TrustWallet हैक की व्याख्या: अपडेट से लेकर $4M मूल्य के $TWT, BTC, ETH में वॉलेट ड्रेन तक

Trust Wallet हैक में वास्तव में क्या हुआ

चरण 1: एक नया ब्राउज़र एक्सटेंशन अपडेट जारी किया गया

Trust Wallet ब्राउज़र एक्सटेंशन के लिए एक नया अपडेट 24 दिसंबर को जारी किया गया।

• अपडेट सामान्य लग रहा था।
• इसके साथ कोई बड़ी सुरक्षा चेतावनी नहीं आई।
• उपयोगकर्ताओं ने इसे सामान्य अपडेट प्रक्रिया के माध्यम से इंस्टॉल किया।

इस बिंदु पर, कुछ भी संदिग्ध नहीं लग रहा था।

चरण 2: एक्सटेंशन में नया कोड जोड़ा गया

अपडेट के बाद, एक्सटेंशन की फाइलों की जांच करने वाले शोधकर्ताओं ने 4482.js नामक एक JavaScript फाइल में बदलाव देखे।

मुख्य अवलोकन:

• नया कोड पहले के संस्करणों में नहीं था।
• इसने उपयोगकर्ता की कार्रवाइयों से जुड़े नेटवर्क अनुरोध पेश किए।

यह महत्वपूर्ण है क्योंकि ब्राउज़र वॉलेट बेहद संवेदनशील वातावरण होते हैं; कोई भी नया आउटगोइंग लॉजिक उच्च जोखिम पैदा करता है।

चरण 3: कोड ने "एनालिटिक्स" का भेष धारण किया

जोड़ा गया लॉजिक एनालिटिक्स या टेलीमेट्री कोड के रूप में दिखाई दिया।

विशेष रूप से:

• यह सामान्य एनालिटिक्स SDK द्वारा उपयोग किए जाने वाले ट्रैकिंग लॉजिक जैसा दिख रहा था।
• यह हर समय ट्रिगर नहीं होता था।
• यह केवल कुछ विशेष परिस्थितियों में सक्रिय होता था।

इस डिज़ाइन ने आकस्मिक परीक्षण के दौरान इसे पहचानना कठिन बना दिया।

चरण 4: ट्रिगर कंडीशन सीड फ्रेज़ आयात करना

समुदाय की रिवर्स-इंजीनियरिंग से पता चलता है कि जब कोई उपयोगकर्ता एक्सटेंशन में सीड फ्रेज़ आयात करता था तो लॉजिक ट्रिगर हो जाता था।

यह महत्वपूर्ण क्यों है:

• सीड फ्रेज़ आयात करना वॉलेट को पूर्ण नियंत्रण देता है।
• यह एक बार का, उच्च-मूल्य वाला क्षण है।
• किसी भी दुर्भावनापूर्ण कोड को केवल एक बार कार्य करने की आवश्यकता होती है।

जिन उपयोगकर्ताओं ने केवल मौजूदा वॉलेट का उपयोग किया, उन्होंने इस पथ को ट्रिगर नहीं किया होगा।

चरण 5: वॉलेट डेटा बाहरी रूप से भेजा गया

जब ट्रिगर कंडीशन हुई, तो कोड ने कथित तौर पर डेटा को एक बाहरी एंडपॉइंट पर भेजा:

metrics-trustwallet[.]com

क्या चिंता बढ़ी:

• डोमेन एक वैध Trust Wallet सबडोमेन की तरह बहुत अधिक दिख रहा था।
• इसे केवल कुछ दिन पहले पंजीकृत किया गया था।
• यह सार्वजनिक रूप से प्रलेखित नहीं था।
• यह बाद में ऑफ़लाइन हो गया।

कम से कम, यह वॉलेट एक्सटेंशन से अप्रत्याशित आउटगोइंग संचार की पुष्टि करता है।

चरण 6: हमलावरों ने तुरंत कार्रवाई की

सीड फ्रेज़ आयात के तुरंत बाद, उपयोगकर्ताओं ने रिपोर्ट किया:

• मिनटों के भीतर वॉलेट खाली हो गए।
• कई परिसंपत्तियां तेजी से स्थानांतरित हो गईं।
• आगे किसी उपयोगकर्ता इंटरैक्शन की आवश्यकता नहीं थी।

ऑन-चेन व्यवहार ने दिखाया:

