एक्सचेंजDEX+

क्रिप्टो खरीदें मार्केट स्पॉट फ़्यूचर्सGOLD कमाएँ इवेंट

अधिक

ऑन-चेन सुरक्षा शोधकर्ता ZachXBT ने कई EVM चेन्स पर सैकड़ों वॉलेट्स को छोटी रकम के लिए ड्रेन होते हुए फ्लैग किया, आमतौर पर प्रति पीड़ित $2,000 से कमऑन-चेन सुरक्षा शोधकर्ता ZachXBT ने कई EVM चेन्स पर सैकड़ों वॉलेट्स को छोटी रकम के लिए ड्रेन होते हुए फ्लैग किया, आमतौर पर प्रति पीड़ित $2,000 से कम

सैकड़ों MetaMask वॉलेट्स खाली कर दिए गए: 'अपडेट' करने से पहले क्या जांचें

लेखक: CryptoSlate

सोर्स: CryptoSlate

2026/01/04 06:55

9 मिनट पढ़ें

शेयर करें

CHECK$0.061434-2.85%

ROOT$0.000087-3.33%

ऑन-चेन सुरक्षा शोधकर्ता ZachXBT ने कई EVM चेन्स पर सैकड़ों वॉलेट्स को छोटी राशि के लिए ड्रेन होते हुए फ्लैग किया, आमतौर पर प्रति पीड़ित $2,000 से कम, जो एक संदिग्ध पते में फ़नल हो रहे थे।

चोरी की कुल राशि $107,000 को पार कर गई और बढ़ती रही। मूल कारण अभी भी अज्ञात है, लेकिन उपयोगकर्ताओं ने एक फ़िशिंग ईमेल प्राप्त करने की रिपोर्ट की जो एक अनिवार्य MetaMask अपग्रेड के रूप में छिपा हुआ था, जिसमें पार्टी-हैट फ़ॉक्स लोगो और "Happy New Year!" विषय पंक्ति थी।

यह हमला तब आया जब डेवलपर्स छुट्टी पर थे, सपोर्ट चैनल न्यूनतम स्टाफ के साथ चल रहे थे, और उपयोगकर्ता नए साल के प्रमोशन से भरे इनबॉक्स को स्क्रॉल कर रहे थे।

हमलावर उस समय का फायदा उठाते हैं। प्रति पीड़ित छोटी राशि यह सुझाव देती है कि ड्रेनर कई मामलों में पूर्ण सीड-फ़्रेज़ समझौते के बजाय कॉन्ट्रैक्ट अप्रूवल से काम करता है, जो व्यक्तिगत नुकसान को उस सीमा से नीचे रखता है जहां पीड़ित तुरंत अलार्म बजाते हैं लेकिन हमलावर को सैकड़ों वॉलेट्स में स्केल करने की अनुमति देता है।

उद्योग अभी भी एक अलग Trust Wallet ब्राउज़र एक्सटेंशन घटना को प्रोसेस कर रहा है जिसमें Chrome एक्सटेंशन v2.68 में दुर्भावनापूर्ण कोड ने प्राइवेट कीज़ को हार्वेस्ट किया और Trust Wallet द्वारा v2.69 में पैच करने से पहले 2,520 वॉलेट्स से कम से कम $8.5 मिलियन को ड्रेन कर दिया।

दो अलग-अलग शोषण, एक ही सबक: उपयोगकर्ता एंडपॉइंट्स सबसे कमज़ोर कड़ी बने हुए हैं।

एक काम करने वाली फ़िशिंग ईमेल की संरचना

MetaMask-थीम वाली फ़िशिंग ईमेल यह प्रदर्शित करती है कि ये हमले क्यों सफल होते हैं।

प्रेषक पहचान "MetaLiveChain" दिखाती है, एक नाम जो अस्पष्ट रूप से DeFi-आसन्न लगता है लेकिन MetaMask से कोई संबंध नहीं है।

ईमेल हेडर में "reviews@yotpo.com" के लिए एक अनसब्सक्राइब लिंक है, जो दर्शाता है कि हमलावर ने वैध मार्केटिंग अभियानों से टेम्पलेट्स उठाए। बॉडी में MetaMask के फ़ॉक्स लोगो में पार्टी हैट पहनी हुई है, जो मौसमी उत्साह को "अनिवार्य अपडेट" के बारे में निर्मित तात्कालिकता के साथ मिश्रित करती है।

वह संयोजन उन अनुमानों को बायपास करता है जो अधिकांश उपयोगकर्ता स्पष्ट घोटालों पर लागू करते हैं।

फ़िशिंग ईमेल पार्टी-हैट फ़ॉक्स लोगो के साथ MetaMask का रूप धारण करती है, झूठा दावा करती है कि खाता पहुंच के लिए "अनिवार्य" 2026 सिस्टम अपग्रेड की आवश्यकता है।

