Trust Wallet को $7 मिलियन की Chrome एक्सटेंशन हैक के बाद धोखाधड़ी के दावों की लहर का सामना

CEO Eowyn Chen ने सोमवार को खुलासा किया कि Trust Wallet ने 24 दिसंबर की हैकिंग से 2,596 समझौता किए गए वॉलेट पतों की पहचान की। हालांकि, कंपनी को प्रतिपूर्ति के लगभग 5,000 दावे मिले—एक विसंगति जो व्यापक धोखाधड़ी प्रस्तुतियों की ओर इशारा करती है।

"इस वजह से, वॉलेट स्वामित्व का सटीक सत्यापन महत्वपूर्ण है ताकि यह सुनिश्चित किया जा सके कि धनराशि सही लोगों को वापस की जाए," Chen ने कहा। "हमारी टीम दावों को सत्यापित करने के लिए लगन से काम कर रही है; वैध पीड़ितों को दुर्भावनापूर्ण अभिनेताओं से अलग करने के लिए कई डेटा बिंदुओं को जोड़ रही है।"

वास्तविक पीड़ितों और कुल दावों के बीच विशाल अंतर ने Trust Wallet को सटीकता के पक्ष में गति को छोड़ने के लिए मजबूर किया है, जो वर्ष की सबसे उल्लेखनीय क्रिप्टो सुरक्षा घटनाओं में से एक में एक महत्वपूर्ण परिचालन बदलाव को चिह्नित करता है।

हमला कैसे हुआ

उल्लंघन तब शुरू हुआ जब हमलावरों ने एक लीक हुई Chrome Web Store API key प्राप्त की, जिससे उन्हें Trust Wallet की आंतरिक सुरक्षा जांच को बायपास करने की अनुमति मिली। 24 दिसंबर को दोपहर 12:32 बजे UTC पर, Chrome एक्सटेंशन का समझौता किया गया संस्करण 2.68 Google के आधिकारिक स्टोर पर लाइव हो गया।

ब्लॉकचेन सुरक्षा फर्म SlowMist के विश्लेषण के अनुसार, दुर्भावनापूर्ण कोड को posthog-js नामक संशोधित एनालिटिक्स लाइब्रेरी के अंदर सावधानीपूर्वक छिपाया गया था। जब उपयोगकर्ताओं ने अपने वॉलेट अनलॉक किए, तो कोड ने गुप्त रूप से उनके seed phrases—क्रिप्टोकरेंसी वॉलेट की मास्टर चाबियां—निकाले और उन्हें हमलावरों द्वारा नियंत्रित सर्वर पर भेज दिया।

चोरी किए गए डेटा को एकत्र करने के लिए उपयोग किया गया डोमेन, "api.metrics-trustwallet.com," 8 दिसंबर को पंजीकृत किया गया था, जो सुझाव देता है कि हमले की योजना कम से कम दो सप्ताह पहले बनाई गई थी। क्रिप्टोकरेंसी जांचकर्ता ZachXBT ने क्रिसमस के दिन सबसे पहले मुद्दे को चिह्नित किया जब सैकड़ों उपयोगकर्ताओं ने खाली हो चुके वॉलेट की रिपोर्ट की।

स्रोत: @EowynChen

Trust Wallet ने 25 दिसंबर को एक निश्चित संस्करण 2.69 जारी किया। उल्लंघन ने केवल उन Chrome एक्सटेंशन उपयोगकर्ताओं को प्रभावित किया जिन्होंने 26 दिसंबर को सुबह 11 बजे UTC से पहले लॉगिन किया था। मोबाइल ऐप उपयोगकर्ता और अन्य ब्राउज़र संस्करण सुरक्षित रहे।

अंदरूनी सवाल

कई उद्योग हस्तियों ने हमले में संभावित अंदरूनी भागीदारी के बारे में चिंता व्यक्त की है। Binance के सह-संस्थापक Changpeng Zhao, जिनकी कंपनी Trust Wallet की मालिक है, ने कहा कि शोषण "सबसे अधिक संभावना" एक अंदरूनी व्यक्ति द्वारा किया गया था, हालांकि उन्होंने कोई अतिरिक्त सबूत प्रदान नहीं किया।

SlowMist के सह-संस्थापक Yu Xian ने नोट किया कि हमलावर ने एक्सटेंशन के सोर्स कोड का विस्तृत ज्ञान प्रदर्शित किया और चोरी को अंजाम देने से कुछ सप्ताह पहले बुनियादी ढांचा तैयार किया था। Chrome Web Store API key प्राप्त करने और दुरुपयोग करने की क्षमता या तो समझौता किए गए डेवलपर उपकरणों या चोरी की गई डिप्लॉयमेंट अनुमतियों का सुझाव देती है।

