Ledger (Live) - Angebote / Diskussion / Hilfe

[bob123]

Dazu mal ne Frage, weil es passt und wir das bei Electrum auch hatten: Wer betreibt die Server zu denen sich die LedgerLive Software verbindet und (wahrscheinlich beantworte ich mir das gerade selbst) muß man beim Einsatz der Software einfach darauf vertrauen, das alles so richtig und sicher ist? Mit euren Paranoid Meldungen, habt ihr mich jetzt echt wuschig gemacht

Die Server werden direkt von Ledger betrieben.

Es kommt immer darauf an was für ein Angreifer- bzw. Gefahrenmodell du hast.

Ledger Live ist open source und die Releases sind mit dem Entwickler Schlüssel signiert.
Unter Windows siehst du ja beim Installieren / Ausführen von wem diese Datei signiert wurde (sollte Ledger o.Ä. sein und nicht Unbekannter Herausgeber).
Unter Linux musst du die Signatur selbstständig prüfen. Mehr dazu steht auf der Github Seite unter Signed Hashes.


Selbstverständlich kann die Software auch mal kompromittiert sein (Dann passen die Hashes/Signaturen aber nicht).
Da die Software nur als Interface für dein HW Wallet verwendet wird, sind deine Coins trotzdem sicher.

Mit einer kompromittierten Software wäre es u.a. möglich falsche Transaktionen an dein HW Wallet zu senden oder eine Mnemonic Code Eingabe am Rechner zu provozieren.
Wenn du die Transaktionen am HW Wallet immer kontrollierst und nicht blind alles akzeptierst und deinen Mnemonic Code nie über den Rechner eintippst, bleiben die BTC safe.

[1714007455]

1714007455

[1714007455]

1714007455

[1714007455]

1714007455

[Lakai01]

Wenn du die Transaktionen am HW Wallet immer kontrollierst und nicht blind alles akzeptierst und deinen Mnemonic Code nie über den Rechner eintippst, bleiben die BTC safe.

Das ist eigentlich der einzig wichtige, stets zu befolgende Hinweis: nie, absolut nie den Mnemonic Code oder private Key eintippen

Alle bekannten Angriffsvektoren, wo "plötzlich" Coins aus den Wallets verschwanden war aufgrund der Tatsache, dass der Code oder der PK dem Angreifer bekannt wurden (gefakte Webseiten für Airdrops, Malware, Scams über Telegram und co., ...). Gibt man diese Daten nicht bekannt so kann auch niemand Zugriff auf die Coins erlangen.

[Kamix]

Vielen Dank für die Antwort. Ich habe gerade eben eine Mail von support@legder.de (Betrüger,Vorsicht) bekommen und dort steht folgendes:

"Sehr geehrte Kundin,

Wir bedauern, Ihnen mitteilen zu müssen, dass es in Ledger zu einer Sicherheitsverletzung gekommen ist. Betroffen sind etwa 46.000 unserer Kunden. Leider ist auch das mit Ihrer E-Mail-Adresse verknüpfte Wallet (Mailadresse) von der Verletzung betroffen.

Am 2. November 2020 hat unser Forensikteam festgestellt, dass mehrere der Verwaltungsserver von Ledger Live mit Malware infiziert sind.

Derzeit ist es technisch unmöglich, die Schwere und Reichweite der Sicherheitsverletzung abschließend festzustellen. Aufgrund dieser Gegebenheiten müssen wir davon ausgehen, dass für Ihre Kryptowährungs-Assets das Risiko besteht, entwendet zu werden.

Sie erhalten diese E-Mail, weil Sie von dem Vorfall ebenfalls betroffen sind. Um Ihre Assets zu schützen, laden Sie bitte die neueste Version von Ledger Live herunter und folgen Sie den Anweisungen, um eine neue PIN für Ihr Wallet festzulegen.
 
Mit freundlichen Grüßen,
Ledger "

Die Mail sieht 1:1 aus und man merkt es eigentlich an nur zwei Sachen, die ich jeweils dick geschrieben bzw. markiert habe.

Ich möchte kurz mitteilen, dass die E-Mails weiterhin von der Betrügeradresse versandt werden. Ich habe die gleiche E-Mail heute gegen 11:30 erhalten. Gibt es eine Möglichkeit den Absender der E-Mail zu melden?

