Pascal Gauthier betonte diesen Punkt und hob den Vorfall als Beweis für die Fähigkeit der breiteren DeFi-Community hervor, zusammenzukommen und Sicherheitsherausforderungen effektiv und zügig anzugehen.

Die besten Ledger Alternativen

In der folgenden Tabelle bekommst Du einen guten Überblick über die verschiedenen Hardware-Wallets auf dem Markt.

Ledger Alternativen im Vergleich
Anbieter Anzahl unterstützter Kryptowährungen Open Source Software Touchdisplay Bluetooth Preis (EUR) Testergebnis
Ledger Nano S Plus > 5500 Nein Nein Nein 79 93
BitBox > 1500 Ja Ja Nein 139 91
Ledger Nano X > 5500 Nein Nein Ja 149 91
Ledger Stax > 5500 Nein Ja Ja 279 91
Trezor Model T > 1200 Ja Ja Ja 179 91
Trezor Model One > 1000 Ja Nein Nein 59 89

Unserer Meinung ist die BitBox somit die beste Alternative zu den Ledger Modellen, vor allem in Bezug auf das Preis-Leistungs-Verhältnis und die Sicherheit.

Fazit: Es besteht weiterhin Grund zur Sorge

Auch wenn Ledger viele Jahre den Markt für Hardware-Wallets dominiert hat und daher ein großes Urvertrauen genießt, hat sich das Unternehmen in der letzten Zeit nicht immer von der besten Seite gezeigt. Da kommt ein Hacking-Angriff natürlich ungelegen.

Fakt ist jedoch, dass das Ledger-Team rasant reagiert und damit einen potenziell sehr viel schlimmeren Schaden verhindert hat. Trotzdem besteht Grund zur Sorge, denn der Exploit könnte nicht nur Ledger selbst betreffen.

Connect Kit, welches von Ledger verwaltet wird, ist eine weitverbreitete Software unter den DeFi-Protokollen und zugleich die betroffene Schwachstelle. Dabei handelt es sich um Code, den Protokolle wie Coinbase, Metamask, Sushi und sogar Lido verwenden, um eine Verbindung zu Krypto-Hardware-Wallets herzustellen.

Daher ist es sehr wahrscheinlich, dass der jüngste Hack Auswirkungen auf die Frontends aller oben genannten Protokolle hatte, die das Connect Kit verwenden.

📌
In unserem Hardware-Wallet-Vergleich testen wir die verschiedenen Anbieter und vergleichen Ledger, Trezor und die Bitbox02 miteinander.

Auch wenn Ledger grundsätzlich als seriöser Anbieter für Hardware-Wallets zu verstehen ist, zeigen die jüngsten Geschehnisse, dass der Ledger insgesamt nicht perfekt ist. Entsprechend gibt es aber immer mehr Alternativen, welche teilweise sogar quelloffen und damit eindeutig nachvollziehbar funktionieren.

Eine zunehmend beliebte Alternative stellt die BitBox02 dar, welche aus der Schweiz kommt und für Menschen mit Fokus auf Sicherheit sogar eine Bitcoin-only Version anbietet. Wir haben das Hardware-Wallet daher in einem BitBox Erfahrungsbericht umfangreich für Dich getestet!