Представитель компании-разработчика аппаратных кошельков Ledger заявил, что хакерам удалось взломать библиотеку программного обеспечения, которую используют децентрализованные приложения.
По его информации, злоумышленнику удалось внедрить вредоносный код в децентрализованные приложения. Инцидент произошел ночью 14 декабря. Хакер заменил подлинную версию Ledger Connect Kit на поддельную.
При этом в компании заверили, что физические устройства пользователей и приложение Ledger Live атака не затронула.
Разработчики Ledger удалили вредоносный файл, новая версия 1.1.8 распространяется в автоматическом режиме. Но пользователям лучше воздержаться от использования ПО 24 часа.
Представитель компании сообщил, что на первых этапах расследования стало известно, что хакер получил доступ к аккаунту в NPMJS при помощи фишинговой атаки на бывшего сотрудника Ledger.
Пострадавшим клиентам обещают выплатить компенсации. Сумма ущерба пока не известна.