Crypto alert – Kritieke bug in Ledger wallet, update je firmware

Er is een kritieke bug gevonden in de Ledger hardware wallets waardoor gebruikers riskeren al hun Bitcoin te verliezen. De bug is inmiddels met de laatste 1.5.5 firmware update opgelost, maar velen hebben hun hardware wallet nog niet geüpdatet. Ledger communiceerde de kritieke bug nauwelijks. Veel mensen namen daardoor aan dat de firmware update een betrekkelijk onbelangrijke was. Nu blijkt echter dat het om een zeer ernstige bug gaat. Gebruikers van Ledger hardware wallets die de update niet hebben uitgevoerd riskeren hun complete portfolio.

Ledger Bitcoin wallet bug

Door de bug is het mogelijk dat hackers tijdens een transactie een complete Bitcoin portfolio kunnen leegroven. Wanneer de bug wordt geëxploiteerd lijkt alles normaal en vindt de transactie gewoon plaats. Alle overige fondsen op de wallet worden echter tegelijkertijd doorgestuurd naar de hackers. Sergey Lappo, een ontwikkelaar van de Mycelium wallet, ontdekte de bug in november al. Hij maakte de bug in de Ledger Bitcoin wallet direct aan de fabrikant bekend die sindsdien een update heeft uitgebracht om het probleem op te lossen. Ledger communiceerde de ernst van de bug en de noodzaak voor de update echter vrij beperkt.

Koop gemakkelijk en snel Bitcoin bij Bitvavo. Ga aan de slag en betaal geen handelskosten voor je eerste aankoop tot €1.000 !

Update van groter belang dan gedacht

Veel mensen denken dan ook dat de update niet strikt noodzakelijk is en dat het wel even kan wachten. Bovendien heeft de 1.5.5 firmware als nadeel dat het meer ruimte in beslag neemt. Daardoor is er minder ruimte beschikbaar op het apparaatje om crypto-apps te installeren. Veel mensen rapporteren dat zij na de firmware update nog maar twee verschillende cryptovaluta apps op hun Ledger wallet kunnen installeren. Er heerst daarom onder veel mensen een onuitgesproken consensus om te wachten tot de volgende firmware update. Nu details van de bug zijn gepubliceerd blijkt echter dat de bug zeer ernstig is. Gebruikers die verzaken te updaten lopen grote risico’s. Dit geld vooral mensen die door de aanhoudende bear market minder het nieuws volgen. Zij lopen risico het nieuws over de update te hebben gemist.

Hoe werkt de bug?

De bug kan worden geëxploiteerd wanneer een gebruiker wordt geconfronteerd met een betaalscherm dat er misbruik van probeert te maken. De betaling vindt gewoon plaats maar tijdens dezelfde transactie worden de overige fondsen uit de wallet weggesluisd. Dat is mogelijk vanwege de manier waarop bitcointransacties op de blockchain werken. Bij Bitcoin bestaan namelijk eigenlijk geen adressen zoals we ze normaal kennen. Er bestaat alleen een geschiedenis van transacties die aan elkaar worden gekoppeld. Een uitgaande Bitcoin betaling (output) bestaat dan ook uit een combinatie van eerdere binnengekomen transacties (inputs). Omdat het uitgaande bedrag meestal niet exact overeenkomt met eerdere binnengekomen betalingen blijft er meestal een beetje ‘wisselgeld’ over.

Dat stuurt de blockchain terug naar de wallet van de gebruiker. Dat gebeurt op de achtergrond en je merkt daar normaal gesproken niets van. Dit mechanisme kan echter door de bug misbruikt worden. Door de bug kunnen álle binnengekomen betalingen worden gebruikt om de uitgaande betaling te creëren. De volledige fondsen worden er dus voor ingezet. Het wisselgeld wordt vervolgens niet teruggestuurd naar de gebruiker maar stiekem naar de wallet van een hacker. Op deze manier wordt de gehele wallet geroofd, minus het uitgaande bedrag voor de betaling.

Firmware 1.5.5

Gelukkig is de bug in de Ledger Bitcoin wallet op te lossen door de laatste Ledger firmware via de bijbehorende software te installeren. Eventueel is er ook de optie om enkel de Bitcoin app op de Ledger te updaten. Om het zekere voor het onzekere te nemen raden wij aan om de Ledger en alle apps erop volledig up to date te houden. Maak in ieder geval géén transacties zonder eerst de update uit te voeren. Heb je in de afgelopen maanden de Bitcoin app al eens opnieuw op het apparaatje geïnstalleerd? Dan heb je de update waarschijnlijk al. Ligt je wallet echter al een tijdje weggeborgen dan is het zaak om bij het eerstvolgende gebruik eerst de update uit te voeren.

Slechte communicatie

Ledger communiceerde de kritieke bug nauwelijks. In de aankondiging van de 1.5.5 firmware update werd de bug wel kort vermeld maar niet toegelicht. Bij velen ontbrak daardoor besef over de risico’s. Nu details omtrent de bugs op internet rondgaan wordt langzaam duidelijk hoe groot de risico’s van niet updaten zijn. Reacties van het Ledger team lijken mild. Volgens hen voldeed de aankondiging van de 1.5.5 firmware prima om iedereen op de hoogte brengen. De pr-afdeling van de hardware wallet fabrikant houdt er wel vaker een stugge houding op na.

Ledger

Ledger is een Franse fabrikant van cryptovaluta hardware wallets. Al in 2014 brachten zij hun eerste model uit, de Ledger Nano. In 2017 wist Ledger met de Ledger Nano S marktleider te worden vanwege de lage prijs en de grote variëteit aan cryptovaluta die worden ondersteunt. Hardware wallets worden door de meeste crypto-enthousiastelingen geprezen en aangeraden om cryptovaluta veilig van hackers te bewaren. Lees hier meer over hardware wallets en het veilig bewaren van cryptovaluta.

Lees meer over:
Bitcoin nieuwsbugLedger