चाइना हैकर ग्रुप ने वॉलेट सप्लाई चेन को टारगेट करते हुए $7M क्रिप्टो चोरी ऑपरेशन लीक किया

एक रिपोर्ट किए गए वॉलेट सप्लाई चेन क्रिप्टो चोरी की कहानी एक वास्तविक Trust Wallet ब्राउज़र एक्सटेंशन समझौते से जुड़ी प्रतीत होती है, लेकिन सबसे मजबूत सार्वजनिक साक्ष्य चीन से जुड़े हैकर समूह या अलग लीक घटना की पुष्टि नहीं करता है। जो सत्यापित है वह यह है कि एक दुर्भावनापूर्ण Trust Wallet एक्सटेंशन रिलीज़ ने छोटी छुट्टियों की अवधि के दौरान उपयोगकर्ताओं को उजागर किया, जो दर्शाता है कि कैसे एक विश्वसनीय सॉफ़्टवेयर अपडेट पथ चोरी के चैनल में बदल सकता है।

Trust Wallet की सुरक्षा सूचना और इसके बाद के समुदाय अपडेट से पता चलता है कि 24 दिसंबर, 2025 को Chrome Web Store पर एक अनधिकृत संस्करण 2.68 ब्राउज़र एक्सटेंशन प्रकाशित किया गया था। कंपनी ने कहा कि केवल वे उपयोगकर्ता जिन्होंने 24 दिसंबर और 26 दिसंबर के बीच उस संस्करण को खोला और लॉग इन किया, वे प्रभावित हुए।

यह महत्वपूर्ण है क्योंकि एक सप्लाई-चेन हमला उस सॉफ़्टवेयर को प्रभावित करता है जिस पर लोग पहले से भरोसा करते हैं, न कि उन्हें नकली ईमेल या खराब लिंक से धोखा देना। सरल शब्दों में, यह एक क्लासिक फ़िशिंग घोटाले की तुलना में छेड़छाड़ किए गए बैंक ऐप अपडेट के करीब है।

चोरी के ऑपरेशन के बारे में वास्तव में क्या पुष्टि की गई है

Trust Wallet ने कहा कि उसने 2,520 प्रभावित वॉलेट पते और लगभग $8.5 मिलियन की प्रभावित संपत्ति की पहचान की जो 17 हमलावर-नियंत्रित पतों से जुड़ी हैं। यह आंकड़ा कुछ शुरुआती रिपोर्टों में उद्धृत लगभग $7 मिलियन से अधिक है, जिसका अर्थ है कि अंतिम सार्वजनिक क्षति अनुमान अभी भी इस बात पर निर्भर करता है कि किस स्रोत और तारीख का उपयोग किया जा रहा है।

SlowMist के घटना विश्लेषण ने कहा कि दुर्भावनापूर्ण कोड ने सीड फ्रेज़, गुप्त रिकवरी शब्द जो क्रिप्टो वॉलेट को नियंत्रित करते हैं, को कैप्चर किया, जब उपयोगकर्ताओं ने एक्सटेंशन अनलॉक किया। सुरक्षा फर्म ने शुरुआती नुकसान का अनुमान लगभग 33 BTC और Ethereum और Layer-2 नेटवर्क पर लगभग $3 मिलियन लगाया, जो प्रकाशन के समय प्रारंभिक कुल को $6 मिलियन के करीब रखता है।

SlowMist ने यह भी कहा, "हमारे पास यह विश्वास करने का मजबूत कारण है कि यह एक पेशेवर APT-स्तर का हमला है।" यह एक अत्यधिक संगठित ऑपरेशन की ओर इशारा करता है, लेकिन यह चीन से जुड़े समूह के सार्वजनिक एट्रिब्यूशन के समान नहीं है, और उपलब्ध स्रोत सेट वह छलांग नहीं लगाता है।

Trust Wallet ने प्रकाशन पथ को लीक हुई Chrome Web Store API key और नवंबर 2025 Sha1-Hulud सप्लाई-चेन घटना से जुड़े उजागर GitHub डेवलपर रहस्यों से जोड़ा। यह लिंक सबसे महत्वपूर्ण सत्यापित विवरणों में से एक है क्योंकि यह सुझाव देता है कि समझौता अपस्ट्रीम शुरू हो सकता है, उपयोगकर्ताओं द्वारा खराब एक्सटेंशन डाउनलोड करने से पहले।

वॉलेट सप्लाई-चेन हमले सीधे वॉलेट हैक से अलग क्यों हैं

एक सीधा वॉलेट हैक आमतौर पर फ़िशिंग, मैलवेयर, या चोरी किए गए पासवर्ड के माध्यम से एक समय में एक उपयोगकर्ता को लक्षित करता है। एक वॉलेट सप्लाई-चेन हमला सॉफ़्टवेयर विक्रेता, अपडेट चैनल, या वितरण प्रक्रिया को लक्षित करता है, जो एक बार में कई उपयोगकर्ताओं को जोखिम में डाल सकता है।

