image

Gebruikers cryptowallet Ledger bestolen na phishingaanval op ex-medewerker

vrijdag 15 december 2023, 07:57 door Redactie, 9 reacties

Gebruikers van Ledger zijn voor honderdduizenden dollars aan cryptovaluta bestolen nadat criminelen via een phishingaanval op een ex-medewerker van de cryptowallet-aanbieder een malafide versie van de Ledger Connect Kit konden verspreiden. Dat heeft Ledger bekendgemaakt. Ledger biedt verschillende apparaten voor het opslaan van cryptovaluta. De Ledger Connect Kit is een JavaScript-library waarmee gebruikers hun Ledger-cryptowallet kunnen koppelen aan third-party apps, ook wel wallet-connected websites genoemd.

Gisteren werd een voormalige Ledger-werknemer slachtoffer van een phishingaanval, waarbij de aanvallers toegang tot zijn NPMJS-account kregen. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële package.

Nadat de aanvallers toegang tot het account van de ex-werknemer hadden gekregen konden ze een besmette versie van de Ledger Connect Kit verspreiden. Deze versie gebruikte een malafide WalletConnect-project om geld van Ledger-gebruikers naar de wallet van de aanvallers te routeren. Volgens Ledger was de malafide code zo'n vijf uur actief en is er voor zover nu bekend gedurende een periode van twee uur cryptovaluta gestolen. Volgens crypto-onderzoeker ZachXBT gaat het om een bedrag van ruim 600.000 dollar. Ledger stelt dat het slachtoffers van de aanval gaat helpen bij het terugkrijgen van hun geld en dat de aanval was beperkt tot third-party apps die van de Ledger Connect Kit gebruikmaken.

Hoe het kan dat een ex-medewerker over een account beschikt waarmee het mogelijk is om zelf malafide versies van de software te verspreiden claimt Ledger dat dit eigenlijk niet hoort te kunnen. Nieuwe versies zouden pas kunnen worden verspreid als die door meerdere partijen zijn bekeken. Daarnaast zou elke medewerker die het bedrijf verlaat geen toegang meer tot Ledger-systemen moeten hebben. Waarom het in dit geval niet is gebeurd laat Ledger niet weten, dat alleen spreekt over een 'geïsoleerd incident'. Er is inmiddels een schone versie van de Ledger Connect Kit uitgerold en de 'secrets' om code via Ledger's GitHub te verspreiden zijn geroteerd.

Reacties (9)
15-12-2023, 08:48 door Anoniem
2 Grote data leaks, het ledger recovery fiasco, en nu dit. Met het ledger recovery fiasco verlieten al een hoop mensen ledger. Ik ben benieuwd hoe lang ze het nog vol houden.
15-12-2023, 12:25 door Briolet
Gebruikers van Ledger zijn voor honderdduizenden dollars aan cryptovaluta bestolen
Het lijkt mij niet dat die de klanten bestolen zijn, maar Ledger zelf. Want zij zijn verantwoordelijk voor het kwijtraken van het geld.

Ledger stelt dat het slachtoffers van de aanval gaat helpen bij het terugkrijgen van hun geld

Nee. Het zou moeten zijn dat Ledger het geld aan de klanten vergoed en dan zelf probeert het geld terug te krijgen. Zij zien hier de prioriteiten blijkbaar verkeerd.
15-12-2023, 12:54 door Anoniem
wow, the level of incompetence is echt schokkend. Wat een epic failure voor een "secure" hardware token bedrijf, en dan ook nog via een ex werknemer. Zeldzaam, had er zelf gelukkig zo goed als niets op staan, heb de software toch maar verwijderd en het token naar default gereset en op de stapel te recyclen apparaten gelegd.

Iemand een suggestie voor een betrouwbaarder alternatief ?
15-12-2023, 22:38 door Anoniem
Door Anoniem: wow, the level of incompetence is echt schokkend. Wat een epic failure voor een "secure" hardware token bedrijf, en dan ook nog via een ex werknemer. Zeldzaam, had er zelf gelukkig zo goed als niets op staan, heb de software toch maar verwijderd en het token naar default gereset en op de stapel te recyclen apparaten gelegd.

Iemand een suggestie voor een betrouwbaarder alternatief ?

ABN Amro misschien?
16-12-2023, 02:52 door Anoniem
Paper wallet, steel wallet zijjn moeilijk te hacken. Tuurlijk, het kan gestolen worden maar met tech ben je binnen bereik van elke persoon met een internetconnectie wereldwijd. Gebruik dan Electrum als je wil uitgeven of Exodus indien je ook altcoins hebt.
16-12-2023, 22:14 door Anoniem
Door Anoniem: wow, the level of incompetence is echt schokkend. Wat een epic failure voor een "secure" hardware token bedrijf, en dan ook nog via een ex werknemer. Zeldzaam, had er zelf gelukkig zo goed als niets op staan, heb de software toch maar verwijderd en het token naar default gereset en op de stapel te recyclen apparaten gelegd.

