Was wäre, wenn ich Ihnen sagen würde, dass das dezentralisierte Anwendungs (DApp)-Ökosystem kürzlich aufgrund einer Ledger-Schwachstelle einem Risiko ausgesetzt war? Am 14. Dezember ereignete sich eine Kette von Ereignissen, die die Sicherheit des gesamten DApp-Ökosystems aufs Spiel setzten. Ein böswilliger Akteur entdeckte und nutzte eine Schwachstelle in der Connector-Bibliothek der Ledger-Hardware-Wallet aus, was zu Warnungen von On-Chain-Analysten und DApps wie SushiSwap und MetaMask führte, die Benutzer aufforderten, die Interaktion mit ihren Wallets vollständig zu vermeiden.
Verständnis des Ledger-Exploits
Der Angreifer, der nun als ‚Ledger-Hacker‘ bekannt ist, schaffte es, über $650.000 an Vermögenswerten von mehreren Opfern abzuziehen. Dies wurde erreicht, indem Web3-Benutzer dazu gebracht wurden, bösartige Token-Transaktionen zu genehmigen. Der Hacker nutzte einen Phishing-Exploit, um den Computer eines ehemaligen Ledger-Mitarbeiters zu kompromittieren und Zugriff auf dessen Node Package Manager-JavaScript-Konto zu erlangen. Obwohl der abgezogene Betrag erheblich war, hätte er angesichts der Anzahl der gefährdeten Wallets und DApps viel höher sein können.
Zum Glück reagierte Ledger schnell und veröffentlichte innerhalb weniger Stunden ein Patch, um die Ledger-Schwachstelle im DApp-Ökosystem einzudämmen. Dennoch dient der Vorfall als deutliche Erinnerung an die potenziellen Sicherheitsrisiken in der Welt der dezentralen Finanzen (DeFi).
Auswirkungen auf DApps, die Ledger-Connector verwenden
Mehrere dezentralisierte Anwendungen (DApps), die Ledger-Connector verwendeten, darunter Zapper, SushiSwap, Phantom, Balancer und Revoke.cash, wurden kompromittiert. Etwa drei Stunden nach der Entdeckung des Sicherheitsvorfalls gab Ledger bekannt, dass die bösartige Version der Datei durch ihre echte Version ersetzt wurde. Ledger rät Benutzern nun, Transaktionen immer ‚Clear Sign‘ durchzuführen und nur den auf dem Ledger-Bildschirm präsentierten Informationen zu vertrauen. Wenn es Abweichungen zwischen den Informationen auf dem Ledger-Gerät und dem Computer- oder Handybildschirm des Benutzers gibt, sollte die Transaktion sofort gestoppt werden.
Weitere jüngste DeFi-Vorfälle
Diese Ledger-Schwachstelle war nicht der einzige Vorfall im DeFi-Sektor. Das dezentralisierte Finanzprotokoll Yearn.finance bat Arbitrage-Trader eindringlich, $1,4 Millionen an Mitteln zurückzugeben, nachdem ein Multisignatur-Skriptfehler einen erheblichen Teil des Protokoll-Tresors geleert hatte. Ebenso erlitt die dezentralisierte Börse (DEX) OKX einen $2,7 Millionen Hack, nachdem der private Schlüssel des Proxy-Admin-Besitzers bekannt wurde.
Trotz dieser Sicherheitsbedenken zeigen Daten von Cointelegraph Markets Pro und TradingView, dass die Top-100-Token von DeFi nach Marktkapitalisierung eine bullische Woche hatten, wobei die meisten auf den wöchentlichen Charts im Plus handelten. Der Gesamtwert, der in DeFi-Protokollen gesperrt ist, blieb über $60 Milliarden.
Angesichts der ständigen Entwicklung des DeFi-Bereichs ist es entscheidend, über die neuesten Entwicklungen und potenziellen Schwachstellen informiert zu bleiben. Plattformen wie cryptoview.io können eine wertvolle Ressource sein, um Ihre Krypto-Vermögenswerte zu verfolgen und mit den neuesten Nachrichten auf dem Laufenden zu bleiben.
