Jump to content

Empfohlene Beiträge

Ledger Addresses Man in the Middle Attack That Threatens Millions of Hardware Wallets

Hardware wallet manufacturer Ledger, which sold over one million devices last year, has alerted its users to a major attack vector that’s recently been discovered. Although there are no reported cases of the attack being successfully deployed, the threat itself is very real. Today, Ledger urged users of its cryptocurrency wallets to take steps to avoid falling prey to the address spoofing attack.

Ledger Adressen Man in the Middle Angriff, der Millionen Hardware-Geldbörsen bedroht

Der Hardware-Wallet-Hersteller Ledger, der letztes Jahr mehr als eine Million Geräte verkauft hat, hat seine Benutzer auf einen großen Angriffsvektor aufmerksam gemacht, der kürzlich entdeckt wurde. Obwohl keine Fälle bekannt sind, in denen der Angriff erfolgreich ausgeführt wurde, ist die Bedrohung selbst sehr real. Heute drängte Ledger die Benutzer seiner Cryptocurrency-Geldbörsen dazu, Schritte zu unternehmen, um zu verhindern, dass sie Opfer des Spoofing-Angriffs werden.

Sorry, leider nur in Englisch, dafür aktuell.

https://news.bitcoin.com/ledger-addresses-man-in-the-middle-attack-that-threatens-millions-of-hardware-wallets/

Ich persönlich nutze Ledger mit Electrum zusammen. Java-Script im Browser ist einfach zu gefährdet.

Axiom

bearbeitet von Axiom0815
  • Thanks 3

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Na toll, vor ein paar Tagen habe ich gerade einen bestellt :wacko: 

aber danke für die Info - werde dann gleich mal lesen...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
6 hours ago, Axiom0815 said:

Ledger Addresses Man in the Middle Attack That Threatens Millions of Hardware Wallets

Hardware wallet manufacturer Ledger, which sold over one million devices last year, has alerted its users to a major attack vector that’s recently been discovered. Although there are no reported cases of the attack being successfully deployed, the threat itself is very real. Today, Ledger urged users of its cryptocurrency wallets to take steps to avoid falling prey to the address spoofing attack.

Ledger Adressen Man in the Middle Angriff, der Millionen Hardware-Geldbörsen bedroht

Der Hardware-Wallet-Hersteller Ledger, der letztes Jahr mehr als eine Million Geräte verkauft hat, hat seine Benutzer auf einen großen Angriffsvektor aufmerksam gemacht, der kürzlich entdeckt wurde. Obwohl keine Fälle bekannt sind, in denen der Angriff erfolgreich ausgeführt wurde, ist die Bedrohung selbst sehr real. Heute drängte Ledger die Benutzer seiner Cryptocurrency-Geldbörsen dazu, Schritte zu unternehmen, um zu verhindern, dass sie Opfer des Spoofing-Angriffs werden.

Sorry, leider nur in Englisch, dafür aktuell.

https://news.bitcoin.com/ledger-addresses-man-in-the-middle-attack-that-threatens-millions-of-hardware-wallets/

Ich persönlich nutze Ledger mit Electrum zusammen. Java-Script im Browser ist einfach zu gefährdet.

Axiom

Wie ist / wäre die Handhabe vom Ledger mit Electrum? 
Electrum war eine "normale" Software Wallet, oder? Spielt es eine Rolle auf welchem System es läuft (Win, Linux, VM)? 


Wäre MyEtherWallet in Kombi mit dem Ledger sicherer als über den Ledger Browser?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 1 Stunde schrieb rkr:

Wie ist / wäre die Handhabe vom Ledger mit Electrum? 
Electrum war eine "normale" Software Wallet, oder? Spielt es eine Rolle auf welchem System es läuft (Win, Linux, VM)? 

Du lädst von der Seite https://electrum.org die Software für Dein System runter und installierst sie.

Dann bei der neuen Wallet auf Hardwarewallet gehen, Ledger einrichten und fertig.
Jetzt ist es eine Wallet wie üblich, nur man muss den Ledger nutzen, um Senden zu bestätigen. Also die Hardware-Wallet bleibt der Sicherheitscontainer.
(Ohne Ledger ist es eine Offline-Wallet.)

