ऑन-चेन सुरक्षा शोधकर्ता ZachXBT ने कई EVM चेन में सैकड़ों वॉलेट को फ्लैग किया जो छोटी राशि के लिए ड्रेन किए जा रहे थे, आमतौर पर प्रति पीड़ित $2,000 से कम, जो एक संदिग्ध पते में जमा हो रहे थे।
चोरी की कुल राशि $107,000 को पार कर गई और बढ़ती रही। मूल कारण अभी भी अज्ञात है, लेकिन उपयोगकर्ताओं ने एक फ़िशिंग ईमेल प्राप्त करने की रिपोर्ट की जो एक अनिवार्य MetaMask अपग्रेड के रूप में प्रच्छन्न था, जिसमें पार्टी-हैट लोमड़ी का लोगो और "Happy New Year!" विषय पंक्ति शामिल थी।
यह हमला तब आया जब डेवलपर्स छुट्टी पर थे, सपोर्ट चैनल न्यूनतम स्टाफ के साथ चल रहे थे, और उपयोगकर्ता नए साल के प्रचारों से भरे इनबॉक्स को स्क्रॉल कर रहे थे।
हमलावर उस अवसर का फायदा उठाते हैं। प्रति-पीड़ित छोटी राशि यह सुझाव देती है कि ड्रेनर कई मामलों में पूर्ण सीड-फ़्रेज़ से समझौता करने के बजाय कॉन्ट्रैक्ट अप्रूवल के माध्यम से काम करता है, जो व्यक्तिगत नुकसान को उस सीमा से नीचे रखता है जहां पीड़ित तुरंत अलार्म बजाते हैं लेकिन हमलावर को सैकड़ों वॉलेट में स्केल करने की अनुमति देता है।
उद्योग अभी भी एक अलग Trust Wallet ब्राउज़र एक्सटेंशन घटना को प्रोसेस कर रहा है जिसमें Chrome एक्सटेंशन v2.68 में दुर्भावनापूर्ण कोड ने प्राइवेट की एकत्र की और Trust Wallet द्वारा v2.69 में पैच किए जाने से पहले 2,520 वॉलेट से कम से कम $8.5 मिलियन ड्रेन कर दिए।
दो अलग-अलग शोषण, एक ही सबक: उपयोगकर्ता एंडपॉइंट सबसे कमज़ोर कड़ी बने हुए हैं।
एक प्रभावी फ़िशिंग ईमेल की संरचना
MetaMask-थीम वाला फ़िशिंग ईमेल प्रदर्शित करता है कि ये हमले क्यों सफल होते हैं।
प्रेषक की पहचान "MetaLiveChain" दिखाती है, एक नाम जो अस्पष्ट रूप से DeFi-निकटवर्ती लगता है लेकिन MetaMask से कोई संबंध नहीं है।
ईमेल हेडर में "[email protected]" के लिए एक अनसब्सक्राइब लिंक है, जो यह प्रकट करता है कि हमलावर ने वैध मार्केटिंग अभियानों से टेम्पलेट्स लिए। बॉडी में पार्टी हैट पहने MetaMask के फ़ॉक्स लोगो को दिखाया गया है, जो "अनिवार्य अपडेट" के बारे में मौसमी उत्साह और निर्मित तात्कालिकता को मिश्रित करता है।
वह संयोजन उन अधिकांश उपयोगकर्ताओं के हेयूरिस्टिक्स को बायपास करता है जो स्पष्ट घोटालों पर लागू होते हैं।
फ़िशिंग ईमेल पार्टी-हैट फ़ॉक्स लोगो के साथ MetaMask की नकल करता है, झूठा दावा करता है कि खाता एक्सेस के लिए एक "अनिवार्य" 2026 सिस्टम अपग्रेड आवश्यक है।MetaMask का आधिकारिक सुरक्षा दस्तावेज़ स्पष्ट नियम स्थापित करता है। सपोर्ट ईमेल केवल सत्यापित पतों से आते हैं, जैसे [email protected], और कभी भी थर्ड-पार्टी डोमेन से नहीं।
वॉलेट प्रदाता सत्यापन या अपग्रेड की मांग करने वाले अवांछित ईमेल नहीं भेजता है।
इसके अतिरिक्त, कोई भी प्रतिनिधि कभी भी Secret Recovery Phrase नहीं मांगेगा। फिर भी ये ईमेल काम करते हैं क्योंकि वे उस अंतर का फायदा उठाते हैं जो उपयोगकर्ता बौद्धिक रूप से जानते हैं और जब एक आधिकारिक दिखने वाला संदेश आता है तो वे प्रतिवर्ती रूप से क्या करते हैं।
