वह अपडेट जिसने बटुए खाली कर दिए

Trust Wallet घटना में वास्तव में क्या हुआ

चरण 1: एक नया ब्राउज़र एक्सटेंशन अपडेट जारी किया गया

Trust Wallet ब्राउज़र एक्सटेंशन के लिए एक नया अपडेट 24 दिसंबर को जारी किया गया था।

• अपडेट सामान्य लग रहा था।

• इसके साथ कोई बड़ी सुरक्षा चेतावनी नहीं आई।

• उपयोगकर्ताओं ने इसे सामान्य अपडेट प्रक्रिया के माध्यम से स्थापित किया।

इस बिंदु पर, कुछ भी संदिग्ध नहीं लग रहा था।

चरण 2: एक्सटेंशन में नया कोड जोड़ा गया

अपडेट के बाद, एक्सटेंशन की फ़ाइलों की जांच करने वाले शोधकर्ताओं ने 4482.js नामक JavaScript फ़ाइल में परिवर्तन देखे।

मुख्य अवलोकन:

यह महत्वपूर्ण है क्योंकि ब्राउज़र वॉलेट बहुत संवेदनशील वातावरण होते हैं; कोई भी नई आउटगोइंग लॉजिक उच्च जोखिम उत्पन्न करती है।

चरण 3: कोड "एनालिटिक्स" के रूप में छिपा हुआ था

जोड़ी गई लॉजिक एनालिटिक्स या टेलीमेट्री कोड के रूप में दिखाई दी।

विशेष रूप से:

• यह सामान्य एनालिटिक्स SDKs द्वारा उपयोग की जाने वाली ट्रैकिंग लॉजिक की तरह दिखती थी।

• यह हर समय ट्रिगर नहीं होती थी।

• यह केवल कुछ विशेष परिस्थितियों में सक्रिय होती थी।

इस डिज़ाइन ने आकस्मिक परीक्षण के दौरान इसे पता लगाना कठिन बना दिया।

चरण 4: ट्रिगर स्थिति — सीड फ़्रेज़ इम्पोर्ट करना

समुदाय रिवर्स-इंजीनियरिंग से पता चलता है कि जब कोई उपयोगकर्ता एक्सटेंशन में सीड फ़्रेज़ इम्पोर्ट करता था तो लॉजिक ट्रिगर होती थी।

यह क्यों महत्वपूर्ण है:

• सीड फ़्रेज़ इम्पोर्ट करने से वॉलेट को पूर्ण नियंत्रण मिलता है।

• यह एक बार का, उच्च-मूल्य वाला क्षण है।

• किसी भी दुर्भावनापूर्ण कोड को केवल एक बार कार्य करने की आवश्यकता होती है।

जिन उपयोगकर्ताओं ने केवल मौजूदा वॉलेट का उपयोग किया, हो सकता है उन्होंने इस पथ को ट्रिगर नहीं किया हो।

चरण 5: वॉलेट डेटा बाहरी रूप से भेजा गया

जब ट्रिगर स्थिति उत्पन्न हुई, तो कोड ने कथित तौर पर डेटा को एक बाहरी एंडपॉइंट पर भेजा:

metrics-trustwallet[.]com

क्या चिंता का कारण बना:

• डोमेन एक वैध Trust Wallet सबडोमेन की तरह दिखता था।

• यह केवल कुछ दिन पहले पंजीकृत किया गया था।

• यह सार्वजनिक रूप से प्रलेखित नहीं था।

• यह बाद में ऑफ़लाइन हो गया।

कम से कम, यह वॉलेट एक्सटेंशन से अप्रत्याशित आउटगोइंग संचार की पुष्टि करता है।

चरण 6: हमलावरों ने तुरंत कार्रवाई की

सीड फ़्रेज़ इम्पोर्ट के तुरंत बाद, उपयोगकर्ताओं ने रिपोर्ट किया:

• मिनटों के भीतर वॉलेट खाली हो गए।

• कई संपत्तियाँ तेज़ी से स्थानांतरित की गईं।

• किसी और उपयोगकर्ता इंटरैक्शन की आवश्यकता नहीं थी।

ऑन-चेन व्यवहार ने दिखाया:

