Meinung zu Ledger Nano S Hack

Ich habe einen interessanten Beitrag zu einem Hack bei Reddit gefunden.

Mich interessiert eure Meinung dazu und ob ein solcher Hack auch bei der BitBox02 möglich wäre!?

@Stadicus
@GermanCryptoGuy
@Blocktrainer

1 „Gefällt mir“

Dafür müsste man erst mal wissen was überhaupt passiert ist. Ich hab jetzt viele Antworten in dem Thread gelesen aber konnte keine weiteren genauen Informationen finden?
In der Regel kann man mit einer Hardware Wallet 2 Fehler machen:

  • Den Seed irgendwo digital/unsicher ablegen
  • Man bestätigt eine Transaktion auf der Hardware Wallet, ohne die angezeigten Informationen zu prüfen. Es wird einem also im Moment einer Transaktion eine andere vom PC „untergejubelt“

Beide Angriffe sind theoretisch mit jeder Hardware Wallet möglich.

Die Bitbox02 macht allerdings einige Dinge besser als andere Hardware Wallets. Wenn du die Details wissen möchtest, empfehle ich dir folegende Seite zu lesen: BitBox02 Bedrohungsmodell

4 „Gefällt mir“

Grundsätzlich ist so ein Angriff immer möglich. Es gibt keine bedingungslose Sicherheit.

Eigentlich zwei Möglichkeiten wie sowas passieren kann:

  • Der Angreifer schafft es eine Transaktion auf dem angeschlossenen Ledger zu autorisieren

  • Der Angreifer hat die Seedphrase

Leider gibt es unzählige Möglichkeiten bei denen der OP einen Fehler gemacht haben könnte.

Beispiele:

  • Wir wissen nicht wo er den Ledger gekauft hat, vielleicht war er von Anfang an kompromittiert.
    Er handelt sich auch um ein älteres Gerät das meines Wissens nach auch noch keine Device Attestation hatte.

    I have a hardware wallet (Ledger Nano S) since 2017

  • Wir wissen nicht wie er mit seinen Backups umgegangen ist. Vielleicht wurde seine Seedphrase doch irgendwann mal kompromittiert.

    Es gibt einen Satz bei dem ich hier im Forum wahrscheinlich sicherheitshalber nachgehakt hätte:

    Yesterday, I used my Metamask to access all my wallets for a balance status check

    Sollte „all my wallets“ bedeuten dass er den Seed seiner Hardware Wallet auch importiert hat dann hat sich die Sache ja erledigt. Bis sowas nicht eindeutig verneint wird bleibt es eine Möglichkeit, das sehen wir ja hier im Forum öfters.

    Man landet extrem schnell auf gefälschten Metamask Seiten oder hat eine gefälschte Extension installiert. Dem sind wahrscheinlich seine 3 Hot Wallets zum Opfer gefallen. Und…

    1. entweder wurde die Hardware ausgetrickst und hat eine Transaktion autorisiert
      35C3 - wallet.fail - YouTube

    2. seine Mnemonic war bereits kompromittiert oder er hat sie tatsächlich importiert

  • Sehr spekulativ aber möglich: Vielleicht konstruiert er einen Bootsunfall :sweat_smile:

Meine Meinung:

In seiner Geschichte fehlt irgendwas. Natürlich sind komplexe Angriffe auf Hardware Wallets möglich, aber diese gefälschten Metamask Angriffe sind in fast allen Fällen extrem simpel und low-tech.

Sie hoffen einfach darauf dass der Nutzer blöd genug ist seine Mnemonic zu importieren, alles andere wäre viel zu viel Aufwand. Und genau das ist in diesem Fall wahrscheinlich auch passiert.

Jemand der in der Lage wäre eine Transaktion auf einem Ledger Nano S zu autorisieren wäre garantiert nicht so blöd und schickt anschließend die Beute auf eine crypto.com KYC Adresse.

Siehe diese Antwort:


Und noch was: Ich würde niemals $120.000 auf einem einzigen Nano S liegen lassen ohne Passphrase oder Multisig. Das geht fast schon in Richtung fahrlässig.

Bei diesen Beträgen würde ich auch nicht volles Vertrauen in die Hardware stecken und trotz Werbeversprechen auf einen sauberen Rechner achten. Entweder hätte ich einen extra Rechner nur für die Wallet oder würde jedes mal Tails nutzen.

