Krypto Diebstahl bei Hardware Wallets und Ledger - so schützt man sich richtig.

Es ist beunruhigend. Immer häufiger erreichen uns Anfragen von Anlegern, die ihre Kryptocoins auf Hardware-Wallets sicher verwahrt wissen wollten. Die Seedphrase wurde auf Papier notiert .. und doch gelang es Tätern, die Wallet leer zu räumen. Wie kann das sein? 

Die vermeintliche Sicherheit von Hardware-Wallets ist auf dem Prüfstand: In der Welt der Kryptowährungen galten Hardware-Wallets lange Zeit als sicherste Methode zur Aufbewahrung digitaler Assets. In diesem Beitrag fassen wir die letzten bekannten Fälle von Bitcoin-Diebstahl bei Hardware Wallets zusammen und geben Tipps, wie man sich besser schützen kann. 

Wer zu diesem Thema recherchiert, kommt an einem Namen nicht vorbei: Ledger, ein führender Hersteller solcher Geräte, genoss einen exzellenten Ruf. Doch jüngste Vorfälle haben Zweifel an der Unverwundbarkeit dieser Lösung aufkommen lassen.

Der Ledger Connect Kit Hack (2023)

Am 14. Dezember 2023 erschütterte ein schwerwiegender Angriff auf Ledger die Krypto-Community. Hacker manipulierten die Connect Kit Bibliothek des Unternehmens, die von zahlreichen DeFi-Protokollen genutzt wird. Durch das Einschleusen von bösartigem Code in die GitHub-Bibliothek gelang es den Angreifern, Krypto-Assets im Wert von mindestens 484.000 US-Dollar zu entwenden.

Gefälschte Ledger Live-App

Eine gefälschte Version der Ledger Live-App wurde im Microsoft App Store entdeckt und führte zum Diebstahl von etwa 588.000 US-Dollar in Bitcoin. Der On-Chain-Analyst ZachXBT identifizierte die betrügerische Anwendung "Ledger Live Web3" am 5. November 2023. Diese imitierte die offizielle Ledger Live-App, die zur Verwaltung von Ledger-Hardware-Wallets dient. 

Die Betrüger erhielten rund 16,8 BTC über 38 Transaktionen auf die Wallet-Adresse "bc1q....y64q". Die erste Transaktion erfolgte am 24. Oktober, die meisten jedoch nach dem 2. November, wobei die größte am 4. November mit 81.200 US-Dollar stattfand. ZachXBT berichtete, dass Microsoft die gefälschte App möglicherweise entfernt hat. Ledger betonte, dass die einzige sichere Quelle für den Download der Ledger Live-App die offizielle Webseite ledger.com ist.  

Physische Angriffe auf Hardware-Wallets

Neben Software-Schwachstellen sind auch direkte physische Angriffe auf Hardware-Wallets möglich. Forscher haben verschiedene Methoden demonstriert, wie selbst vermeintlich sichere Geräte kompromittiert werden können:

1. Power Glitching: Durch gezielte Überlastung der Stromversorgung kann der Mikrocontroller-Chip verwundbar gemacht und sensible Daten können extrahiert werden.

2. Hardware-Implantate: Josh Datko gelang es, ein günstiges Implantat in ein Ledger Nano S einzubauen, das volle Kontrolle über das Gerät ermöglichte.

3. Seitenkanalangriffe: Das Ledger Blue zeigte sich anfällig für solche Attacken, bei denen physikalische Informationen wie Stromverbrauch oder elektromagnetische Abstrahlung analysiert werden.

4. Spannungsstörungen: Beim Trezor One konnten Forscher durch gezielte Spannungsmanipulation Zugriff auf den RAM des Chips erlangen und so an kryptografische Seeds gelangen.

Lieferketten-Angriffe auf Hersteller von Hardware-Wallets 

Ein weiteres Risiko stellen Manipulationen in der Lieferkette dar. Hardware-Wallets können theoretisch bereits vor dem Kauf kompromittiert werden. Obwohl Hersteller wie "Ledger" versuchen, diesem Problem mit Sicherheitsaufklebern und Online-Verifizierungsmöglichkeiten zu begegnen, bleibt ein Restrisiko bestehen.

Ledgers Reaktion und Sicherheitsmaßnahmen

Trotz der aufgedeckten Schwachstellen arbeitet Ledger kontinuierlich an der Verbesserung seiner Sicherheitsarchitektur:

1. Secure Element: Ledger verwendet einen nach Militärstandard gesicherten Chip, der in hochwertigen Sicherheitslösungen wie Reisepässen zum Einsatz kommt.

2. BOLOS Betriebssystem: Das selbstentwickelte Betriebssystem isoliert Anwendungen voneinander, um die Auswirkungen potenzieller Schwachstellen zu begrenzen.

3. Internes Hacker-Team: Ledger beschäftigt ein Team von Sicherheitsexperten, die proaktiv nach Schwachstellen suchen[2].

Fazit: So macht man Hardware-Wallets sicher

Während Hardware-Wallets wie die von Ledger nach wie vor zu den sichersten Lösungen für die Aufbewahrung von Kryptowährungen zählen, zeigen die jüngsten Vorfälle, dass auch sie nicht unverwundbar sind. Nutzer sollten sich der potenziellen Risiken bewusst sein und zusätzliche Sicherheitsmaßnahmen ergreifen:

- Regelmäßige Firmware-Updates durchführen

- Geräte nur von autorisierten Händlern beziehen (Vorsicht bei Internet-Marktplätzen) 

- Multisignatur-Lösungen in Betracht ziehen

- Große Bestände auf mehrere Wallets verteilen

Letztendlich bleibt die Sicherheit von Krypto-Assets eine ständige Herausforderung, die Wachsamkeit und proaktives Handeln seitens der Nutzer erfordert.