MetaMask का आधिकारिक सुरक्षा दस्तावेज़ स्पष्ट नियम स्थापित करता है। सपोर्ट ईमेल केवल सत्यापित पतों से आते हैं, जैसे support@metamask.io, और कभी भी तीसरे पक्ष के डोमेन से नहीं।

वॉलेट प्रदाता सत्यापन या अपग्रेड की मांग करते हुए अवांछित ईमेल नहीं भेजता है।

इसके अतिरिक्त, कोई भी प्रतिनिधि कभी भी Secret Recovery Phrase के लिए नहीं पूछेगा। फिर भी ये ईमेल काम करते हैं क्योंकि वे उस अंतर का फायदा उठाते हैं जो उपयोगकर्ता बौद्धिक रूप से जानते हैं और जब एक आधिकारिक दिखने वाला संदेश आता है तो वे प्रतिवर्ती रूप से क्या करते हैं।

चार संकेत नुकसान होने से पहले फ़िशिंग को उजागर करते हैं।

पहला, ब्रांड-प्रेषक बेमेल, क्योंकि "MetaLiveChain" से MetaMask ब्रांडिंग टेम्पलेट चोरी का संकेत देती है। दूसरा, अनिवार्य अपडेट के आसपास निर्मित तात्कालिकता जो MetaMask स्पष्ट रूप से कहता है कि वह नहीं भेजेगा।

तीसरा, गंतव्य URLs जो दावा किए गए डोमेन से मेल नहीं खाते, क्लिक करने से पहले होवर करने से वास्तविक लक्ष्य का पता चलता है। चौथा, अनुरोध जो मुख्य वॉलेट नियमों का उल्लंघन करते हैं, जैसे सीड फ़्रेज़ के लिए पूछना या अपारदर्शी ऑफ-चेन संदेशों पर हस्ताक्षर के लिए प्रॉम्प्ट करना।

ZachXBT मामला हस्ताक्षर-फ़िशिंग तंत्र को प्रदर्शित करता है। जिन पीड़ितों ने फ़ेक अपग्रेड लिंक पर क्लिक किया, उन्होंने संभवतः एक कॉन्ट्रैक्ट अप्रूवल पर हस्ताक्षर किए जिससे ड्रेनर को टोकन्स को स्थानांतरित करने की अनुमति मिली।

उस एकल हस्ताक्षर ने कई चेन्स में चल रही चोरी का दरवाजा खोल दिया। हमलावर ने प्रति वॉलेट छोटी राशि चुनी क्योंकि कॉन्ट्रैक्ट अप्रूवल अक्सर डिफ़ॉल्ट रूप से असीमित खर्च कैप्स रखते हैं, लेकिन सब कुछ ड्रेन करना तत्काल जांच को ट्रिगर करेगा।

सैकड़ों पीड़ितों में प्रत्येक $2,000 पर चोरी फैलाना व्यक्तिगत रडार के नीचे उड़ता है जबकि छह-आंकड़े कुल जमा करता है।

अप्रूवल रद्द करना और ब्लास्ट त्रिज्या सिकोड़ना

एक बार जब फ़िशिंग लिंक पर क्लिक किया जाता है या एक दुर्भावनापूर्ण अप्रूवल पर हस्ताक्षर किए जाते हैं, तो प्राथमिकता नियंत्रण में स्थानांतरित हो जाती है। MetaMask अब उपयोगकर्ताओं को MetaMask Portfolio के अंदर सीधे टोकन अलाउंस देखने और रद्द करने देता है।

Revoke.cash उपयोगकर्ताओं को एक सरल प्रक्रिया के माध्यम से ले जाता है: अपना वॉलेट कनेक्ट करें, प्रति नेटवर्क अप्रूवल का निरीक्षण करें, और अविश्वसनीय कॉन्ट्रैक्ट्स के लिए रद्द लेनदेन भेजें।

Etherscan का Token Approvals पेज ERC-20, ERC-721, और ERC-1155 अप्रूवल के मैन्युअल रद्दीकरण के लिए समान कार्यक्षमता प्रदान करता है। ये उपकरण महत्वपूर्ण हैं क्योंकि जो पीड़ित तेज़ी से कार्य करते हैं वे सब कुछ खोने से पहले ड्रेनर की पहुंच को काट सकते हैं।

अप्रूवल समझौते और सीड-फ़्रेज़ समझौते के बीच अंतर निर्धारित करता है कि क्या एक वॉलेट को बचाया जा सकता है। MetaMask की सुरक्षा गाइड एक कठोर रेखा खींचती है: यदि आपको संदेह है कि आपका Secret Recovery Phrase उजागर हो गया है, तो उस वॉलेट का उपयोग तुरंत बंद कर दें।

