Trust Wallet के संस्थापक, CZ ने क्रिसमस दिवस हैक में खोए गए $7 मिलियन की वापसी का वादा किया

Trust Wallet ने क्रिसमस डे के हमले में खोए गए लगभग $7 मिलियन ग्राहक फंड को कवर करने का वादा किया है, इसके संस्थापक चांगपेंग झाओ ने सोशल प्लेटफॉर्म X पर पुष्टि की। अचानक हुई इस सुरक्षा भंग ने क्रिप्टो समुदाय के एक हिस्से को हिला दिया है। फिर भी, झाओ का त्वरित आश्वासन लोकप्रिय सेल्फ-कस्टोडियल वॉलेट में विश्वास बहाल करने और घबराहट को शांत करने का लक्ष्य रखता है।

यह घटना 25 दिसंबर को हुई, जब Trust Wallet ब्राउज़र एक्सटेंशन के एक समझौता किए गए संस्करण का उपयोग उपयोगकर्ताओं के वॉलेट से संपत्ति निकालने के लिए किया गया।

प्रारंभिक जांच से पता चलता है कि दुर्भावनापूर्ण कोड एक्सटेंशन के संस्करण 2.68 में सक्रिय था, जिसने Ethereum, Bitcoin और Solana सहित कई ब्लॉकचेन में अनधिकृत स्थानांतरण को प्रेरित किया। कुछ ही घंटों में, ऑन-चेन डेटा ने दिखाया कि फंड अज्ञात पतों पर भेजे जा रहे थे, नुकसान तेजी से $7 मिलियन तक पहुंच रहा था।

शुक्रवार को X पर एक पोस्ट में, झाओ ने इस बात पर जोर दिया कि "यूजर फंड्स SAFU हैं," यूजर्स के लिए सिक्योर एसेट फंड के लिए लोकप्रिय क्रिप्टो इंडस्ट्री के संक्षिप्त नाम का उपयोग करते हुए। उन्होंने कहा कि Trust Wallet प्रभावित उपयोगकर्ताओं को उनके नुकसान की प्रतिपूर्ति करेगा। टीम जांच जारी रखे हुए है कि हमलावर समझौता किए गए एक्सटेंशन को अपलोड और वितरित करने में कैसे सक्षम थे।

वॉलेट प्रदाता ने भी इस सुरक्षा भंग को केवल ब्राउज़र एक्सटेंशन तक सीमित बताया। Trust Wallet ने उपयोगकर्ताओं से समझौता किए गए संस्करण को तुरंत अक्षम करने और आधिकारिक Chrome Web Store के माध्यम से उपलब्ध फिक्स्ड रिलीज, संस्करण 2.69 में अपडेट करने का आग्रह किया।

मोबाइल ऐप यूजर्स और अन्य एक्सटेंशन संस्करणों का उपयोग करने वाले कथित तौर पर प्रभावित नहीं हुए थे।

Trust Wallet का शोषण कैसे हुआ

सुरक्षा शोधकर्ताओं और ऑन-चेन विश्लेषकों ने हमले की समयरेखा को एक साथ जोड़ना शुरू कर दिया है। साइबर सुरक्षा फर्म SlowMist के अनुसार, खतरे वाले अभिनेताओं द्वारा तैयारी के प्रारंभिक संकेत दिसंबर की शुरुआत में दिखाई दिए। उनकी रिपोर्टिंग से संकेत मिलता है कि लाइव होने से पहले एक्सटेंशन बिल्ड में दुर्भावनापूर्ण कोड एम्बेड किया गया था, जो एक साधारण स्वचालित हमले के बजाय सावधानीपूर्वक नियोजित शोषण का सुझाव देता है।

क्रिसमस डे पर लाइव होने के बाद, समझौता किए गए एक्सटेंशन ने सीड फ्रेज सहित संवेदनशील उपयोगकर्ता डेटा एकत्र किया और इसे हमलावरों द्वारा नियंत्रित रिमोट सर्वर पर प्रसारित किया। जिन पीड़ितों ने एक्सटेंशन में सीड फ्रेज आयात किया, उन्होंने देखा कि उनके वॉलेट मिनटों में खाली हो गए, भले ही उन्होंने सामान्य सुरक्षा प्रथाओं का पालन किया हो।

क्रिप्टो समुदाय में, ऑन-चेन जासूसों ने सुरक्षा भंग से प्रभावित सैकड़ों वॉलेट को फ्लैग किया। मिक्सिंग सेवाओं के माध्यम से संपत्ति की तेजी से आवाजाही ने चोरी हुए फंड को ट्रेस करने के प्रयासों को जटिल बना दिया, जिससे रिकवरी के प्रयास चुनौतीपूर्ण हो गए।

व्यापक बाजार ने इस खबर के झटके को महसूस किया, ऐसे समय में जब क्रिप्टो कीमतें पहले से ही दबाव में थीं। इस साल बड़े पैमाने पर एक्सचेंज हैक्स की तुलना में नुकसान के अपेक्षाकृत मामूली आकार के बावजूद, इस घटना ने ब्राउज़र-आधारित वॉलेट इंफ्रास्ट्रक्चर और सप्लाई चेन सुरक्षा पर नई जांच को आकर्षित किया है।

इस बीच, झाओ के नुकसान को कवर करने के सार्वजनिक वादे का उद्देश्य उपयोगकर्ताओं को आश्वस्त करना था कि इस घटना के परिणामस्वरूप व्यक्तिगत वित्तीय नुकसान नहीं होगा। उनके संदेश ने इस बात पर जोर दिया कि प्रभावित फंड्स की प्रतिपूर्ति Trust Wallet के रिजर्व से की जाएगी, और यह मुद्दा समझौता किए गए एक्सटेंशन तक ही सीमित प्रतीत होता है।

कुछ उद्योग पर्यवेक्षकों ने सवाल उठाए हैं कि दुर्भावनापूर्ण संस्करण समीक्षा से कैसे गुजरा और आधिकारिक चैनलों के माध्यम से कैसे वितरित किया गया।

शुरुआती सुझाव हैं कि सुरक्षा भंग में सप्लाई चेन समझौता या यहां तक कि आंतरिक ज्ञान शामिल हो सकता है, यह देखते हुए कि परिवर्तित कोड आधिकारिक रिलीज में कैसे फिसलने में सक्षम था। इन सुझावों ने फ़ोरम और सोशल प्लेटफ़ॉर्म पर बहस छेड़ दी है, कुछ उपयोगकर्ता आंतरिक नियंत्रण और समीक्षा प्रक्रियाओं के बारे में चिंता व्यक्त कर रहे हैं।

Trust Wallet ने पैच किए गए एक्सटेंशन की रिलीज को प्राथमिकता देकर और उपयोगकर्ताओं से तुरंत अपडेट करने के लिए कहकर जवाब दिया है। यह भी सिफारिश की गई है कि प्रभावित लोग नए सीड फ्रेज उत्पन्न करें और संपत्ति को सुरक्षित वातावरण में माइग्रेट करें।

पोस्ट Trust Wallet संस्थापक, CZ ने क्रिसमस डे हैक में खोए गए $7 मिलियन की वापसी का वादा किया पहली बार Technext पर प्रकाशित हुआ।