Chen ने पुष्टि की कि कंपनी मुआवजा प्रक्रिया के साथ-साथ एक व्यापक फोरेंसिक जांच कर रही है लेकिन यह पुष्टि नहीं की है कि क्या अंदरूनी लोग शामिल थे।

चोरी के फंड और मनी लॉन्ड्रिंग

हमले के परिणामस्वरूप Bitcoin, Ethereum और Solana सहित कई क्रिप्टोकरेंसी में लगभग $7 मिलियन का नुकसान हुआ। ब्लॉकचेन सुरक्षा फर्म PeckShield ने $4 मिलियन से अधिक चोरी के फंड को ChangeNOW, FixedFloat और KuCoin जैसे केंद्रीकृत एक्सचेंजों के माध्यम से स्थानांतरित होते हुए ट्रैक किया। लगभग $2.8 मिलियन 26 दिसंबर तक हमलावर-नियंत्रित वॉलेट में बने रहे।

कई एक्सचेंजों और ब्लॉकचेन नेटवर्क के माध्यम से फंड की तीव्र गति ने रिकवरी प्रयासों को जटिल बना दिया है और हमलावरों का पता लगाना अधिक कठिन बना दिया है।

जांच के तहत मुआवजा प्रक्रिया

Binance के संस्थापक Zhao ने सभी सत्यापित नुकसानों को कवर करने की प्रतिबद्धता जताई है, यह कहते हुए कि "उपयोगकर्ता फंड SAFU हैं"—एक क्रिप्टो उद्योग शब्द जिसका अर्थ है "Secure Asset Fund for Users।" हालांकि, सत्यापन प्रक्रिया शुरू में अपेक्षित से अधिक जटिल हो गई है।

Trust Wallet को प्रभावित उपयोगकर्ताओं को आधिकारिक सहायता फॉर्म के माध्यम से विस्तृत जानकारी प्रस्तुत करने की आवश्यकता है, जिसमें ईमेल पते, समझौता किए गए वॉलेट पते, हमलावर पते और लेनदेन हैश शामिल हैं। कंपनी ने जोर दिया कि सटीकता अब गति पर प्राथमिकता लेती है।

झूठे दावों में वृद्धि क्रिप्टोकरेंसी सुरक्षा घटनाओं में एक आवर्ती समस्या को उजागर करती है। जबकि ब्लॉकचेन पारदर्शिता घटनाओं का पता लगाने की अनुमति देती है, केंद्रीकृत रिकॉर्ड के बिना सत्यापित उपयोगकर्ताओं से वॉलेट पतों को जोड़ना चुनौतीपूर्ण बना हुआ है। यह तनाव तीव्र हो जाता है जब लाखों डॉलर दांव पर होते हैं।

Chen ने कहा कि टीम दावों का आकलन करने के लिए कई सत्यापन विधियों को जोड़ रही है लेकिन उपयोग किए जा रहे विशिष्ट मानदंडों का विवरण नहीं दिया। सत्यापन चरण एक महत्वपूर्ण परीक्षण को चिह्नित करता है कि क्या Trust Wallet वास्तविक पीड़ितों के बीच विश्वास बनाए रखते हुए धोखाधड़ी प्रस्तुतियों को सफलतापूर्वक फ़िल्टर कर सकता है।

द्वितीयक घोटालों के बारे में चेतावनी

Trust Wallet ने स्थिति का शोषण करने वाले स्कैमर्स के बारे में जरूरी चेतावनी जारी की। कंपनी ने Telegram विज्ञापनों, प्रतिरूपण सहायता खातों और निजी चाबी या seed phrases का अनुरोध करने वाले सीधे संदेशों के माध्यम से फैले नकली मुआवजा फॉर्म देखने की रिपोर्ट की।

आधिकारिक मुआवजा प्रक्रिया कभी भी पासवर्ड, निजी चाबी या रिकवरी वाक्यांश का अनुरोध नहीं करती है। उपयोगकर्ताओं को केवल Trust Wallet के सत्यापित सहायता पोर्टल trustwallet-support.freshdesk.com के माध्यम से दावे प्रस्तुत करने चाहिए। प्रतिपूर्ति की पेशकश करने का दावा करने वाले किसी भी अन्य संचार को धोखाधड़ी माना जाना चाहिए।

घोटालों की यह द्वितीयक लहर पहले से ही चोरी के फंड से निपट रहे पीड़ितों के लिए जोखिम की एक और परत जोड़ती है। कंपनी ने जोर दिया कि उपयोगकर्ताओं को कोई भी कार्रवाई करने से पहले यह सत्यापित करना चाहिए कि सभी संचार आधिकारिक Trust Wallet चैनलों से आते हैं।

