25 दिसंबर को Trust Wallet ब्राउज़र एक्सटेंशन के आसपास सुरक्षा चिंताएं उभरी हैं, जब ब्लॉकचेन जांचकर्ता ZachXBT ने हाल के अपडेट से संभावित रूप से जुड़ी संदिग्ध गतिविधि को फ्लैग किया, जिससे डेवलपर्स और सुरक्षा-केंद्रित खातों से चेतावनियां जारी हुईं।
X पर प्रसारित पोस्ट के अनुसार, यह समस्या 24 दिसंबर के ब्राउज़र एक्सटेंशन अपडेट में शामिल संदिग्ध सप्लाई-चेन समझौते से उत्पन्न हो सकती है।
एक्सटेंशन के भीतर नए जोड़े गए कोड संवेदनशील वॉलेट डेटा को चुपचाप निकाल सकते हैं जब उपयोगकर्ता सीड फ्रेज़ इंपोर्ट करते हैं। दावे बताते हैं कि इसने तुरंत वॉलेट को खाली करने का कारण बना है।
कथित Trust Wallet दुर्भावनापूर्ण कोड और डेटा निष्कासन के दावे
एक्सटेंशन की जांच करने वाले डेवलपर्स का आरोप है कि अपडेट में जोड़ी गई JavaScript फ़ाइल में एनालिटिक्स के रूप में छिपाया गया लॉजिक शामिल है।
कहा जाता है कि कोड विशेष रूप से तब सक्रिय होता है जब सीड फ्रेज़ इंपोर्ट किया जाता है। फिर यह चुपचाप वॉलेट से संबंधित डेटा को एक बाहरी डोमेन पर भेज देता है जिसे आधिकारिक Trust Wallet इंफ्रास्ट्रक्चर जैसा दिखने के लिए डिज़ाइन किया गया है।
रिपोर्टों में संदर्भित डोमेन कथित तौर पर केवल कुछ दिन पहले पंजीकृत किया गया था और तब से ऑफलाइन हो गया है।
शोधकर्ताओं का तर्क है कि इसका हालिया निर्माण और एक्सटेंशन अपडेट का समय उपयोगकर्ता-पक्ष फ़िशिंग के बजाय एक समन्वित सप्लाई-चेन हमले के बारे में चिंताएं बढ़ाता है।
उपयोगकर्ताओं ने सीड इंपोर्ट के बाद वॉलेट खाली होने की रिपोर्ट की
कई उपयोगकर्ताओं ने Trust Wallet ब्राउज़र एक्सटेंशन में सीड फ्रेज़ इंपोर्ट करने के तुरंत बाद वॉलेट खाली होने की रिपोर्ट की है।
सार्वजनिक रूप से साझा किए गए अनुमान बताते हैं कि $20 लाख से अधिक का नुकसान हो सकता है। हालांकि ये आंकड़े स्वतंत्र रूप से सत्यापित नहीं किए गए हैं।
विश्लेषकों का संकेत है कि फंड कई पतों के माध्यम से भेजे गए थे, एक पैटर्न जो अलग-थलग उपयोगकर्ता त्रुटि की तुलना में स्वचालित शोषण से अधिक सामान्य रूप से जुड़ा हुआ है।
दायरा ब्राउज़र एक्सटेंशन तक सीमित प्रतीत होता है
इस स्तर पर, कोई संकेत नहीं है कि Trust Wallet के मोबाइल एप्लिकेशन प्रभावित हैं।
ऑनलाइन प्रसारित होने वाली चेतावनियां विशेष रूप से ब्राउज़र एक्सटेंशन पर केंद्रित हैं। यह वह जगह है जहां अपडेट तंत्र और तृतीय-पक्ष निर्भरताएं उच्च सप्लाई-चेन जोखिम प्रस्तुत करती हैं।
उपयोगकर्ताओं को सलाह दी जाती है कि जब तक आगे की स्पष्टता प्रदान नहीं की जाती है, तब तक Trust Wallet ब्राउज़र एक्सटेंशन में सीड फ्रेज़ इंपोर्ट न करें।
Trust Wallet से अभी तक कोई आधिकारिक प्रतिक्रिया नहीं
लेखन के समय तक, Trust Wallet ने आरोपों को संबोधित करते हुए कोई सार्वजनिक प्रतिक्रिया, स्पष्टीकरण, या सुरक्षा सलाह जारी नहीं की है।
दावों की कोई पुष्टि या इनकार नहीं हुआ है, और न ही किसी एक्सटेंशन, रोलबैक, या आपातकालीन पैच की कोई घोषणा हुई है।
जांच जारी है
शोधकर्ताओं ने जोर दिया है कि स्थिति सक्रिय जांच के तहत है। जब तक एक्सटेंशन कोड और संबंधित ऑन-चेन गतिविधि की पूरी तरह से समीक्षा नहीं हो जाती, तब तक निष्कर्ष नहीं निकाले जाने चाहिए।
यदि पुष्टि हो जाती है, तो घटना एक गंभीर सप्लाई-चेन समझौते का प्रतिनिधित्व करेगी।
यह एक प्रकार का हमला है जो फ़िशिंग या उपयोगकर्ता-पक्ष की गलतियों से काफी अलग है। इसके अलावा, इसने ऐतिहासिक रूप से क्रिप्टो इकोसिस्टम में तेज़, बड़े पैमाने पर नुकसान का परिणाम दिया है।
अंतिम विचार
- आरोप वॉलेट एक्सटेंशन को प्रभावित करने वाले संभावित रूप से गंभीर सप्लाई-चेन जोखिम की ओर इशारा करते हैं, जो रेखांकित करता है कि यदि समझौता हो जाए तो कोड अपडेट एक महत्वपूर्ण हमले का वेक्टर कैसे बन सकता है।
- Trust Wallet से अभी तक कोई प्रतिक्रिया नहीं मिलने के साथ, उपयोगकर्ता और शोधकर्ता स्वतंत्र जांच पर निर्भर हैं क्योंकि घटना के आसपास जांच जारी है।
Source: https://ambcrypto.com/zachxbt-flags-suspected-trust-wallet-extension-issue-as-users-report-drained-funds/