एक नए डिवाइस पर एक नया वॉलेट बनाएं, शेष संपत्तियों को स्थानांतरित करें, और मूल सीड को स्थायी रूप से जला हुआ मानें। अप्रूवल रद्द करना तब मदद करता है जब हमलावर केवल कॉन्ट्रैक्ट अनुमतियां रखता है; यदि आपका सीड चला गया है, तो पूरे वॉलेट को छोड़ना होगा।

Chainalysis ने 2025 में लगभग 158,000 व्यक्तिगत वॉलेट समझौतों का दस्तावेजीकरण किया जो कम से कम 80,000 लोगों को प्रभावित करते हैं, भले ही कुल चोरी का मूल्य लगभग $713 मिलियन तक गिर गया।

Chainalysis डेटा के अनुसार, कुल क्रिप्टो चोरी के हिस्से के रूप में व्यक्तिगत वॉलेट नुकसान 2022 में लगभग 10% से बढ़कर 2025 में लगभग 25% हो गया।

हमलावर छोटी राशि के लिए अधिक वॉलेट्स को हिट करते हैं, वह पैटर्न जो ZachXBT ने पहचाना। व्यावहारिक निहितार्थ: ब्लास्ट त्रिज्या को सीमित करने के लिए वॉलेट्स को व्यवस्थित करना फ़िशिंग से बचने जितना महत्वपूर्ण है।

एक एकल समझौता किया गया वॉलेट कुल पोर्टफोलियो नुकसान का मतलब नहीं होना चाहिए।

गहन रक्षा का निर्माण

वॉलेट प्रदाताओं ने ऐसी सुविधाएं शिप की हैं जो इस हमले को रोक सकती थीं यदि अपनाई गई होतीं।

MetaMask अब डिफ़ॉल्ट "असीमित" अनुमतियों को स्वीकार करने के बजाय टोकन अप्रूवल पर खर्च कैप्स सेट करने को प्रोत्साहित करता है। Revoke.cash और De.Fi का Shield डैशबोर्ड लंबी अवधि की होल्डिंग्स के लिए हार्डवेयर वॉलेट उपयोग के साथ नियमित स्वच्छता के रूप में अप्रूवल समीक्षाओं का समर्थन करता है।

MetaMask डिफ़ॉल्ट रूप से Blockaid से लेनदेन सुरक्षा अलर्ट सक्षम करता है, हस्ताक्षर निष्पादित होने से पहले संदिग्ध कॉन्ट्रैक्ट्स को फ्लैग करता है।

Trust Wallet एक्सटेंशन घटना गहन रक्षा की आवश्यकता को पुष्ट करती है। उस शोषण ने उपयोगकर्ता निर्णयों को बायपास किया, और एक आधिकारिक Chrome लिस्टिंग में दुर्भावनापूर्ण कोड ने स्वचालित रूप से कीज़ को हार्वेस्ट किया।

जिन उपयोगकर्ताओं ने हार्डवेयर वॉलेट्स (कोल्ड स्टोरेज), सॉफ्टवेयर वॉलेट्स (वार्म लेनदेन), और बर्नर वॉलेट्स (प्रयोगात्मक प्रोटोकॉल) में होल्डिंग्स को अलग किया, उन्होंने एक्सपोज़र को सीमित किया।

वह तीन-स्तरीय मॉडल घर्षण पैदा करता है, लेकिन घर्षण ही बिंदु है। एक फ़िशिंग ईमेल जो एक बर्नर वॉलेट को कैप्चर करता है, उसकी लागत सैकड़ों या कुछ हज़ार डॉलर है। पूरे पोर्टफोलियो को रखने वाले एक एकल वॉलेट के खिलाफ वही हमला जीवन बदलने वाले पैसे खर्च करता है।

ZachXBT ड्रेनर सफल हुआ क्योंकि इसने सुविधा और सुरक्षा के बीच सिलाई को लक्षित किया। अधिकांश उपयोगकर्ता सब कुछ एक MetaMask इंस्टेंस में रखते हैं क्योंकि कई वॉलेट्स का प्रबंधन बोझिल लगता है।

हमलावर ने दांव लगाया कि नए साल के दिन एक पेशेवर दिखने वाली ईमेल लाभदायक वॉल्यूम उत्पन्न करने के लिए पर्याप्त लोगों को गार्ड से पकड़ लेगी। उस दांव ने भुगतान किया, $107,000 और गिनती के साथ।

MetaMask का आधिकारिक मार्गदर्शन तीन फ़िशिंग रेड फ्लैग्स की पहचान करता है: गलत प्रेषक पते, अवांछित तत्काल अपग्रेड मांग, और Secret Recovery Phrases या पासवर्ड के लिए अनुरोध।

क्या दांव पर है

यह घटना एक गहरा सवाल उठाती है: स्व-संरक्षण दुनिया में एंडपॉइंट सुरक्षा की जिम्मेदारी कौन वहन करता है?