[Real-Duke]

Vielen Dank für die Antwort. Ich habe gerade eben eine Mail von support@legder.de (Betrüger,Vorsicht) bekommen und dort steht folgendes:

"Sehr geehrte Kundin,

Wir bedauern, Ihnen mitteilen zu müssen, dass es in Ledger zu einer Sicherheitsverletzung gekommen ist. Betroffen sind etwa 46.000 unserer Kunden. Leider ist auch das mit Ihrer E-Mail-Adresse verknüpfte Wallet (Mailadresse) von der Verletzung betroffen.

Am 2. November 2020 hat unser Forensikteam festgestellt, dass mehrere der Verwaltungsserver von Ledger Live mit Malware infiziert sind.

Derzeit ist es technisch unmöglich, die Schwere und Reichweite der Sicherheitsverletzung abschließend festzustellen. Aufgrund dieser Gegebenheiten müssen wir davon ausgehen, dass für Ihre Kryptowährungs-Assets das Risiko besteht, entwendet zu werden.

Sie erhalten diese E-Mail, weil Sie von dem Vorfall ebenfalls betroffen sind. Um Ihre Assets zu schützen, laden Sie bitte die neueste Version von Ledger Live herunter und folgen Sie den Anweisungen, um eine neue PIN für Ihr Wallet festzulegen.
 
Mit freundlichen Grüßen,
Ledger "

Die Mail sieht 1:1 aus und man merkt es eigentlich an nur zwei Sachen, die ich jeweils dick geschrieben bzw. markiert habe.

Ich möchte kurz mitteilen, dass die E-Mails weiterhin von der Betrügeradresse versandt werden. Ich habe die gleiche E-Mail heute gegen 11:30 erhalten. Gibt es eine Möglichkeit den Absender der E-Mail zu melden?

Um solche Probleme zu lösen, sehe ich den Ledger Support auch in der Pflicht. Evtl kannst Du die mail denen einmal weiterleiten, damit sie das übernehmen - schon aus eigenem Interesse.

@bob123 + asche
Ging mir nicht unbedingt um die Server für die Softwareinstallation und updates, sondern um z.B. die server auf denen man seinen Coinbestand abfragt. Diese sind bestimmt auch nur in den Händen von Ledger und man muß ihnen einfach vertrauen, das sie Infos welche IP welche Adressen abfragt nicht weitergeben!?

[bob123]

Ging mir nicht unbedingt um die Server für die Softwareinstallation und updates, sondern um z.B. die server auf denen man seinen Coinbestand abfragt. Diese sind bestimmt auch nur in den Händen von Ledger und man muß ihnen einfach vertrauen, das sie Infos welche IP welche Adressen abfragt nicht weitergeben!?

Ja, die werden auch von Ledger betrieben.
Und ja, man muss ihnen vertrauen, dass sie dir einerseits die richtigen Informationen weiterleiten und 2) dass sie kein Daten sammeln / weitergeben.

Zum Glück lässt sich der Ledger mit anderen SPV Wallets (z.B. Wasabi) nutzen 

[asche]

@bob123 + asche
Ging mir nicht unbedingt um die Server für die Softwareinstallation und updates, sondern um z.B. die server auf denen man seinen Coinbestand abfragt. Diese sind bestimmt auch nur in den Händen von Ledger und man muß ihnen einfach vertrauen, das sie Infos welche IP welche Adressen abfragt nicht weitergeben!?

Ich denke Coinbestand usw wird nur über API von drittanbietern abgerufen. Bzw Blockstream Kraken/Binance usw

[Lakai01]

Ich denke Coinbestand usw wird nur über API von drittanbietern abgerufen. Bzw Blockstream Kraken/Binance usw

Meine ich auch gelesen zu haben, ja. Ich finde dazu aber auf die Schnelle keine Referenz. Wär auch nicht weiter tragisch sollten sie die Bestände selbst ermitteln und über einen Server verwalten. Wenn dieser kompromittiert wird sieht man maximal falsche Werte, Zugriff auf deine Coins würden sie so niemals erlangen

Woher sie die Kurse deiner Coins beziehen kann man übrigens neuerdings (?) in den Einstellungen selbst festlegen:

[Soonandwaite]

Also wenn ich jetzt einen neuen Laptop einrichte und Ledger Live installiert habe kann ich die entsprechenden Wallets installieren,
z.b. BTC,ETT ,Doge und dann den Stick anschließen. Dann die Wallet aktuallisieren und die Werte der entsprechenen Wallet werden angezeigt ?
Sollte dann ja egal sein weche Ledger Live Software man nutzt,also ich meine man kann ja einen Stick auf mehreren Laptops "betreiben"
Ist das so in etwa korrekt ?

