• Der CTO der dezentralen Krypto-Börse SuhsiSwap hat über X auf eine Sicherheitslücke beim Wallet-Anbieter Ledger aufmerksam gemacht.
• Er rät Nutzern, vorerst mit keinen dezentralen Anwendungen (dApps) zu interagieren, insbesondere mit einem Ledger Wallet.

• Direkt betroffen seien “eine Reihe beliebter Anwendungen”, darunter SushiSwap, Hey.xyz und Revoke.cash, wie Blockaid auf X schreibt. Letztere haben ihre Website aus Sicherheitsgründen zunächst deaktiviert.

• Auslöser ist eine von vielen dApps verwendete Code-Library Ledgers. Angreifern ist es offenbar gelungen, darüber einen bösartigen Code einzuschleusen, der möglicherweise Nutzergelder abzapft, sobald diese dApp-Transaktionen freigeben.
• Ledger hat die schädliche Software inzwischen bereinigt und bereitet ein Update vor, wie der CEO auf X bestätigt.

• Web3-Nutzer sind daher aufgefordert, vorerst nicht per Ledger-Wallet mit Krypto-Anwendungen zu interagieren oder Transaktionen zu bestätigen, da diese möglicherweise kompromittiert sind.
• Erst wenn die betroffenen dApps entsprechende Updates durchgeführt haben, kann Entwarnung gegeben werden. Nutzer sollten auf neue Hinweise von Ledger selbst oder betroffenen dApps warten. Wer nicht mit den Anwendungen interagiert, sollte, Stand jetzt, auf der sicheren Seite sein.

Update: Die Sicherheitslücke ist im Zuge eines Updates seitens von Ledger offenbar behoben. Das bestätigen auch SushiSwap und andere Wallet-Anbieter auf X.

Nach Angaben von Metamask könnten jedoch nicht nur Ledger-Nutzer betroffen gewesen sein. Nutzern wird geraten, den Browser Cache zu löschen und die jeweiligen dApps neu zu laden bzw. auf eine konkrete Information der verwendeten Wallet-Anbieter und Anwendungen zu warten.