चार संकेत नुकसान होने से पहले फ़िशिंग को उजागर करते हैं।
पहला, ब्रांड-प्रेषक बेमेल, क्योंकि "MetaLiveChain" से MetaMask ब्रांडिंग टेम्पलेट चोरी का संकेत देती है। दूसरा, अनिवार्य अपडेट के आसपास निर्मित तात्कालिकता जिसे MetaMask स्पष्ट रूप से कहता है कि वह नहीं भेजेगा।
तीसरा, गंतव्य URL जो दावा किए गए डोमेन से मेल नहीं खाते, क्लिक करने से पहले होवर करने से वास्तविक लक्ष्य प्रकट होता है। चौथा, ऐसे अनुरोध जो मूल वॉलेट नियमों का उल्लंघन करते हैं, जैसे सीड फ़्रेज़ मांगना या अपारदर्शी ऑफ-चेन संदेशों पर हस्ताक्षर के लिए प्रेरित करना।
ZachXBT मामला हस्ताक्षर-फ़िशिंग यांत्रिकी को प्रदर्शित करता है। जिन पीड़ितों ने नकली अपग्रेड लिंक पर क्लिक किया, उन्होंने संभवतः एक कॉन्ट्रैक्ट अप्रूवल पर हस्ताक्षर किए जो ड्रेनर को टोकन स्थानांतरित करने की अनुमति देता है।
उस एकल हस्ताक्षर ने कई चेन में चल रही चोरी के लिए दरवाज़ा खोल दिया। हमलावर ने प्रति-वॉलेट छोटी राशि चुनी क्योंकि कॉन्ट्रैक्ट अप्रूवल अक्सर डिफ़ॉल्ट रूप से असीमित खर्च सीमा रखते हैं, लेकिन सब कुछ ड्रेन करना तुरंत जांच को ट्रिगर करेगा।
प्रत्येक $2,000 पर सैकड़ों पीड़ितों में चोरी फैलाना व्यक्तिगत रडार के नीचे उड़ता है जबकि छह-आंकड़ा कुल जमा होता है।
अप्रूवल रद्द करना और ब्लास्ट रेडियस सिकोड़ना
एक बार जब एक फ़िशिंग लिंक पर क्लिक किया जाता है या एक दुर्भावनापूर्ण अप्रूवल पर हस्ताक्षर किए जाते हैं, तो प्राथमिकता नियंत्रण में स्थानांतरित हो जाती है। MetaMask अब उपयोगकर्ताओं को MetaMask Portfolio के अंदर सीधे टोकन अलाउंस देखने और रद्द करने देता है।
Revoke.cash उपयोगकर्ताओं को एक सरल प्रक्रिया के माध्यम से चलता है: अपने वॉलेट को कनेक्ट करें, प्रति नेटवर्क अप्रूवल का निरीक्षण करें, और अविश्वसनीय कॉन्ट्रैक्ट्स के लिए रद्द लेनदेन भेजें।
Etherscan का Token Approvals पेज ERC-20, ERC-721, और ERC-1155 अप्रूवल के मैनुअल रद्दीकरण के लिए समान कार्यक्षमता प्रदान करता है। ये उपकरण महत्वपूर्ण हैं क्योंकि जो पीड़ित तेजी से कार्य करते हैं वे सब कुछ खोने से पहले ड्रेनर की पहुंच को काट सकते हैं।
अप्रूवल समझौता और सीड-फ़्रेज़ समझौता के बीच अंतर यह निर्धारित करता है कि एक वॉलेट को बचाया जा सकता है या नहीं। MetaMask की सुरक्षा गाइड एक कठोर रेखा खींचती है: यदि आपको संदेह है कि आपका Secret Recovery Phrase उजागर हो गया है, तो तुरंत उस वॉलेट का उपयोग बंद कर दें।
एक नए डिवाइस पर एक नया वॉलेट बनाएं, शेष संपत्ति स्थानांतरित करें, और मूल सीड को स्थायी रूप से जला हुआ मानें। अप्रूवल रद्द करना तब मदद करता है जब हमलावर केवल कॉन्ट्रैक्ट अनुमतियां रखता है; यदि आपका सीड चला गया है, तो पूरे वॉलेट को छोड़ दिया जाना चाहिए।