Genauere Anleitungen zu Electrum findest du hier im Forum.

Axiom

  • Thanks 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

so eine Attacke ist mit der einzige Angriffsvektor an einer Hardware Wallet und nicht zu verhindern. Eine Hardware Wallet wie der Ledger Nano kann nie dafür sorgen, dass der Rechner an dem sie benutzt wird nicht kompromittiert wird. Da diese "Attacke" jedoch leicht falsch verstanden wird, hier noch mal in eigenen Worten:

Der Angriff besteht darin auf dem Rechner an dem die Wallet angesteckt ist etwas anderes anzuzeigen, also eine falsche Adresse. Ob dies durch ein Javascript oder eine Malware gemacht wird die z.B. die Zwischenablage scannt und ersetzt spielt eigentlich keine Rolle. Man sollte dem Rechner nicht trauen und man muss dies auch nicht. (Genau das zeichnet eine Hardware Wallet aus)

Auf dem Display den Ledger Nanos steht immer die Adresse an die die Transaktion gesendet wird. Diese sollte man immer zumindest die ersten und letzten Zeichen abgleichen, genau wie man das auch mit diesen TAN Generatoren der Banken machen würde. 

  • Like 5

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hier hilft ein Betriebssystem auf einen Stick zu installieren und nur von dort aus zu transferieren. Malware hat dann keinen Zugriff.

Beim BTC kann man die Adresse prüfen. Beim ETH wird wohl daran gearbeitet. 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Beim Senden kann man die Adressen immer im Display vom Nano Ledger prüfen, beim Empfangen ist es abhängig von der Wallet Software. Für Ethereum kann man bei https://www.myetherwallet.com rechts im Menü zum Beispiel auf "Display Address on Ledger" klicken um die Empfangsadresse auf dem Display des Nano Ledgers anzeigen zu lassen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
On 2/5/2018 at 6:42 PM, veniceline said:

Hier hilft ein Betriebssystem auf einen Stick zu installieren und nur von dort aus zu transferieren. Malware hat dann keinen Zugriff.

Beim BTC kann man die Adresse prüfen. Beim ETH wird wohl daran gearbeitet. 

Seit wann?
Sobald ein System am Netz hängt, ist es potentiell gegen Angriffe gefährdet.
Ein Betriebssystem auf dem USB Stick benötigt genau so schreib Berechtigungen auf dem Datenträger, wie ein OS auf einer Platte installiert - und schon kann sich auch eine Schadsoftware darauf einschleusen.
Hinzu kommt, dass eine MitM Attacke noch nicht einmal zwingend auf dem Rechner ausgeführt werden muss.

Dies ist durchaus auch via verschiedenster Exploits und Sicherheitslücken in der Software möglich, welche ausgeführt wird.

Sein System also up to date zu halten, ist ZWINGEND erforderlich, wenn man mit Cryptowährungen und entsprechender Geldsummen zu tun hat.

Die Größten Schwachstellen - seien es Harware-Wallets, Paperwallets, Software und co. sind am Ende immer noch die Benutzer dieser!
Und ich will nicht wissen, bei wie vielen Usern, welche hier über Sicherheit und Schwachstellen diskutieren bei einem kurzen Blick auf das System z.B. JAVA nicht in der aktuellsten Version im Hintergrund läuft ;)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Weis jemand von euch, wenn man sich auf einem Wallet des Ledgers eingeloggt hat und man dann auf ein anderes Wallet des Ledgers zugreifen möchte, dass dieses nicht funktioniert? Also man muss sich erst wieder ausloggen und dann wieder erneut einloggen (Eingabe des Ledgerpins) um auf ein anderes Wallet des Legers zugreifen zu können. Das nervt gewaltig, da es bei mir immer erst nach einigen Versuchen klappt sich erneut einzuloggen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×

Wichtige Information

Wir speichern Cookies auf Ihrem Gerät, um diese Seite besser zu machen. Sie können Ihre Cookie-Einstellungen anpassen, ansonsten gehen wir davon aus, dass Sie damit einverstanden sind. In unseren Datenschutzerklärungen finden sie weitere Informationen.