Iemand een suggestie voor een betrouwbaarder alternatief ?
Ik sluit me aan bij degene die een traditionele bank suggereerde. Daar worden eisen aan gesteld en er is toezicht op. Er is een depositogarantiestelsel dat per klant per bank een ton garandeert.

Die hele rage van cryptomunten is ontstaan vanuit de libertarische wens om zonder overheidsbemoeienis toch iets betrouwbaars te creëren. Je ziet hoe dat uitpakt: instabiele munten, diefstal die niet vergoed wordt, wallets waar mensen door een ongelukje nooit meer bij kunnen. Leuk voor als je kickt op gokken en speculeren, maar als je betrouwbaarheid zoekt is er reden om je achter je oren te krabben over de vraag hoe het komt dat de gevestigde orde zoveel betrouwbaarder blijkt te kunnen zijn.
17-12-2023, 20:29 door Anoniem
het valt niet goed te praten dat doormiddel van phising toegang is gekgregen tot de source code van de connect kit. Let op tot op heden alleen de connect kit. Maar elke transactie moet je goedkeuren op je ledger device. Het is ook de bedoeling dat je dus de transactie controleerd voordat je doorstuurd. Dit beteken dat de fout nog steeds bij de eind gebruiker zat. Nogmaals phishing en toegang tot sourcecode toegang. niet goed te praten, maar het is nog steeds de fout van de eind gebruiker om blind op het device akkoord te geven e niet het wallet ID te controleren.
18-12-2023, 10:06 door Anoniem
Iemand een suggestie voor een betrouwbaarder alternatief ?

ABN Amro misschien?

Die willen stoppen met hun e.dentifier - hetgeen de laatste meerwaarde van hun product was.
Rabo of ING dus maar.
19-12-2023, 07:36 door Anoniem
Door Anoniem:
Door Anoniem: wow, the level of incompetence is echt schokkend. Wat een epic failure voor een "secure" hardware token bedrijf, en dan ook nog via een ex werknemer. Zeldzaam, had er zelf gelukkig zo goed als niets op staan, heb de software toch maar verwijderd en het token naar default gereset en op de stapel te recyclen apparaten gelegd.

Iemand een suggestie voor een betrouwbaarder alternatief ?
Ik sluit me aan bij degene die een traditionele bank suggereerde. Daar worden eisen aan gesteld en er is toezicht op. Er is een depositogarantiestelsel dat per klant per bank een ton garandeert.

Die hele rage van cryptomunten is ontstaan vanuit de libertarische wens om zonder overheidsbemoeienis toch iets betrouwbaars te creëren. Je ziet hoe dat uitpakt: instabiele munten, diefstal die niet vergoed wordt, wallets waar mensen door een ongelukje nooit meer bij kunnen. Leuk voor als je kickt op gokken en speculeren, maar als je betrouwbaarheid zoekt is er reden om je achter je oren te krabben over de vraag hoe het komt dat de gevestigde orde zoveel betrouwbaarder blijkt te kunnen zijn.

Het beeld wat je hier schetst gebeurd toch ook in de traditionele markten zelfs onder toezicht van alle autoriteiten (AFM, DNB, ECB, etc). Waar mensen zijn en de mogelijkheid zich aandient daar wordt nu eenmaal gefraudeerd. Er zijn niet voor niets ook in de traditionele markten allemaal regels. Als het puur over Bitcoin en de achterliggende techniek hebben, dan is daar nog nies mee gebeurd. Alles wat je leest gaat over 3e partijen en diensten die hieromheen worden aangeboden. In het hele prille begin zaten er in het protocol wat schoonheidsfoutjes, maar die zijn er allang uitgehaald. Inmiddels is het een zeer stabiel netwerk. Wat ook steeds meer omarmd wordt en verweven in de traditionele marten. Het is helemaal niet verkeerd als iets in een (technisch) protocol is vastgelegd (zeker niet als en een global karakter heeft). Ik ben overigens niet tegen overheidstoezicht hoor (acceptatie, regulatie, regelgeving), is belangrijk. Het is alleen niet zo zwart-wit als je het hier neerzet.
Wanneer je bij een degelijke partij zit met Bitcoin val je gewoon onder het garantiedeposito hoor. Er zijn er op Nederlandse bodem welke gewoon geregistreerd zijn bij DNB en inmiddels ook bij de toezichthoudende partijen in Frankrijk en Duitsland.
Er zijn ook hele grote interstitiële beleggingspartijen geïnteresseerd om te kunnen handelen dat is niet omdat het niets waard zou zijn.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.