Chainalysis ने 2025 में लगभग 158,000 व्यक्तिगत वॉलेट समझौतों का दस्तावेज़ीकरण किया जो कम से कम 80,000 लोगों को प्रभावित करते हैं, भले ही कुल चोरी की गई राशि लगभग $713 मिलियन तक गिर गई।
कुल क्रिप्टो चोरी के हिस्से के रूप में व्यक्तिगत वॉलेट नुकसान 2022 में लगभग 10% से बढ़कर 2025 में लगभग 25% हो गया, Chainalysis डेटा के अनुसार।हमलावरों ने छोटी राशि के लिए अधिक वॉलेट को हिट किया, वह पैटर्न जिसे ZachXBT ने पहचाना। व्यावहारिक निहितार्थ: ब्लास्ट रेडियस को सीमित करने के लिए वॉलेट का आयोजन फ़िशिंग से बचने जितना ही महत्वपूर्ण है।
एक एकल समझौता किए गए वॉलेट का मतलब कुल पोर्टफोलियो नुकसान नहीं होना चाहिए।
गहराई में रक्षा बनाना
वॉलेट प्रदाताओं ने ऐसी विशेषताओं को शिप किया है जो इस हमले को रोक सकती थीं यदि अपनाया गया होता।
MetaMask अब डिफ़ॉल्ट "असीमित" अनुमतियों को स्वीकार करने के बजाय टोकन अप्रूवल पर खर्च सीमा निर्धारित करने को प्रोत्साहित करता है। Revoke.cash और De.Fi का Shield डैशबोर्ड लंबी अवधि की होल्डिंग्स के लिए हार्डवेयर वॉलेट उपयोग के साथ नियमित स्वच्छता के रूप में अप्रूवल समीक्षाओं का समर्थन करता है।
MetaMask डिफ़ॉल्ट रूप से Blockaid से लेनदेन सुरक्षा अलर्ट सक्षम करता है, हस्ताक्षर निष्पादित होने से पहले संदिग्ध कॉन्ट्रैक्ट्स को फ्लैग करता है।
Trust Wallet एक्सटेंशन घटना गहराई-में-रक्षा की आवश्यकता को मजबूत करती है। उस शोषण ने उपयोगकर्ता निर्णयों को बायपास किया, और एक आधिकारिक Chrome लिस्टिंग में दुर्भावनापूर्ण कोड ने स्वचालित रूप से की को हार्वेस्ट किया।
जिन उपयोगकर्ताओं ने हार्डवेयर वॉलेट (कोल्ड स्टोरेज), सॉफ़्टवेयर वॉलेट (वार्म लेनदेन), और बर्नर वॉलेट (प्रायोगिक प्रोटोकॉल) में होल्डिंग्स को अलग किया, उन्होंने एक्सपोज़र को सीमित किया।
वह तीन-स्तरीय मॉडल घर्षण पैदा करता है, लेकिन घर्षण ही बिंदु है। एक फ़िशिंग ईमेल जो एक बर्नर वॉलेट को कैप्चर करता है, उसकी लागत सैकड़ों या कुछ हज़ार डॉलर है। एक पूरे पोर्टफोलियो को रखने वाले एकल वॉलेट के खिलाफ समान हमला जीवन बदलने वाला पैसा खर्च करता है।
ZachXBT ड्रेनर सफल हुआ क्योंकि इसने सुविधा और सुरक्षा के बीच की सीम को लक्षित किया। अधिकांश उपयोगकर्ता एक MetaMask इंस्टेंस में सब कुछ रखते हैं क्योंकि कई वॉलेट प्रबंधित करना बोझिल लगता है।
हमलावर ने शर्त लगाई कि नए साल के दिन एक पेशेवर दिखने वाला ईमेल लाभदायक मात्रा उत्पन्न करने के लिए पर्याप्त लोगों को अचानक पकड़ लेगा। वह शर्त सफल रही, $107,000 और गिनती के साथ।
MetaMask का आधिकारिक मार्गदर्शन तीन फ़िशिंग रेड फ्लैग की पहचान करता है: गलत प्रेषक पते, अवांछित तात्कालिक अपग्रेड मांग, और Secret Recovery Phrases या पासवर्ड के लिए अनुरोध।क्या दांव पर है
यह घटना एक गहरा प्रश्न उठाती है: स्व-अभिरक्षा वाली दुनिया में एंडपॉइंट सुरक्षा की जिम्मेदारी कौन वहन करता है?