इसलिए इस मामले ने सामान्य चोरी रिपोर्ट की तुलना में व्यापक चिंता जताई है। यदि कोई खराब अभिनेता आधिकारिक ब्राउज़र एक्सटेंशन लिस्टिंग में दुर्भावनापूर्ण कोड डाल सकता है, तो सतर्क उपयोगकर्ता भी कुछ गलत नहीं समझ सकते जब तक कि धन पहले से ही चला न गया हो।

व्यापक क्रिप्टो उद्योग के पास पहले से ही इसे एक प्रमुख जोखिम क्षेत्र मानने का कारण है। CertiK की 2025 Web3 सुरक्षा रिपोर्ट ने कहा कि सप्लाई-चेन हमले वर्ष के सबसे महंगे हमले वेक्टर थे, जिसमें दो घटनाओं में लगभग $1.45 बिलियन का नुकसान हुआ।

coinlineup.com पर अन्य बुनियादी ढांचे के जोखिमों का अनुसरण करने वाले पाठकों ने विभिन्न रूपों में समान पैटर्न देखा है, चाहे Moody's चेतावनी से जुड़े Bitcoin मंदी कवरेज में मैक्रो तनाव के माध्यम से या क्रिप्टो लिक्विडेशन घटनाओं में अचानक लीवरेज झटके। सामान्य विषय यह है कि बाजार की प्लंबिंग में विश्वास मूल्य चार्ट जितना महत्वपूर्ण है।

वॉलेट प्रदाताओं और नियमित उपयोगकर्ताओं के लिए इसका क्या अर्थ है

वॉलेट प्रदाताओं के लिए, घटना ऐप-स्टोर प्रकाशन नियंत्रण को कठोर करने, क्रेडेंशियल्स को जल्दी से बदलने, और डेवलपर रहस्यों को अधिक आक्रामक रूप से अलग करने का दबाव बढ़ाती है। उपयोगकर्ताओं के लिए, व्यावहारिक सबक सरल है: विश्वसनीय ब्रांडों से अपडेट अभी भी जांच की आवश्यकता है जब असामान्य प्रॉम्प्ट, एक्सटेंशन व्यवहार, या लॉगिन प्रवाह दिखाई देते हैं।

Trust Wallet की प्रतिक्रिया प्रतिपूर्ति और सफाई पर केंद्रित थी। Cointelegraph ने रिपोर्ट किया कि Changpeng Zhao, जिन्हें CZ के रूप में जाना जाता है और Binance के पूर्व CEO के रूप में सबसे अधिक जाने जाते हैं, ने कहा कि Trust Wallet क्रिसमस दिवस एक्सप्लॉइट के बाद लगभग $7 मिलियन उपयोगकर्ता नुकसान को कवर करेगा, हालांकि Trust Wallet के बाद के लेखांकन ने प्रभावित संपत्ति को $8.5 मिलियन के करीब रखा।

बाजार का संदर्भ अभी भी मिश्रित है। शोध संक्षिप्त में 0.530464 की स्पॉट मूल्य रीडिंग शामिल थी, लेकिन स्पष्ट ट्रेडिंग प्रतिक्रिया साबित करने के लिए कोई सत्यापित 24-घंटे की चाल, मार्केट कैपिटलाइज़ेशन, या वॉल्यूम डेटा पर्याप्त मजबूत नहीं था, इसलिए बड़ा बाजार प्रभाव स्पष्ट मूल्य झटके के बजाय विश्वास क्षति प्रतीत होता है।

वह विश्वास मुद्दा एक वॉलेट ब्रांड से परे मायने रखता है। जैसे-जैसे क्रिप्टो फर्म नए बाजारों में विस्तार करती हैं, जिसमें Ripple की ब्राजील विस्तार कहानी में वर्णित व्यापक उत्पाद और लाइसेंसिंग पुश शामिल है, उपयोगकर्ताओं से अधिक सॉफ़्टवेयर, अधिक एकीकरण, और अधिक तृतीय-पक्ष बुनियादी ढांचे पर भरोसा करने के लिए कहा जा रहा है।

संकीर्ण निष्कर्ष यह नहीं है कि मूल शीर्षक का चीन एट्रिब्यूशन सिद्ध हो गया है। यह है कि सत्यापित Trust Wallet मामला दिखाता है कि एक वॉलेट सप्लाई-चेन समझौता कितना हानिकारक हो सकता है, और क्यों वॉलेट कंपनियों और रोज़मर्रा के धारकों दोनों को ब्राउज़र एक्सटेंशन, अपडेट, और रिकवरी फ्रेज़ को महत्वपूर्ण सुरक्षा बिंदुओं के रूप में मानने की आवश्यकता है।

अस्वीकरण: यह लेख केवल सूचनात्मक उद्देश्यों के लिए है और वित्तीय सलाह नहीं है।

अस्वीकरण: यह लेख केवल सूचनात्मक उद्देश्यों के लिए है और वित्तीय या निवेश सलाह नहीं है। क्रिप्टोकरेंसी और डिजिटल संपत्ति बाजार महत्वपूर्ण जोखिम उठाते हैं। निर्णय लेने से पहले हमेशा अपना स्वयं का शोध करें।