レジャーコネクターを利用する複数の分散型アプリケーション(DApp)のフロントエンドにセキュリティ侵害が発生した。被害を受けたDAppsには、Zapper、SushiSwap、Phantom、Balancer、Revoke.cashなどが含まれる。

セキュリティ侵害が発覚してから約3時間後の12月14日午後1時35分(UTC時間)、レジャーは悪意のあるバージョンのファイルを正規のバージョンに置き換えたと発表した

レジャーはユーザーに対し、「常にClear Signで取引を行う」ことを警告し、Ledger画面に表示されるアドレスと情報のみが正当な情報であると述べた。また、「レジャーデバイスの画面とコンピューター/スマートフォンの画面に違いがある場合は、その取引を直ちに停止してほしい」と述べた。

セキュリティ侵害を最初に報告したのは、SushiSwapの最高技術責任者(CTO)のMatthew Lilley氏。Lilley氏は、一般に使用されているWeb3コネクターが侵害され、悪意のあるコードが多数のドメインに注入されたと指摘した。Lilley氏によると、レジャーライブラリーは、脆弱なコードがドレーナー・アカウント・アドレスを挿入する侵害を確認したという。

Lilley氏は、複数のDAppsで進行中の脆弱性と侵害についてレジャー社を非難。レジャーのコンテンツ配信ネットワークが侵害され、侵害されたネットワークからJavaScriptがロードされたと主張した。

レジャーコネクターは多くのDAppsで使用されているライブラリで、Ledgerによってメンテナンスされている。ウォレットドレイナーが追加されたため、ユーザーのアカウントからアセットを流出させることはそれ自体では起こらない。しかし、メタマスクのようなブラウザウォレットからのプロンプトが表示され、悪意のある攻撃者がアセットにアクセスできるようになる可能性がある。

Lilley氏は、レジャーコネクターを使用するすべてのDAppsを避けるようユーザーに警告。「connect-kit」も脆弱であり、これは単一の孤立した攻撃ではなく、複数のDAppsを対象とした大規模な攻撃であると述べた。

ポリゴンラボのバイスプレジデントであるHudson Jameson氏は、レジャーがライブラリの不良コードを修正した後でも、ライブラリを使用および展開しているプロジェクトは、レジャーのWeb3ライブラリを使用するDAppsを使用する前に更新する必要があるだろうと述べた。

Blockaidの共同創設者兼CEOであるIdo Ben-Natan氏は、コインテレグラフに対し、次のように述べた。

「レジャーユーザーは、取引を行わない限り、リスクにさらされていない。事前の承認で悪用することはできない。特にRevoke.cashが影響を受けているので、そことやり取りしないように。影響を受けた資金の数は、過去2時間で数十万ドル。多くのウェブサイトがまだ影響を受けており、ユーザーが被害を受けている」

レジャーは、コードの脆弱性を認め、悪意のあるバージョンのLedger Connect Kitを削除したと述べた。また、「正規のバージョンが現在、悪意のあるファイルを置き換えるためにプッシュされている」と指摘した。