Ein möglicher Hackerangriff kann eine Sicherheitslücke im Ledger Wallet nutzen, um Transaktionen an eine falsche Empfangsadresse zu leiten. Laut einer Meldung auf Twitter könnten alle Wallets davon betroffen sein. Dennoch gibt es eine Möglichkeit sich dagegen zu schützen.
Ledger warnte auf Twitter davor, das durch eine “Man-in-the-Middle-Attacke” Kryptowährungen an eine falsche Empfangsadresse geschickt werden könnten. Dies kann jedoch nur dann passieren, wenn der PC an dem der Ledger genutzt wird, mit einer Malware infiziert ist. Die Malware funktioniert dabei sehr einfach aber unauffällig.
Bei jeder neuen Transaktion, bei der Bitcoin oder Ethereum an das Ledger Wallet geschickt werden, wird dabei eine neue Empfangsadresse generiert. Diese neue Empfangsadresse wird mit Hilfe von Javascript generiert. Genau an dieser Stelle liegt auch die Schwachstelle und mögliches Angriffsziel von Hackern.
Wenn der entsprechende PC mit Malware infiziert ist, wird eine falsche Empfangsadresse angezeigt und die Kryptowährung findet nicht den Weg zum eigenen Ledger, sondern zum “Mittelsmann”. Hierbei soll es möglich sein, dass sowohl die Empfangsadresse als auch der QR-Code gefälscht sein können.
Wenn eine Bitcoin Transaktion getätigt wird, zeigt der Ledger auf dem Display eine Bitcoin-Adresse an, die mit der Bitcoin Adresse auf dem PC übereinstimmen muss. Dadurch kann überprüft werden ob es die richtige Adresse ist. Weichen die jeweiligen Adressen voneinander ab, ist wahrscheinlich der PC mit der gefährlichen Malware infiziert. Die Adresse kann durch einen Klick auf den “Monitor-Button” überprüft werden.
To mitigate the man in the middle attack vector reported here https://t.co/GFFVUOmlkk (affecting all hardware wallet vendors), always verify your receive address on the device’s screen by clicking on the “monitor button” pic.twitter.com/EMjZJu2NDh
— Ledger (@LedgerHQ) 3. Februar 2018
Diese Prüfung kann bis zum jetzigen Zeitpunkt jedoch nur bei Bitcoin-Transaktionen vorgenommen werden. Bei Ethereum, Dash oder anderen digitalen Währungen wird keine Adresse auf dem Ledger Wallet angezeigt. Eine Sicherheitsmaßnahme die Ledger empfiehlt ist, dass Betriebssystem auf einem externen Datenträger, z.B. auf einer CD, laufen zu lassen. Dann bestehe kein Risiko, dass das System mit der Malware infiziert ist.
If you’re using the Ethereum App – Treat the ledger hardware wallet the same as any other software-based wallet, and use it only on a Live CD operating system that is guaranteed to be malware-free. At least until this issue receives some kind of fix.
Natürlich ist auch diese Maßnahme nur zu 99,9% sicher und ein sehr geringen Restrisiko wird immer bleiben. Das Unternehmen arbeitet derzeit an einer Lösung für das Problem.