Und kann man eigentlich das Einloggpasswort für die Ledger Live ändern wenn man die Software geöffnet hat ?

[Buchi-88]

Also wenn ich jetzt einen neuen Laptop einrichte und Ledger Live installiert habe kann ich die entsprechenden Wallets installieren,
z.b. BTC,ETT ,Doge und dann den Stick anschließen. Dann die Wallet aktuallisieren und die Werte der entsprechenen Wallet werden angezeigt ?
Sollte dann ja egal sein weche Ledger Live Software man nutzt,also ich meine man kann ja einen Stick auf mehreren Laptops "betreiben"
Ist das so in etwa korrekt ?

Und kann man eigentlich das Einloggpasswort für die Ledger Live ändern wenn man die Software geöffnet hat ?

Ich habe das zwar noch nicht versucht, aber die Apps sind doch am Ledger installiert, also Ledger Live installieren danach den Ledger verbinden und dort sind beim bereits installierten Ledger die Apps bereits vorhanden oder man installiert die benötigten dazu, wenn der Speicherplatz rar ist muss man halt das ein oder andere deinstallieren.

Das Passwort kannst du ganz einfach unter Settings wechseln.

[Real-Duke]

Also wenn ich jetzt einen neuen Laptop einrichte und Ledger Live installiert habe kann ich die entsprechenden Wallets installieren,

...und wenn man so ein Faulpelz ist wie ich und die LedgerLive Software auf mehreren Windows Computern nutzt, kann man ganz easy die nach den eigenen Bedürfnissen "eingerichtete" Installation aus dem Ordner
C:\Users\BENUTZERNAME\AppData\Roaming\Ledger Live
auf einen USB Stick etc sichern und anschließend auf einem anderen PC wiederherstellen.

[Soonandwaite]

Also wenn ich jetzt einen neuen Laptop einrichte und Ledger Live installiert habe kann ich die entsprechenden Wallets installieren,

...und wenn man so ein Faulpelz ist wie ich und die LedgerLive Software auf mehreren Windows Computern nutzt, kann man ganz easy die nach den eigenen Bedürfnissen "eingerichtete" Installation aus dem Ordner
C:\Users\BENUTZERNAME\AppData\Roaming\Ledger Live
auf einen USB Stick etc sichern und anschließend auf einem anderen PC wiederherstellen.

Cool. Auch gute Idee. Werde ich mal ausprobieren wenn es mal so weit ist.Voher dann aber den AppData Ordner sichtbar machen . Ausgeblendete Elemente sichtbar machen.
Sonst sucht sich derjenige der es nicht sichtbar hat dumm und dusselig und sieht kein AppData Ordner auf C:\Users\Doofkieken\AppData\Roaming\Ledger Live 

[Real-Duke]

Voher dann aber den AppData Ordner sichtbar machen . Ausgeblendete Elemente sichtbar machen.
Sonst sucht sich derjenige der es nicht sichtbar hat dumm und dusselig und sieht kein AppData Ordner auf C:\Users\Doofkieken\AppData\Roaming\Ledger Live 

Guter Hinweis! Ich habe immer alle Dateien und Endungen sichtbar, das ist an jedem PC nach dem Aufsetzen eine Standardprozedur. Das machen die Meisten bestimmt nicht und dann passt es mit dem "Doofkieken" schon ganz gut. Bin gespannt, wer jetzt alles google bemühen muss, für den gewählten Begriff

[bob123]

Voher dann aber den AppData Ordner sichtbar machen . Ausgeblendete Elemente sichtbar machen.
Sonst sucht sich derjenige der es nicht sichtbar hat dumm und dusselig und sieht kein AppData Ordner auf C:\Users\Doofkieken\AppData\Roaming\Ledger Live 

Mithilfe von "Befehl ausführen" (WIN + R) und daraufhin der Eingabe von %APPDATA%, lässt sich der AppData Ordner ebenfalls schnell öffnen.
Unabhängig davon ob die versteckten Ordner und Dateien sichtbar gemacht wurden. 

Ich denke Coinbestand usw wird nur über API von drittanbietern abgerufen. Bzw Blockstream Kraken/Binance usw

Hmm, das wundert mich ein wenig.. setzten die nicht mal eigene Nodes auf? 
Die erwähnten Probleme (Integrität + Privatsphäre) bleiben leider weiterhin bestehen bzw. sind dann sogar noch schlimmer.

