सार
Trust Wallet ने पुष्टि की कि एक कम्प्रोमाइज़्ड क्रोम एक्सटेंशन अपडेट के माध्यम से एक सप्लाई-चेन हमला हुआ, जिसके परिणामस्वरूप लगभग $8.5 मिलियन के नुकसान हुए। लीक हुई Google Chrome Web Store API कुंजी ने हमलावरों को Trust Wallet ब्राउज़र एक्सटेंशन के दुर्भावनापूर्ण संस्करण को आधिकारिक Web Store में सीधे अपलोड करने की अनुमति दी, जिससे कोड समीक्षा और सुरक्षा जाँचों को बायपास किया गया।
आक्रमण विवरण
- आक्रमण अवधि: 24 दिसंबर – 26 दिसंबर, 2025
- एक्सटेंशन संस्करण: 2.68
- शिकार संख्या: 2,520 वॉलेट पते
- विधि: Analytics ट्रैफिक के रूप में छिपे दुर्भावनापूर्ण कोड को metrics-trustwallet[.]com नामक नकली डोमेन पर भेजना
तकनीकी विश्लेषण
सप्लाई-चेन अटैक श्रेणी: कुंजी समझौता. सामान्य स्मार्ट कॉन्ट्रैक्ट शोषणों के विपरीत, इस घटना ने वितरण तंत्र को निशाना बनाया। एक्सटेंशन प्रकाशित करते समय प्रयुक्त निजी क्रेडेंशियल उजागर हो गए, जिससे रिलीज़ पाइपलाइन में डेटा निकासी कोड डालना संभव हो गया। कोई ऑन-चेन कमजोरियाँ का शोषण नहीं किया गया; अंतिम उपयोगकर्ताओं को विश्वसनीय इन्फ्रास्ट्रक्चर के माध्यम से लक्षित किया गया।
जवाबी उपाय
- कम्प्रोमाइज़्ड API क्रेडेंशियल्स को तुरंत रद्द किया गया।
- सुरक्षित एक्सटेंशन संस्करण 2.69 पर वापस रोल किया गया।
- डिप्लॉयमेंट सिस्टमों पर उन्नत रिलीज-की प्रबंधन और मल्टी-फैक्टर प्रमाणीकरण को लागू किया गया।
- सभी पात्र पीड़ितों को पूर्ण नुकसान की भरपाई की पेशकश की गई।
उद्योग पर प्रभाव
गंभीर अवसंरचना तत्व जैसे वितरण कुंजी एक एकल विफलता बिंदु का प्रतिनिधित्व करते हैं। एक्सटेंशन-आधारित वॉलेट को कठोर क्रेडेंशियल रोटेशन, प्रकाशक खातों की निगरानी और बाहरी-कोड साइनिंग को अपनाना चाहिए ताकि ऐसे जोखिम कम किए जा सकें। सुरक्षा टीमों को सप्लाई-चेन वेक्टरों को स्मार्ट कॉन्ट्रैक्ट ऑडिट के समान प्राथमिकता पर विचार करना चाहिए।
उपयोगकर्ता सिफारिशें
जो उपयोगकर्ता संस्करण 2.68 इंस्टॉल कर चुके हैं उन्हें समझना चाहिए कि समझौता हो गया है, अपनी निधियाँ सुरक्षित डिवाइस पर बने नए वॉलेट में स्थानांतरित करें, और सीड वाक्यों को पुनः बनाएँ। एक्सटेंशन संस्करण की जाँच और v2.69 या उससे अधिक पर अपडेट अनिवार्य है। पुनर्भुगतान के दावे आधिकारिक Trust Wallet समर्थन चैनलों के माध्यम से प्रस्तुत किए जाने चाहिए।
टिप्पणियाँ (0)