वॉलेट प्रदाता एंटी-फ़िशिंग उपकरण बनाते हैं, शोधकर्ता खतरे की रिपोर्ट प्रकाशित करते हैं, और नियामक उपभोक्ताओं को चेतावनी देते हैं। फिर भी हमलावर को केवल एक नकली ईमेल, एक क्लोन किए गए लोगो, और एक ड्रेनर कॉन्ट्रैक्ट की आवश्यकता थी ताकि सैकड़ों वॉलेट्स से समझौता किया जा सके।

वह बुनियादी ढांचा जो स्व-संरक्षण, अनुमति रहित लेनदेन, छद्म नाम पते, और अपरिवर्तनीय स्थानांतरण को सक्षम करता है, वह भी इसे क्षमा न करने वाला बनाता है।

उद्योग इसे एक शिक्षा समस्या के रूप में मानता है: यदि उपयोगकर्ता प्रेषक पतों को सत्यापित करते हैं, लिंक पर होवर करते हैं, और पुराने अप्रूवल को रद्द करते हैं, तो हमले विफल हो जाएंगे।

फिर भी, 158,000 समझौतों पर Chainalysis का डेटा सुझाव देता है कि केवल शिक्षा स्केल नहीं करती है। हमलावर उपयोगकर्ताओं के सीखने से तेज़ी से अनुकूलित होते हैं। MetaMask फ़िशिंग ईमेल कच्चे "आपका वॉलेट लॉक है!" टेम्पलेट्स से परिष्कृत मौसमी अभियानों में विकसित हुई।

Trust Wallet एक्सटेंशन शोषण ने साबित किया कि यदि वितरण चैनल से समझौता किया जाता है तो सावधान उपयोगकर्ता भी धन खो सकते हैं।

क्या काम करता है: सार्थक होल्डिंग्स के लिए हार्डवेयर वॉलेट्स, निर्दयी अप्रूवल रद्दीकरण, जोखिम प्रोफ़ाइल द्वारा वॉलेट विभाजन, और वॉलेट प्रदाताओं से किसी भी अवांछित संदेश के प्रति संदेह।

क्या काम नहीं करता: वॉलेट इंटरफेस को डिफ़ॉल्ट रूप से सुरक्षित मानना, अप्रूवल को एकबारगी निर्णयों के रूप में मानना, या सुविधा के लिए सभी संपत्तियों को एकल हॉट वॉलेट में समेकित करना। ZachXBT ड्रेनर को बंद कर दिया जाएगा क्योंकि पता फ्लैग किया गया है, और एक्सचेंज जमा को फ्रीज कर देंगे।

लेकिन अगले सप्ताह थोड़े अलग टेम्पलेट और एक नए कॉन्ट्रैक्ट पते के साथ एक और ड्रेनर लॉन्च होगा।

चक्र तब तक जारी रहता है जब तक उपयोगकर्ता आंतरिक रूप से नहीं समझते कि क्रिप्टो की सुविधा एक हमले की सतह बनाती है जो अंततः शोषित हो जाती है। विकल्प सुरक्षा और उपयोगिता के बीच नहीं है, बल्कि कुछ हद तक अभी घर्षण और बाद में नुकसान के बीच है।

पोस्ट Hundreds of MetaMask wallets drained: What to check before you 'update' पहली बार CryptoSlate पर दिखाई दी।

मार्केट अवसर

Checkmate मूल्य(CHECK)

$0.061434

$0.061434$0.061434

+0.13%

USD

Checkmate (CHECK) मूल्य का लाइव चार्ट

अस्वीकरण: इस साइट पर बाहर से पोस्ट किए गए लेख, सार्वजनिक प्लेटफार्म से लिए गए हैं और केवल सूचना देने के उद्देश्यों के लिए उपलब्ध कराए गए हैं. वे निश्चित तौर पर MEXC के विचारों को नहीं दिखाते. सभी संबंधित अधिकार मूल लेखकों के पास ही हैं. अगर आपको लगता है कि कोई कॉन्टेंट तीसरे पक्ष के अधिकारों का उल्लंघन करता है, तो कृपया उसे हटाने के लिए service@support.mexc.com से संपर्क करें. MEXC किसी कॉन्टेंट की सटीकता, पूर्णता या समयबद्धता के संबंध में कोई गारंटी नहीं देता है और प्रदान की गई जानकारी के आधार पर की गई किसी भी कार्रवाई के लिए जिम्मेदार नहीं है. यह कॉन्टेंट वित्तीय, कानूनी या अन्य प्रोफ़ेशनल सलाह नहीं है, न ही इसे MEXC द्वारा अनुशंसा या समर्थन माना जाना चाहिए.