லெட்ஜர், கிரிப்டோகரன்சி வாலட்களை வழங்குபவர், தெரிவித்துள்ளது அதன் பயனர்களுக்கு குறிப்பிடத்தக்க இழப்பு. முன்னாள் ஊழியர் மீது ஃபிஷிங் தாக்குதல் மூலம் லெட்ஜர் கனெக்ட் கிட்டின் தீங்கிழைக்கும் பதிப்பை குற்றவாளிகள் விநியோகித்தனர். இந்த கிட் ஒரு முக்கியமான ஜாவாஸ்கிரிப்ட் நூலகமாகும், இது லெட்ஜர் கிரிப்டோ வாலட்களை மூன்றாம் தரப்பு பயன்பாடுகளுடன் இணைக்கிறது, இது வாலட்-இணைக்கப்பட்ட இணையதளங்கள் என்றும் அழைக்கப்படுகிறது.
நேற்று, முன்னாள் லெட்ஜர் ஊழியர் ஒருவர் ஃபிஷிங் தாக்குதலுக்கு பலியானார், இதன் விளைவாக ஹேக்கர்கள் அவரது NPMJS கணக்கை அணுகினர். NPMJS என்பது ஜாவாஸ்கிரிப்ட் சூழல் Node.jsக்கான மைய தொகுப்பு மேலாளர் ஆகும், இது உலகின் மிகப்பெரிய மென்பொருள் களஞ்சியமாக உள்ளது. இது பொது, தனியார் மற்றும் வணிக தொகுப்புகளின் பரந்த காப்பகத்தை வழங்குகிறது.
முன்னாள் பணியாளரின் கணக்கை அணுகிய பின்னர், தாக்குபவர்கள் லெட்ஜர் கனெக்ட் கிட்டின் பாதிக்கப்பட்ட பதிப்பைப் பரப்பினர். இந்த சமரசம் செய்யப்பட்ட பதிப்பு, லெட்ஜர் பயனர்களிடமிருந்து பணத்தைத் தாக்குபவர்களின் பணப்பைகளுக்குத் திருப்ப ஒரு முரட்டு WalletConnect திட்டத்தைப் பயன்படுத்தியது. தீங்கிழைக்கும் குறியீடு சுமார் ஐந்து மணிநேரம் செயலில் இருந்தது, இரண்டு மணி நேரத்திற்கும் மேலாக கிரிப்டோகரன்சி திருட்டு நிகழ்ந்தது. கிரிப்டோ-ஆராய்ச்சியாளர் ZachXBT இழப்பை மதிப்பிடுகிறது $600,000க்கு மேல் இருக்கும். லெட்ஜர் பாதிக்கப்பட்டவர்களுக்கு அவர்களின் நிதியை மீட்டெடுப்பதில் உதவ உறுதியளித்துள்ளது மற்றும் லெட்ஜர் கனெக்ட் கிட்டைப் பயன்படுத்தி மூன்றாம் தரப்பு பயன்பாடுகளுக்கு மட்டுமே தாக்குதல் நடத்தப்பட்டது என்பதை உறுதிப்படுத்தியது.
ஒரு முன்னாள் ஊழியர் தீங்கிழைக்கும் மென்பொருள் பதிப்புகளை விநியோகிப்பது பொதுவாக சாத்தியமற்றது என்று லெட்ஜர் கூறுகிறது. புதிய பதிப்புகள் வெளியீட்டிற்கு முன் பல தரப்பினரால் மதிப்பாய்வு செய்யப்பட வேண்டும். கூடுதலாக, நிறுவனத்தை விட்டு வெளியேறும் ஊழியர்கள் லெட்ஜர் அமைப்புகளுக்கான அணுகலை இழக்க வேண்டும். இருப்பினும், இந்த நெறிமுறைகள் ஏன் தோல்வியடைந்தன என்பதை லெட்ஜர் விளக்கவில்லை, இது ஒரு 'தனிமைப்படுத்தப்பட்ட சம்பவம்' என்று விவரிக்கிறது. அவர்கள் லெட்ஜர் கனெக்ட் கிட்டின் சுத்தமான பதிப்பை வெளியிட்டனர் மற்றும் லெட்ஜரின் கிட்ஹப் மூலம் குறியீட்டை விநியோகிப்பதற்கான 'ரகசியங்களை' புதுப்பித்துள்ளனர்.