[mole0815]

Schön zu sehen wie sich Ledger der Sache annimmt.

Dear client,

Ledger users are under attack and targeted by a phishing scam (here is a link to understand the anatomy of a phishing attack).
Kraken Security Lab has done a great job at describing what’s going on and we appreciate their help in this matter :
https://blog.kraken.com/post/6746/ledger-phishing-scam-targets-crypto-hardware-wallet-users/
Today, we want to let you know that Ledger is fighting hard to defeat the scammers.
But we also want to let you know that we’ll be stronger together.
Help us #StopTheScammers

The two main ideas you should leave with after reading this post are :
    Never share your 24 words with anyone.
    Help us take the scammers websites down.

The best way to stop the scammers is to take their websites down as quickly as possible. Here's how you can help:
    Spread the word: talk to your friends and your communities and let them know that they must never share their 24 words with anyone under any circumstances, Ledger will never ask for their 24 words. No one should ever ask you for your 24 words… It’s something that you must absolutely keep for you.
    If you have received a phishing attempt or if you are aware of an illegal website, like the ones above, please report it to Google Safebrowsing. The more we report these illegal websites to Google, the more difficult it will be for scammers to deceive our Ledger users.
    If you have received a phishing attempt, you can file a complaint with your local criminal authority.

Phishing scams are one of the critical problems in cybercrime. The Ledger community will be better protected if we all work together.
When you find a scam, report it to the community: #StopTheScammers
We understand the stress and uncertainty these phishing attacks may be causing you. We want to assure you that our team is doing everything in our power to stop these attacks.

What is our team doing ?
    Members of our Donjon security team are continuously tracing the scammers' new website URLs, so that we can  share the necessary technical information for the relevant authorities
    Managing and updating an on-going criminal complaint through the French Public Prosecutor to enable the police force to identify and prosecute those responsible.
    Subpoena requests have been sent in the US and in France to obtain from the internet intermediaries and communications operators full disclosure of the identity of the responsible.
    Reaching out to international cyberdefense organizations to bring the case to their knowledge. This is a way to increase the magnitude of this complaint by using these international cyberdefense organizations enormous and transnational capabilities.
    Our brand protection internal and external teams are reporting illegal  websites to abuse contact of the registrars. Within the last few weeks, 87 websites have been reported and 42 shutdowns. Some registrar fail to be reactive which explains why websites are still active despite Ledger notifying them several times following the abuse procedure.
    Communicating with our customers and community, answering thousands of questions and updating users with new information as it is available through our support center, Twitter, Facebook, email, Reddit, etc.

We will be stronger together.
#StopTheScammers

Pascal Gauthier
CEO at Ledger

Quelle: Ledger Newsletter von noreply@ledger.com



Weiterführende Links:
https://www.ledger.com/anatomy-of-a-phishing-attack
https://blog.kraken.com/post/6746/ledger-phishing-scam-targets-crypto-hardware-wallet-users/

[Soonandwaite]

Schön zu sehen wie sich Ledger der Sache annimmt.

Dear client,

Ledger users are under attack and targeted by a phishing scam (here is a link to understand the anatomy of a phishing attack).
Kraken Security Lab has done a great job at describing what’s going on and we appreciate their help in this matter :
https://blog.kraken.com/post/6746/ledger-phishing-scam-targets-crypto-hardware-wallet-users/
Today, we want to let you know that Ledger is fighting hard to defeat the scammers.
But we also want to let you know that we’ll be stronger together.
Help us #StopTheScammers

The two main ideas you should leave with after reading this post are :
    Never share your 24 words with anyone.
    Help us take the scammers websites down.

The best way to stop the scammers is to take their websites down as quickly as possible. Here's how you can help:
    Spread the word: talk to your friends and your communities and let them know that they must never share their 24 words with anyone under any circumstances, Ledger will never ask for their 24 words. No one should ever ask you for your 24 words… It’s something that you must absolutely keep for you.
    If you have received a phishing attempt or if you are aware of an illegal website, like the ones above, please report it to Google Safebrowsing. The more we report these illegal websites to Google, the more difficult it will be for scammers to deceive our Ledger users.
    If you have received a phishing attempt, you can file a complaint with your local criminal authority.

Phishing scams are one of the critical problems in cybercrime. The Ledger community will be better protected if we all work together.
When you find a scam, report it to the community: #StopTheScammers
We understand the stress and uncertainty these phishing attacks may be causing you. We want to assure you that our team is doing everything in our power to stop these attacks.

