Pada 14 Disember, bahagian-hadapan (front-end) pelbagai aplikasi disentralisasi (DApps) menggunakan penyambung Ledger, termasuk Zapper, SushiSwap, Phantom, Balancer, dan Revoke.cash telah dikompromi. Hampir tiga jam selepas kejadian jangkitan keselamatan ditemui, Ledger melaporkan bahawa versi berbahaya fail tersebut telah digantikan dengan versi tulen.
Ledger memberi amaran kepada pengguna "untuk sentiasa Membersihkan Tandatangan" transaksi, menambah bahawa alamat dan maklumat yang dipaparkan pada skrin Ledger adalah maklumat sebenar. “Jika terdapat perbezaan antara skrin yang dipaparkan pada peranti Ledger anda dan skrin komputer/telefon anda, hentikan transaksi tersebut dengan serta-merta.”
Ketua Pegawai Teknikal SushiSwap, Matthew Lilley, adalah antara yang pertama melaporkan isu ini, mencatatkan bahawa penyambung Web3 yang digunakan secara meluas telah dikompromi, membolehkan kod berbahaya disuntik ke pelbagai DApps. Juruanalisis on-chain tersebut menyatakan pustaka Ledger mengesahkan kompromi di mana kod yang rentan memasukkan alamat akaun drainer.
Lilley menyalahkan Ledger atas kerentanan berterusan dan kompromi pada pelbagai DApps. Pegawai tersebut mendakwa rangkaian penghantaran kandungan Ledger telah dikompromi, dengan JavaScript dimuatkan dari rangkaian yang terjejas.
Penyambung Ledger adalah sebuah pustaka yang digunakan oleh banyak DApps dan dikekalkan oleh Ledger. Sebuah pemangsa dompet telah ditambah, jadi pemindahan aset dari akaun pengguna mungkin tidak berlaku secara automatik. Walau bagaimanapun, pesanan daripada dompet pelayar seperti MetaMask akan dipaparkan dan boleh memberi akses kepada aktor berbahaya kepada aset-aset tersebut.
Lilley memperingatkan pengguna untuk mengelakkan menggunakan mana-mana DApps yang menggunakan penyambung Ledger, menambah bahawa "connect-kit" juga rentan, dan ini bukanlah serangan tunggal yang terpencil tetapi serangan berskala besar ke atas pelbagai DApps.
Vice Presiden Polygon Labs, Hudson Jameson, menyatakan bahawa walaupun Ledger membetulkan kod yang rosak dalam pustakanya, projek-projek yang menggunakan dan mengerakkan pustaka tersebut perlu dikemas kini sebelum ia selamat untuk digunakan pada DApps menggunakan pustaka Web3 Ledger.