वॉलेट प्रदाता एंटी-फ़िशिंग उपकरण बनाते हैं, शोधकर्ता खतरा रिपोर्ट प्रकाशित करते हैं, और नियामक उपभोक्ताओं को चेतावनी देते हैं। फिर भी हमलावर को सैकड़ों वॉलेट से समझौता करने के लिए केवल एक नकली ईमेल, एक क्लोन लोगो, और एक ड्रेनर कॉन्ट्रैक्ट की आवश्यकता थी।
वह बुनियादी ढांचा जो स्व-अभिरक्षा, अनुमति-रहित लेनदेन, छद्मनाम पते, और अपरिवर्तनीय स्थानांतरण को सक्षम बनाता है, वह इसे क्षमारहित भी बनाता है।
उद्योग इसे एक शिक्षा समस्या के रूप में मानता है: यदि उपयोगकर्ता प्रेषक पते सत्यापित करते हैं, लिंक पर होवर करते हैं, और पुराने अप्रूवल रद्द करते हैं, तो हमले विफल हो जाएंगे।
फिर भी, 158,000 समझौतों पर Chainalysis का डेटा सुझाव देता है कि अकेले शिक्षा स्केल नहीं करती है। हमलावर उपयोगकर्ताओं की सीखने की तुलना में तेजी से अनुकूलित होते हैं। MetaMask फ़िशिंग ईमेल कच्चे "आपका वॉलेट लॉक है!" टेम्पलेट्स से पॉलिश मौसमी अभियानों में विकसित हुआ।
Trust Wallet एक्सटेंशन शोषण ने साबित किया कि यदि वितरण चैनल समझौता हो जाते हैं तो सावधान उपयोगकर्ता भी धन खो सकते हैं।
क्या काम करता है: सार्थक होल्डिंग्स के लिए हार्डवेयर वॉलेट, निर्दयी अप्रूवल रद्दीकरण, जोखिम प्रोफ़ाइल द्वारा वॉलेट पृथक्करण, और वॉलेट प्रदाताओं से किसी भी अवांछित संदेश के प्रति संदेह।
क्या काम नहीं करता: वॉलेट इंटरफेस को डिफ़ॉल्ट रूप से सुरक्षित मानना, अप्रूवल को एक बार के निर्णयों के रूप में मानना, या सुविधा के लिए सभी संपत्तियों को एकल हॉट वॉलेट में समेकित करना। ZachXBT ड्रेनर को बंद कर दिया जाएगा क्योंकि पता फ्लैग किया गया है, और एक्सचेंज जमा को फ्रीज कर देंगे।
लेकिन अगले सप्ताह एक और ड्रेनर एक थोड़े अलग टेम्पलेट और एक नए कॉन्ट्रैक्ट
पते के साथ लॉन्च होगा।
चक्र तब तक जारी रहता है जब तक उपयोगकर्ता आंतरिक रूप से यह नहीं समझ लेते कि क्रिप्टो की सुविधा एक हमले की सतह बनाती है जो अंततः शोषित होती है। विकल्प सुरक्षा और उपयोगिता के बीच नहीं है, बल्कि कुछ हद तक अभी घर्षण और बाद में नुकसान के बीच है।
स्रोत: https://cryptoslate.com/hundreds-of-evm-wallets-drained-what-to-check-before-you-update/