• स्वचालित लेनदेन पैटर्न।
• कई गंतव्य पते।
• कोई स्पष्ट फ़िशिंग अनुमोदन प्रवाह नहीं।

यह बताता है कि हमलावरों के पास पहले से ही लेनदेन पर हस्ताक्षर करने के लिए पर्याप्त पहुंच थी।

चरण 7: धन को पतों में समेकित किया गया

चोरी की गई परिसंपत्तियों को कई हमलावर-नियंत्रित वॉलेट के माध्यम से रूट किया गया।

यह क्यों महत्वपूर्ण है:

• यह समन्वय या स्क्रिप्टिंग का सुझाव देता है।
• यह एकल पते पर निर्भरता को कम करता है।
• यह संगठित शोषणों में देखे गए व्यवहार से मेल खाता है।

ट्रैक किए गए पतों के आधार पर अनुमान बताते हैं कि लाखों डॉलर स्थानांतरित हुए, हालांकि कुल राशि अलग-अलग है।

चरण 8: डोमेन अंधकारमय हो गया

ध्यान बढ़ने के बाद:

• संदिग्ध डोमेन ने प्रतिक्रिया देना बंद कर दिया।
• तुरंत कोई सार्वजनिक स्पष्टीकरण नहीं मिला।
• स्क्रीनशॉट और कैश्ड साक्ष्य महत्वपूर्ण हो गए।

यह हमलावरों द्वारा एक बार उजागर होने के बाद बुनियादी ढांचे को नष्ट करने के अनुरूप है।

चरण 9: आधिकारिक स्वीकृति बाद में आई

Trust Wallet ने बाद में पुष्टि की:

• एक सुरक्षा घटना ने ब्राउज़र एक्सटेंशन के एक विशिष्ट संस्करण को प्रभावित किया।
• मोबाइल उपयोगकर्ता प्रभावित नहीं हुए।
• उपयोगकर्ताओं को एक्सटेंशन को अपग्रेड या अक्षम करना चाहिए।

हालांकि, यह समझाने के लिए तुरंत कोई पूर्ण तकनीकी विवरण नहीं दिया गया कि:

• डोमेन क्यों मौजूद था।
• क्या सीड फ्रेज़ उजागर हुए थे।
• क्या यह एक आंतरिक, तृतीय-पक्ष या बाहरी मुद्दा था।

इस अंतर ने चल रहे अनुमानों को बढ़ावा दिया।

क्या पुष्टि हुई है

• एक ब्राउज़र एक्सटेंशन अपडेट ने नया आउटगोइंग व्यवहार पेश किया।
• उपयोगकर्ताओं ने सीड फ्रेज़ आयात करने के तुरंत बाद धन खो दिया।
• घटना एक विशिष्ट संस्करण तक सीमित थी।
• Trust Wallet ने एक सुरक्षा मुद्दे को स्वीकार किया।

क्या दृढ़ता से संदेह है

• एक सप्लाई-चेन मुद्दा या दुर्भावनापूर्ण कोड इंजेक्शन।
• सीड फ्रेज़ या हस्ताक्षर क्षमता का उजागर होना।
• एनालिटिक्स लॉजिक का दुरुपयोग या हथियार बनाना।

क्या अभी भी अज्ञात है

• क्या कोड जानबूझकर दुर्भावनापूर्ण था या अपस्ट्रीम से समझौता किया गया था।
• कितने उपयोगकर्ता प्रभावित हुए।
• क्या कोई अन्य डेटा लिया गया था।
• हमलावरों का सटीक श्रेय।

यह घटना क्यों महत्वपूर्ण है

यह विशिष्ट फ़िशिंग नहीं थी।

यह उजागर करता है:

• ब्राउज़र एक्सटेंशन का खतरा।
• अपडेट पर आंख मूंदकर भरोसा करने का जोखिम।
• एनालिटिक्स कोड का दुरुपयोग कैसे किया जा सकता है।
• वॉलेट सुरक्षा में सीड फ्रेज़ को संभालना सबसे महत्वपूर्ण क्षण क्यों है।

यहां तक कि एक अल्पकालिक भेद्यता के गंभीर परिणाम हो सकते हैं।

पोस्ट TrustWallet Hack Explained: From Update to Wallet Drains worth $4M in $TWT, BTC, ETH पहली बार Live Bitcoin News पर प्रकाशित हुई।