Ledger und Trezor nehmen Stellung zum Hack ihrer Hardware-Wallets

Drei Forscher von wallet.fail haben haben auf dem 35. Chaos Communication Congress (35C3) gezeigt, wie sie Schwachstellen in den Hardware-Wallets Trezor und Ledger ausgenutzt haben, um diese zu hacken. Sowohl Ledger als auch Trezor haben nun geantwortet und erklärt, dass die Kryptowährungs-Guthaben ihrer Benutzer sicher sind und die Geräte weiter genutzt werden können.

Hardware-Wallets sind die sicherste Methode, um Kryptowährungen aufzubewahren. Wie Forscher auf dem 35C3 nun gezeigt haben, sind aber auch sie verwundbar. Wie jedes andere Stück Technik haben auch sie ihre eigenen Schwachstellen. So haben die 3 Hacker von wallet.fail gezeigt, wie man das Trezor One, das Ledger Nano S und das Ledger Blue Wallets hackt. Dies wurde während eines Hacking-Events namens 35C3 Refreshing Memories gezeigt. Das Team, das sich Wallet.fail nannte, bestand aus drei Personen: Dmity Nedospasov (Sicherheitsforscher und Hardware-Designer), Josh Datko (Sicherheitsforscher) und Thomas Roth (Software-Entwickler).

Grundsätzlich konnten die Hacker die privaten Schlüssel der Geräte nach Verwendung einer eigenen Firmware extrahieren. Sie wiesen aber darauf hin, dass der Hack nur verwendet werden kann, wenn der Benutzer keine Passphrase gesetzt hat, so dass Personen, die wirklich vorsichtig sind, von dem Problem nicht betroffen sind.

Die Antwort von Ledger

Das derzeit wohl beliebteste Hardware-Wallet, das Ledger Nano S wurde zuerst von der Gruppe gehackt. Wie die Forscher zeigten, konnten sie sie Retro-Spiel Snake auf dem Gerät installieren und sogar Transaktionen bestätigen. In einem Blog-Post hat Ledger jedoch alles getan, um die Nutzer des Nano S zu beruhigen. Sie erklärten, dass die Hacks nicht die Sicherheit des Geräts vollständig in Frage stellen:

Sie stellten 3 Angriffspfade vor, die den Eindruck erwecken könnten, dass kritische Schwachstellen auf Ledger-Geräten aufgedeckt wurden. Dies ist nicht der Fall.

Obwohl die Forscher sagten, dass sie alle „Kryptowährung lieben“ und selbst Kryptowährungsbesitzer sind, scheint Ledger auch etwas enttäuscht zu sein:

In der Sicherheitswelt ist die verantwortungsvolle Offenlegung der Daten die übliche Vorgehensweise…. Wir bedauern, dass die Forscher nicht den Standardsicherheitsprinzipien des Ledger’s Bounty-Programms gefolgt sind.

Ledger glaubt auch, dass die drei Forscher keine „praktischen Schwachstellen“ festgestellt haben. Erstens führten die Forscher einen Angriff durch, bei dem sie die physischen Wallets modifizierten und Malware auf dem PC des Besitzers in Kombination mit einem potenziellen Angreifer in einem nahegelegenen Raum verwendeten, der die gehackte PIN fernbedienen und die Kryptowährungsanwendung starten musste. Ledger sagt über diese Art von Angriff:

Es würde sich als ziemlich unpraktisch erweisen, und ein motivierter Hacker würde definitiv effizientere Tricks anwenden. […] Sie versuchten, einen Angriff auf die Supply Chain durchzuführen, indem sie den MCU-Check umgingen, aber es gelang ihnen nicht. Die MCU verwaltet den Bildschirm, hat aber keinen Zugriff auf die PIN oder den Seed, der auf dem Secure Element gespeichert ist.

Ledger erklärte außerdem, dass es die aufgezeigten Fehler in der nächsten Firmware-Version des Geräts beheben werde.

Trezor: Firmwareupdate geplant

Der CTO von SatoshiLabs, Pavol Rusnak, beschwerte sich ebenfalls darüber, dass das Trio das Unternehmen nicht vor der Konferenz informiert habe. SatoshiLabs ist für die Trezor-Wallet verantwortlich und hat für Ende Januar ein Firmware-Update versprochen, das alle Schwachstellen des Systems beheben wird. Trezor erkennt die Schwachstelle also an und erklärte, dass es sich um eine physische Schwachstelle handelt, die identifiziert wurde:

Ein Angreifer benötigt physischen Zugriff auf Ihr Gerät, insbesondere auf das Board, das das Gehäuse zerstört. Wenn du die physische Kontrolle über deinen Trezor hast, kannst du ihn weiterhin benutzen, und diese Schwachstelle ist keine Bedrohung für dich.

Trezor hat auch gesagt, dass besorgte Benutzer die „Passphrase-Funktion“ in ihren Trezor-Hardware-Wallets aktivieren können, dass aber jeder Verlust der Passphrase eines Benutzers zu „Geldverlust“ führt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

0 Comment

There are no comments on this post.

Risikohinweis: Anlagen in digitale Währungen, Aktien, Wertpapiere und andere Effekten, Rohstoffe, Währungen und andere derivative Anlageprodukte (z. B. Differenzkontrakte („CFDs“)) sind spekulativ und mit einem hohen Risiko verbunden. Jede Investition ist einzigartig und birgt einzigartige Risiken.

CFDs und andere Derivate sind komplexe Instrumente und bergen ein hohes Risiko schneller Verluste aufgrund des Hebeleffekts. Sie sollten sich darüber Gedanken machen, ob Sie das Grundprinzip einer Anlage verstanden haben und ob Sie es sich leisten können, das hohe Verlustrisiko einzugehen.

Kryptowährungen können extreme Kursschwankungen aufweisen und sind daher nicht für alle Anleger geeignet. Für den Handel mit Kryptowährungen existiert kein EU-weiter Regulierungsrahmen. Die Wertentwicklung in der Vergangenheit ist keine Garantie für zukünftige Ergebnisse. Jeder vorgestellter Handelsverlauf umfasst, sofern nicht anders angegeben, einen Zeitraum von unter fünf Jahren, was unter Umständen keine hinreichende Grundlage für Investitionsentscheidungen darstellt. Ihr Kapital ist Risiken ausgesetzt

Beim Handel mit Aktien bestehen Risiken für Ihr Kapital.

Die Wertentwicklung in der Vergangenheit ist kein Indikator für zukünftige Ergebnisse. Der vorgestellte Handelsverlauf umfasst einen Zeitraum von unter fünf Jahren, sofern nicht anders angegeben, was unter Umständen keine hinreichende Grundlage für Investitionsentscheidungen darstellt. Die Kurse können sowohl fallen als auch steigen, die Kurse können stark schwanken, Sie gehen das Risiko von Wechselkursä nderungen ein und können Ihr gesamtes investiertes Kapital oder sogar einen höheren Betrag verlieren. Die Anlage von Kapital ist nicht für jeden geeignet; vergewissern Sie sich, dass Sie die damit verbundenen Risiken und rechtlichen Aspekte vollständig verstanden haben. Wenn Sie sich nicht sicher sind, lassen Sie sich von einer unabhängigen Stelle in Finanz-, Rechts-, Steuer- und Buchhaltungsfragen beraten. Diese Website erbringt keine Anlage-, Finanz-, Rechts-, Steuer- oder Buchhaltungsberatung. Manche Links sind Affiliate-Links. Weitere Informationen entnehmen Sie bitte dem folgenden Dokument: Risikohinweis und Haftungsausschluss.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen