ලෙජර්, ගුප්තකේතන මුදල් පසුම්බි සපයන්නා, වාර්තා කර ඇත එහි පරිශීලකයින්ට සැලකිය යුතු පාඩුවක්. අපරාධකරුවන් හිටපු සේවකයෙකුට තතුබෑම් ප්රහාරයක් හරහා Ledger Connect Kit හි අනිෂ්ට අනුවාදයක් බෙදා හැර ඇත. මෙම කට්ටලය ලෙජර් ක්රිප්ටෝ පසුම්බි තෙවන පාර්ශවීය යෙදුම් වෙත සම්බන්ධ කරන තීරණාත්මක ජාවාස්ක්රිප්ට් පුස්තකාලයකි, එය පසුම්බි-සම්බන්ධිත වෙබ් අඩවි ලෙසද හැඳින්වේ.
ඊයේ, හිටපු ලෙජර් සේවකයෙකු තතුබෑම් ප්රහාරයකට ගොදුරු වූ අතර, එහි ප්රතිඵලයක් ලෙස හැකර්වරුන්ට ඔහුගේ NPMJS ගිණුමට ප්රවේශය ලැබිණි. NPMJS යනු JavaScript පරිසරය Node.js සඳහා වන මධ්යම පැකේජ කළමනාකරුවෙකි, එය ලොව විශාලතම මෘදුකාංග ගබඩාව ලෙස ප්රකාශ කරයි. එය පොදු, පුද්ගලික සහ වාණිජ පැකේජ විශාල ලේඛනාගාරයක් සත්කාරකත්වය දරයි.
හිටපු සේවකයාගේ ගිණුමට ප්රවේශ වූ පසු, ප්රහාරකයින් Ledger Connect Kit හි ආසාදිත අනුවාදයක් පතුරුවා හැර ඇත. මෙම සම්මුතිගත අනුවාදය ලෙජර් භාවිතා කරන්නන්ගෙන් අරමුදල් ප්රහාරකයින්ගේ මුදල් පසුම්බි වෙත හරවා යැවීමට හොර WalletConnect ව්යාපෘතියක් භාවිතා කළේය. පැය දෙකකට වැඩි කාලයක් ගුප්ත ව්යවහාර මුදල් සොරකම් සිදු වීමත් සමඟ ද්වේෂ සහගත කේතය පැය පහක් පමණ සක්රිය විය. Crypto-පර්යේෂක ZachXBT පාඩුව ඇස්තමේන්තු කරයි ඩොලර් 600,000 කට වඩා වැඩි විය යුතුය. ලෙජර් වින්දිතයින්ට ඔවුන්ගේ අරමුදල් අයකර ගැනීමට සහය වීමට කැපවී සිටින අතර ප්රහාරය Ledger Connect Kit භාවිතා කරන තෙවන පාර්ශවීය යෙදුම්වලට සීමා වූ බව තහවුරු කළේය.
ලෙජර් කියා සිටින්නේ හිටපු සේවකයෙකුට අනිෂ්ට මෘදුකාංග අනුවාද බෙදා හැරීම සාමාන්යයෙන් කළ නොහැකි බවයි. නව අනුවාදයන් මුදා හැරීමට පෙර පාර්ශව කිහිපයක් විසින් සමාලෝචනය කළ යුතුය. මීට අමතරව, සමාගම හැර යන සේවකයින්ට ලෙජර් පද්ධති වෙත ප්රවේශය අහිමි විය යුතුය. කෙසේ වෙතත්, මෙම ප්රොටෝකෝල අසාර්ථක වූයේ මන්දැයි ලෙජර් පැහැදිලි කර නොමැති අතර එය 'හුදකලා සිදුවීමක්' ලෙස විස්තර කරයි. එතැන් සිට ඔවුන් Ledger Connect Kit හි පිරිසිදු අනුවාදයක් එළිදක්වා ඇති අතර Ledger's GitHub හරහා කේතය බෙදා හැරීම සඳහා 'රහස්' යාවත්කාලීන කර ඇත.