Ledger, mtoaji wa pochi za cryptocurrency, ina taarifa hasara kubwa kwa watumiaji wake. Wahalifu walisambaza toleo hasidi la Ledger Connect Kit kupitia shambulio la hadaa kwa mfanyakazi wa zamani. Seti hii ni maktaba muhimu ya JavaScript inayounganisha pochi za Ledger crypto na programu za watu wengine, zinazojulikana pia kama tovuti zilizounganishwa kwenye pochi.
Jana, mfanyakazi wa zamani wa Ledger aliangukiwa na shambulio la hadaa, na kusababisha wadukuzi kupata ufikiaji wa akaunti yake ya NPMJS. NPMJS ni kidhibiti kikuu cha kifurushi cha Node.js ya mazingira ya JavaScript, inayodai kuwa hazina kubwa zaidi ya programu ulimwenguni. Inahifadhi kumbukumbu kubwa ya vifurushi vya umma, vya faragha na vya kibiashara.
Baada ya kufikia akaunti ya mfanyakazi wa zamani, wavamizi walieneza toleo lililoambukizwa la Ledger Connect Kit. Toleo hili lililoathiriwa lilitumia mradi mbovu wa WalletConnect kuelekeza pesa kutoka kwa watumiaji wa Ledger hadi pochi za washambuliaji. Msimbo huo hasidi ulifanya kazi kwa takriban saa tano, huku wizi wa sarafu ya fiche ukitokea kwa zaidi ya saa mbili. Mtafiti wa Crypto-ZachXBT anakadiria hasara kuwa zaidi ya $600,000. Ledger amejitolea kuwasaidia wahasiriwa kurejesha pesa zao na alithibitisha kuwa shambulio hilo lilifanywa tu kwa programu za watu wengine wanaotumia Ledger Connect Kit.
Ledger anadai kuwa kwa kawaida haiwezekani kwa mfanyakazi wa zamani kusambaza matoleo ya programu hasidi. Matoleo mapya yanapaswa kukaguliwa na wahusika wengi kabla ya kutolewa. Zaidi ya hayo, wafanyakazi wanaoondoka kwenye kampuni wanapaswa kupoteza upatikanaji wa mifumo ya Ledger. Hata hivyo, Ledger hajaeleza ni kwa nini itifaki hizi zilifeli, akielezea kama 'tukio la pekee'. Tangu wakati huo wametoa toleo safi la Ledger Connect Kit na kusasisha 'siri' za kusambaza msimbo kupitia GitHub ya Ledger.