Kriptonovčanik, iako se naziva "novčanik", sam po sebi ne sadrži kriptovalute. Umjesto toga, čuva privatne ključeve koji omogućuju pristup sredstvima pohranjenim na blockchainu. Ti privatni ključevi su bitni jer omogućuju slanje i primanje kriptovaluta te pristup raznim alatima i zajednicama. Različite vrste kriptonovčanika nude različite razine sigurnosti i kontrole.
Postoje takozvani "zadržateljski" novčanici, poput onih na kriptomjenjačnicama, koje čuvaju ključeve za vas i u vaše ime, olakšavajući oporavak računa, ali tom prilikom gubite potpunu kontrolu nad sredstvima.
Nadalje, softverski novčanici, iako korisnicima daju kontrolu, često pohranjuju ključeve na uređajima s internetskim pristupom, izlažući ih određenim rizicima.
S druge strane, hardverski novčanici, kao što je Ledger, fizički su uređaji koji privatne ključeve drže izvan dosega internetskog rizika. To pruža visoku razinu sigurnosti, zbog čega su odličan izbor za one koji ozbiljno shvaćaju sigurnost svojih kriptovaluta.
Iako je Ledger dosad slovio kao prva marka među hardverskim novčanicima, uslijed promjene politike kompanije te određenih poteškoća, čini se da Ledger pomalo počinje gubiti taj tron.
Najnovije informacije ukazuju na to da je front-end dio decentraliziranih aplikacija (DApp) koje koriste Ledgerov povezivač, uključujući Zapper, SushiSwap, Phantom, Balancer i Revoke.cash, kompromitiran. Gotovo tri sata nakon što je otkrivena sigurnosna prijetnja, Ledger je izvijestio da je zlonamjerna verzija datoteke zamijenjena stvarnom verzijom oko 14:35 sati.
Ledger je upozorio korisnike da uvijek jasno potpisuju transakcije, dodajući da su adrese i informacije prikazane na zaslonu Ledger uređaja jedine prave. Istaknuli su da, ako postoji razlika između zaslona prikazanog na Ledger uređaju i zaslona na računalu ili pametnom telefonu, odmah zaustave tu transakciju.
Tehnički direktor SushiSwapa Matthew Lilley bio je među prvima koji su prijavili problem, napominjući da je često korišten Web3 povezivač bio kompromitiran, omogućavajući umetanje zlonamjernog koda u brojne DAppove. Analitičar je rekao da je Ledgerova knjižnica potvrdila kompromitiranje gdje je ranjivi kod umetnuo adresu računa pljačkaša.
Ledger je priznao ranjivost u svom kodu i izjavio je da je uklonio zlonamjernu verziju Ledger Connect Kita, dodajući da se stvarna verzija postavlja kako bi zamijenila zlonamjernu datoteku.