10 „Gefällt mir“

Hi,

@sutterseba soll das heißen das alle vor 2018 gekauften ledger nano s unsicher sind?
Anfang 2017 kostete ein BTC unter 2000.- Euro, da wird der eine oder andere mit über 100K euro rumliegen, da der Inhaber seine BTC einfach nur hodl.

1 „Gefällt mir“

Ich habe beruflich Ahnung von der Materie und für mich hat die „Story“ an allen Enden Ungenauigkeiten und ist auch so viel zu unpräzise. Ich hätte in der Infosec Community schon lange davon gelesen, sollte dort wirklich bei der Kryptografie, die im Ledger ist, etwas faul sein.

Also wie Basti & Sebastian sagten, keine Panik. Generell dumm 120k auf einer Wallet zu haben, aber darum geht’s ja nicht.

Ich glaube da hat jemand eher einen sehr dummen Fehler gemacht, eine Menge Geld verloren (bspw. auf eine falsche Addresse ausgezahlt) und versucht nun mit dem AMA auf Reddit das Ledger PR-Budget anzuzapfen. Weil fachlich-technisch ist die ganze Geschichte für mich schechterdings nicht nachvollziehbar, auch gibt es hier keinerlei Hinweise und auf konkrete Nachfragen wird ausweichend geantwortet.

4 „Gefällt mir“

Nein. Man sollte sie bei Gelegenheit aufsplitten und das in Ruhe. Ich würde mit der Wallet eben nicht irgendwas anders machen oder damit irgendwelche Transaktionen machen. Dann kann da nichts schief gehen.

1 „Gefällt mir“

Heißt das, man sollte aus Sicherheitsgründen ab einer bestimmten Summe seine BTC auf mehere Wallets verteilen?

Danke zunächst für deine Antworten und das ändern der Überschrift meines Threads!

Was ist denn Tails?

Heißt das, du würdest ab einem bestimmten Summe einen extra Rechner empfehlen nur für die Walletnutzung?

Es gibt bei dieser Frage kein „man soll“.

Das ist vollkommen subjektiv. Für mich als Student sind $120.000 eine astronomische Summe mit der ich extrem vorsichtig umgehen würde.

Für einen anderen ist das vielleicht ein normaler Investmentbetrag oder wie @Heino schon sagt landet man da gerne mal wenn man seit 2017 gehalten hat.

Ich persönlich finde schon dass man ab einer gewissen Summe, die man für sich selbst definieren muss, sich zusätzlich absichern sollte, z.B. durch eine Passphrase.

Stichwort ist ab einer bestimmten Summe. Ich mache das aktuell auch nicht, würde es aber wahrscheinlich bei extrem hohen Beträgen machen.

Tails ist sozusagen ein abgespecktes Betriebssystem auf einem USB-Stick. Jedes mal wenn du auf diesen Stick startest landest du in einem frisch augesetzten Linux. Die Wahrscheinlichkeit dass dir da Malware dazwischen funkt ist im Vergleich zu einem alltäglichen Windows Rechner quasi nicht vorhanden.

Aber nur um das klar zu stellen: Das ist, wenn man der Hardware Wallet vertraut, nicht notwendig! Die sind schließlich genau dafür konzipiert auch an einem kompromittierten Rechner zu funktionieren. Es geht darum dass selbst das kleinste bisschen Vertrauen ab einem bestimmten Betrag auch zum Risiko wird.

Nein, das wollte ich damit nicht sagen. Wie gesagt bin ich mir unsicher ob ältere Geräte sich selbst auf Echtheit überprüfen, bei Ledger konnte ich da nichts finden. Da sind wir dann aber beim Thema Supply Chain Attack. Ich weiß auch nicht wie viele Neuerungen beim aktuellen Modell im Vergleich zu damals dabei sind.

Trotzdem ist auch ein alter Nano S eine gute HW Wallet, auch wenn eine BB02 sicherlich einige Dinge besser macht.

Wie gesagt vermute ich bei diesem Fall einen Fehler beim OP, nicht einen Hardware Fehler beim Nano S.

8 „Gefällt mir“

infach https://tails.boum.org/ Tails benutzen.

2 „Gefällt mir“