• स्वचालित लेनदेन पैटर्न।

• कई गंतव्य पते।

• कोई स्पष्ट फ़िशिंग अनुमोदन प्रवाह नहीं।

यह सुझाव देता है कि हमलावरों के पास लेनदेन पर हस्ताक्षर करने के लिए पहले से ही पर्याप्त पहुंच थी।

चरण 7: विभिन्न पतों पर फंड को समेकित किया गया

चोरी की गई संपत्तियों को कई हमलावर-नियंत्रित वॉलेट के माध्यम से भेजा गया।

यह क्यों महत्वपूर्ण है:

• यह समन्वय या स्क्रिप्टिंग का सुझाव देता है।

• यह एक पते पर निर्भरता को कम करता है।

• यह संगठित शोषण में देखे गए व्यवहार से मेल खाता है।

ट्रैक किए गए पतों के आधार पर अनुमान बताते हैं कि लाखों डॉलर स्थानांतरित हुए, हालाँकि कुल राशि भिन्न होती है।

चरण 8: डोमेन अंधेरे में चला गया

ध्यान बढ़ने के बाद:

• संदिग्ध डोमेन ने प्रतिक्रिया देना बंद कर दिया।

• तुरंत कोई सार्वजनिक स्पष्टीकरण नहीं मिला।

• स्क्रीनशॉट और कैश्ड साक्ष्य महत्वपूर्ण हो गए।

यह हमलावरों द्वारा उजागर होने पर बुनियादी ढांचे को नष्ट करने के अनुरूप है।

चरण 9: आधिकारिक स्वीकृति बाद में आई

Trust Wallet ने बाद में पुष्टि की:

• एक सुरक्षा घटना ने ब्राउज़र एक्सटेंशन के एक विशिष्ट संस्करण को प्रभावित किया।

• मोबाइल उपयोगकर्ता प्रभावित नहीं हुए।

• उपयोगकर्ताओं को एक्सटेंशन को अपग्रेड या अक्षम करना चाहिए।

हालांकि, यह समझाने के लिए तुरंत कोई पूर्ण तकनीकी विवरण नहीं दिया गया:

• डोमेन क्यों मौजूद था।

• क्या सीड फ़्रेज़ उजागर हुए थे।

• क्या यह एक आंतरिक, तृतीय-पक्ष, या बाहरी समस्या थी।

इस अंतर ने चल रही अटकलों को बढ़ावा दिया।

क्या पुष्ट है

• एक ब्राउज़र एक्सटेंशन अपडेट ने नया आउटगोइंग व्यवहार पेश किया।

• सीड फ़्रेज़ इम्पोर्ट करने के तुरंत बाद उपयोगकर्ताओं ने फंड खो दिए।

• घटना एक विशिष्ट संस्करण तक सीमित थी।

• Trust Wallet ने एक सुरक्षा समस्या को स्वीकार किया।

क्या दृढ़ता से संदिग्ध है

• एक सप्लाई-चेन समस्या या दुर्भावनापूर्ण कोड इंजेक्शन।

• सीड फ़्रेज़ या हस्ताक्षर क्षमता का उजागर होना।

• एनालिटिक्स लॉजिक का दुरुपयोग या हथियार बनाया जाना।

क्या अभी भी अज्ञात है

• क्या कोड जानबूझकर दुर्भावनापूर्ण था या अपस्ट्रीम से समझौता किया गया था।

• कितने उपयोगकर्ता प्रभावित हुए।

• क्या कोई अन्य डेटा लिया गया था।

• हमलावरों का सटीक श्रेय।

यह घटना क्यों महत्वपूर्ण है

यह सामान्य फ़िशिंग नहीं था।

यह उजागर करता है:

• ब्राउज़र एक्सटेंशन का खतरा।

• आँख बंद करके अपडेट पर भरोसा करने का जोखिम।

• एनालिटिक्स कोड का कैसे दुरुपयोग किया जा सकता है।

• वॉलेट सुरक्षा में सीड फ़्रेज़ को संभालना सबसे महत्वपूर्ण क्षण क्यों है।

यहां तक कि एक अल्पकालिक कमज़ोरी के भी गंभीर परिणाम हो सकते हैं।