What is our team doing ?
    Members of our Donjon security team are continuously tracing the scammers' new website URLs, so that we can  share the necessary technical information for the relevant authorities
    Managing and updating an on-going criminal complaint through the French Public Prosecutor to enable the police force to identify and prosecute those responsible.
    Subpoena requests have been sent in the US and in France to obtain from the internet intermediaries and communications operators full disclosure of the identity of the responsible.
    Reaching out to international cyberdefense organizations to bring the case to their knowledge. This is a way to increase the magnitude of this complaint by using these international cyberdefense organizations enormous and transnational capabilities.
    Our brand protection internal and external teams are reporting illegal  websites to abuse contact of the registrars. Within the last few weeks, 87 websites have been reported and 42 shutdowns. Some registrar fail to be reactive which explains why websites are still active despite Ledger notifying them several times following the abuse procedure.
    Communicating with our customers and community, answering thousands of questions and updating users with new information as it is available through our support center, Twitter, Facebook, email, Reddit, etc.

We will be stronger together.
#StopTheScammers

Pascal Gauthier
CEO at Ledger

Quelle: Ledger Newsletter von noreply@ledger.com



Weiterführende Links:
https://www.ledger.com/anatomy-of-a-phishing-attack
https://blog.kraken.com/post/6746/ledger-phishing-scam-targets-crypto-hardware-wallet-users/

Dachte eben zuerst ich bin im englischen Forum gelandet Ich bin dafür das so etwas hier immer übersetzt werden sollte  
So.Genug gelästert und ab damit in den Deepl Übersetzer ( 3228 Zeichen )

[mole0815]

Dachte eben zuerst ich bin im englischen Forum gelandet Ich bin dafür das so etwas hier immer übersetzt werden sollte  
So.Genug gelästert und ab damit in den Deepl Übersetzer ( 3228 Zeichen )

Berechtiger Einwand. Newsletter oÄ. hatte ich bisher nicht zwingend übersetzt.... habe die relevanten Punkte allerdings markiert damit es einfacher ist
Aber hier der wichtige Teil noch übersetzt:

The two main ideas you should leave with after reading this post are :
    Never share your 24 words with anyone.
    Help us take the scammers websites down.

Die zwei Hauptpunkte die Ihnen im Gedächtnis bleiben sollten:
    Teilen Sie Ihre 24 Worte niemals mit jemandem.
    Helfen Sie uns, die Websites der Betrüger zu melden und stillzulegen.

Punkt 1 ist sehr wichtig und so lange man sich daran hält ist man schon halbwegs safe (ups wieder englisch -> also sicher)

[bob123]

Punkt 1 ist sehr wichtig und so lange man sich daran hält ist man schon halbwegs safe (ups wieder englisch -> also sicher)

Und Punkt 2 wäre jede Transaktion auf dem Ledger (oder auch Trezor) zu überprüfen und nicht einfach blind auf "Signieren" zu drücken. 

Wenn ich schätzen müsste, würde ich sagen mit den zwei Punkten wären schon 99%+ aller Fälle von gestohlenen Coins aus Hardware Wallets aufgeklärt.

[Polisius]

Hallo,

Gibt es was neues zu Angeboten (Black Friday) für Leger NANO S und NANO X.

Auf der Webseite von Ledger und bei Amazon habe ich nichts gefunden.

Hat jemand Infos ?

Danke

Robert

[JL0]

Hallo,

Gibt es was neues zu Angeboten (Black Friday) für Leger NANO S und NANO X.

Auf der Webseite von Ledger und bei Amazon habe ich nichts gefunden.

Hat jemand Infos ?

Danke

Robert

Wir haben noch paar Tage bis dahin. Abwarten und Tee trinken 
Da kommt bestimmt was auf Ledger einfach 1-2 Tage vorher nachschauen.

[Soonandwaite]

Es wird so weit ich informiert bin und auch in den einschlägigen Foren lese 40% auf den Leger Nano s und Ledger Nano X geben.
Das ist schon eine gute Ersparnis in meinen Augen wenn es denn auch  so kommt.
Die Aktion startet schon am 23 November gegen 16 Uhr. Also noch ein wenig warten und dann zuschlagen
Der Preis für den Ledger Nano X mit  71,40 Euro ist natürlich schon nicht so schlecht   35,40€ für den Nano S . Immer plus Porto wahrscheinlich


Quelle: https://coin-ratgeber.de/ledger-black-friday-sale/