व्यापक सुरक्षा निहितार्थ

Trust Wallet घटना 2024 में क्रिप्टोकरेंसी उपयोगकर्ताओं को लक्षित करने वाले आपूर्ति श्रृंखला हमलों के एक बड़े पैटर्न में फिट बैठती है। Chainalysis डेटा के अनुसार, क्रिप्टोकरेंसी चोरी 2024 में $6.75 बिलियन तक पहुंच गई, व्यक्तिगत वॉलेट समझौते पिछले वर्ष के 64,000 से बढ़कर 158,000 हो गए।

ब्राउज़र एक्सटेंशन अद्वितीय सुरक्षा चुनौतियां प्रस्तुत करते हैं क्योंकि वे ऊंची अनुमतियों के साथ काम करते हैं और संवेदनशील उपयोगकर्ता डेटा तक पहुंच सकते हैं। एक एकल समझौता किया गया अपडेट घंटों के भीतर सैकड़ों हजारों उपयोगकर्ताओं को प्रभावित कर सकता है।

घटना यह भी प्रदर्शित करती है कि कैसे कमजोर सत्यापन प्रक्रियाएं एक एकल सुरक्षा उल्लंघन को कई समस्याओं में बदल सकती हैं। Trust Wallet को अब झूठे दावों को फ़िल्टर करने के लिए महत्वपूर्ण संसाधन समर्पित करने होंगे जबकि वास्तविक पीड़ित मुआवजे की प्रतीक्षा करते हैं।

Trust Wallet के Chrome एक्सटेंशन के आधिकारिक लिस्टिंग के अनुसार लगभग दस लाख उपयोगकर्ता हैं, हालांकि व्यावहारिक एक्सपोजर इस बात पर निर्भर करता है कि कितने लोगों ने संस्करण 2.68 इंस्टॉल किया और कमजोर विंडो के दौरान संवेदनशील डेटा दर्ज किया।

आगे का रास्ता

Trust Wallet ने भविष्य की घटनाओं को रोकने के लिए कई कदम उठाए हैं। कंपनी ने अगले दो सप्ताह के लिए अनधिकृत संस्करण अपडेट को ब्लॉक करने के लिए सभी रिलीज APIs समाप्त कर दी। चोरी किए गए डेटा को एकत्र करने के लिए उपयोग किए गए दुर्भावनापूर्ण डोमेन को इसके रजिस्ट्रार को रिपोर्ट किया गया और तुरंत निलंबित कर दिया गया।

हालांकि, सवाल बने हुए हैं कि हमलावरों ने Chrome Web Store API key कैसे प्राप्त की और क्या अतिरिक्त सुरक्षा उपाय लागू किए जाएंगे। चल रही फोरेंसिक जांच उत्तर प्रदान कर सकती है, लेकिन Trust Wallet ने अपनी रिलीज प्रक्रिया में विशिष्ट परिवर्तनों की घोषणा नहीं की है।

क्रिप्टोकरेंसी उपयोगकर्ताओं के लिए, घटना वॉलेट अपडेट को अत्यधिक सावधानी से निपटने के महत्व को मजबूत करती है। सुरक्षा विशेषज्ञ अपडेट इंस्टॉल करने से पहले कम्युनिटी पुष्टि की प्रतीक्षा करने और महत्वपूर्ण होल्डिंग्स के लिए हार्डवेयर वॉलेट पर विचार करने की सलाह देते हैं।

मुआवजा प्रक्रिया जारी है क्योंकि Trust Wallet हजारों दावों के माध्यम से काम कर रहा है। वैध पीड़ितों की सटीक पहचान करते हुए धोखाधड़ी प्रस्तुतियों को ब्लॉक करने की कंपनी की क्षमता संभवतः प्रभावित करेगी कि अन्य वॉलेट प्रदाता भविष्य की सुरक्षा घटनाओं को कैसे संभालते हैं।

वास्तविकता जांच

Trust Wallet उल्लंघन क्रिप्टोकरेंसी सुरक्षा में दो महत्वपूर्ण कमजोरियों को उजागर करता है: आपूर्ति श्रृंखला हमले अच्छी तरह से डिज़ाइन की गई सुरक्षा प्रणालियों को भी बायपास कर सकते हैं, और मुआवजा प्रक्रियाएं खुद धोखाधड़ी का लक्ष्य बन जाती हैं। जैसे Trust Wallet 2,596 वास्तविक पीड़ितों के लिए लगभग 5,000 दावों के सत्यापन को नेविगेट करता है, घटना एक महंगे अनुस्मारक के रूप में कार्य करती है कि क्रिप्टो सुरक्षा में, सफाई उल्लंघन के समान चुनौतीपूर्ण हो सकती है।