Ledger, darparwr waledi arian cyfred digidol, wedi adrodd colled sylweddol i'w ddefnyddwyr. Dosbarthodd troseddwyr fersiwn maleisus o'r Ledger Connect Kit trwy ymosodiad gwe-rwydo ar gyn-weithiwr. Mae'r pecyn hwn yn llyfrgell JavaScript hanfodol sy'n cysylltu waledi crypto Ledger â chymwysiadau trydydd parti, a elwir hefyd yn wefannau sy'n gysylltiedig â waledi.
Ddoe, dioddefodd cyn weithiwr Ledger ymosodiad gwe-rwydo, gan arwain at hacwyr yn cael mynediad at ei gyfrif NPMJS. Mae NPMJS yn rheolwr pecyn canolog ar gyfer amgylchedd JavaScript Node.js, gan honni mai dyma'r storfa feddalwedd fwyaf yn y byd. Mae'n gartref i archif helaeth o becynnau cyhoeddus, preifat a masnachol.
Ar ôl cyrchu cyfrif y cyn-weithiwr, lledaenodd yr ymosodwyr fersiwn heintiedig o'r Ledger Connect Kit. Defnyddiodd y fersiwn dan fygythiad hon brosiect WalletConnect twyllodrus i ddargyfeirio arian o ddefnyddwyr y Cyfriflyfr i waledi'r ymosodwyr. Roedd y cod maleisus yn weithredol am tua phum awr, gyda lladrad cryptocurrency yn digwydd dros ddwy awr. Mae crypto-ymchwilydd ZachXBT yn amcangyfrif y golled i fod dros $600,000. Mae Ledger wedi ymrwymo i gynorthwyo'r dioddefwyr i adennill eu harian a chadarnhaodd fod yr ymosodiad wedi'i gyfyngu i apiau trydydd parti gan ddefnyddio'r Ledger Connect Kit.
Mae Ledger yn honni ei bod fel arfer yn amhosibl i gyn-weithiwr ddosbarthu fersiynau meddalwedd maleisus. Mae fersiynau newydd i fod i gael eu hadolygu gan bartïon lluosog cyn eu rhyddhau. Yn ogystal, dylai gweithwyr sy'n gadael y cwmni golli mynediad i systemau Cyfriflyfr. Fodd bynnag, nid yw Ledger wedi egluro pam y methodd y protocolau hyn, gan ei ddisgrifio fel 'digwyddiad ynysig'. Ers hynny maent wedi cyflwyno fersiwn lân o'r Pecyn Cyswllt Ledger ac wedi diweddaru'r 'cyfrinachau' ar gyfer dosbarthu cod trwy Ledger's GitHub.