12 月 14 日，使用 Ledger 连接器的多个去中心化应用程序 （DApp） 的前端遭到入侵，包括 Zapper、SushiSwap、Phantom、Balancer 和 Revoke.cash。在发现安全漏洞近三个小时后，Ledger 报告称，该文件的恶意版本已于世界标准时间下午 1：35 左右被替换为正版。

Ledger 警告用户“始终清除签名”交易，并补充说 Ledger 屏幕上显示的地址和信息是唯一真实的信息。“如果您的 Ledger 设备上显示的屏幕与计算机/手机屏幕上显示的屏幕之间存在差异，请立即停止该交易。”

SushiSwap 首席技术官 Matthew Lilley 是最早报告该问题的人之一，他指出一个常用的 Web3 连接器遭到破坏，允许恶意代码被注入到众多 DApp 中。链上分析师表示，Ledger 库确认了易受攻击的代码插入了 Drainer 帐户地址的泄露。

Lilley 将多个 DApp 的持续漏洞和妥协归咎于 Ledger。该高管声称 Ledger 的内容交付网络受到损害，JavaScript 是从受感染的网络加载的。

Ledger 连接器是许多 DApp 使用并由 Ledger 维护的库。添加了钱包消耗器，因此从用户帐户中耗尽资产可能不会自行发生。但是，将显示来自 MetaMask 等浏览器钱包的提示，并可能让恶意行为者访问资产。

Lilley 警告用户避免任何使用 Ledger 连接器的 DApp，并补充说“connect-kit”也容易受到攻击，这不是一次孤立的攻击，而是对多个 DApp 的大规模攻击。

Polygon Labs 副总裁 Hudson Jameson 表示，即使在 Ledger 纠正其库中的错误代码之后，使用和部署该库的项目也需要更新，然后才能安全地使用 Ledger 的 Web3 库使用 DApp。

Blockaid 联合创始人兼首席执行官 Ido Ben-Natan 告诉 Cointelegraph：

“如果不进行交易，账本用户就不会面临风险。未经事先批准，它不可利用。Revoke.cash 特别受到影响，因此请勿与其交互。过去两个小时受影响的资金数量为数十万美元。许多网站仍然受到影响，用户受到打击。

相关新闻： KyberSwap 黑客要求完全控制 Kyber 公司

Ledger 承认其代码中存在漏洞，并表示已“删除了 Ledger Connect Kit 的恶意版本”，并补充说“现在正在推送正版以替换恶意文件”。