আপডেট যা ওয়ালেট শূন্য করে দিয়েছে

ট্রাস্ট ওয়ালেট ঘটনায় ঠিক কী ঘটেছিল

ধাপ ১: একটি নতুন ব্রাউজার এক্সটেনশন আপডেট প্রকাশিত হয়েছিল

২৪ ডিসেম্বর ট্রাস্ট ওয়ালেট ব্রাউজার এক্সটেনশনের জন্য একটি নতুন আপডেট প্রকাশিত হয়েছিল।

• আপডেটটি সাধারণ মনে হয়েছিল।

• এটির সাথে কোনো বড় নিরাপত্তা সতর্কতা আসেনি।

• ব্যবহারকারীরা স্বাভাবিক আপডেট প্রক্রিয়ার মাধ্যমে এটি ইনস্টল করেছিলেন।

এই মুহূর্তে, কিছুই সন্দেহজনক মনে হয়নি।

ধাপ ২: এক্সটেনশনে নতুন কোড যুক্ত করা হয়েছিল

আপডেটের পরে, এক্সটেনশনের ফাইলগুলি পরীক্ষা করা গবেষকরা 4482.js নামে পরিচিত একটি JavaScript ফাইলে পরিবর্তন লক্ষ্য করেছিলেন।

মূল পর্যবেক্ষণ:

এটি গুরুত্বপূর্ণ কারণ ব্রাউজার ওয়ালেটগুলি অত্যন্ত সংবেদনশীল পরিবেশ; কোনো নতুন আউটগোয়িং লজিক উচ্চ ঝুঁকি তৈরি করে।

ধাপ ৩: কোডটি "অ্যানালিটিক্স" হিসাবে ছদ্মবেশ ধারণ করেছিল

যুক্ত করা লজিকটি অ্যানালিটিক্স বা টেলিমেট্রি কোড হিসাবে উপস্থিত হয়েছিল।

বিশেষভাবে:

• এটি সাধারণ অ্যানালিটিক্স SDK দ্বারা ব্যবহৃত ট্র্যাকিং লজিকের মতো দেখতে ছিল।

• এটি সব সময় ট্রিগার হতো না।

• এটি শুধুমাত্র নির্দিষ্ট শর্তের অধীনে সক্রিয় হতো।

এই ডিজাইন সাধারণ পরীক্ষার সময় এটি সনাক্ত করা কঠিন করে তুলেছিল।

ধাপ ৪: ট্রিগার শর্ত — একটি সিড ফ্রেজ ইমপোর্ট করা

কমিউনিটি রিভার্স-ইঞ্জিনিয়ারিং প্রস্তাব করে যে যখন একজন ব্যবহারকারী এক্সটেনশনে একটি সিড ফ্রেজ ইমপোর্ট করতেন তখন লজিকটি ট্রিগার হয়েছিল।

কেন এটি গুরুত্বপূর্ণ:

• একটি সিড ফ্রেজ ইমপোর্ট করা ওয়ালেটকে সম্পূর্ণ নিয়ন্ত্রণ দেয়।

• এটি একটি একবারের, উচ্চ-মূল্যের মুহূর্ত।

• যেকোনো ক্ষতিকারক কোডের শুধুমাত্র একবার কাজ করার প্রয়োজন।

যে ব্যবহারকারীরা শুধুমাত্র বিদ্যমান ওয়ালেট ব্যবহার করেছিলেন তারা এই পথটি ট্রিগার করেননি।

ধাপ ৫: ওয়ালেট ডেটা বাহ্যিকভাবে পাঠানো হয়েছিল

যখন ট্রিগার শর্ত ঘটেছিল, কোডটি কথিতভাবে একটি বাহ্যিক এন্ডপয়েন্টে ডেটা পাঠিয়েছিল:

metrics-trustwallet[.]com

যা সতর্কতা বাড়িয়েছে:

• ডোমেনটি একটি বৈধ ট্রাস্ট ওয়ালেট সাবডোমেনের মতো দেখতে ছিল।

• এটি মাত্র কয়েক দিন আগে নিবন্ধিত হয়েছিল।

• এটি সর্বজনীনভাবে নথিভুক্ত ছিল না।

• এটি পরে অফলাইন হয়ে যায়।

কমপক্ষে, এটি ওয়ালেট এক্সটেনশন থেকে অপ্রত্যাশিত আউটগোয়িং যোগাযোগ নিশ্চিত করে।

ধাপ ৬: আক্রমণকারীরা অবিলম্বে কাজ করেছিল

সিড ফ্রেজ ইমপোর্টের অল্প সময়ের মধ্যে, ব্যবহারকারীরা রিপোর্ট করেছেন:

• কয়েক মিনিটের মধ্যে ওয়ালেট খালি হয়ে গেছে।

• একাধিক সম্পদ দ্রুত সরানো হয়েছে।

• আর কোনো ব্যবহারকারী ইন্টারঅ্যাকশনের প্রয়োজন ছিল না।

অন-চেইন আচরণ দেখিয়েছে:

• স্বয়ংক্রিয় লেনদেন প্যাটার্ন।

• একাধিক গন্তব্য ঠিকানা।

• কোনো স্পষ্ট ফিশিং অনুমোদন প্রবাহ নেই।

এটি প্রস্তাব করে যে আক্রমণকারীদের ইতিমধ্যে লেনদেন স্বাক্ষর করার জন্য যথেষ্ট অ্যাক্সেস ছিল।

ধাপ ৭: ঠিকানা জুড়ে তহবিল একত্রিত করা হয়েছিল

চুরি করা সম্পদগুলি বেশ কয়েকটি আক্রমণকারী-নিয়ন্ত্রিত ওয়ালেটের মাধ্যমে পাঠানো হয়েছিল।

কেন এটি গুরুত্বপূর্ণ:

• এটি সমন্বয় বা স্ক্রিপ্টিং প্রস্তাব করে।

• এটি একক ঠিকানার উপর নির্ভরতা হ্রাস করে।

• এটি সংগঠিত শোষণে দেখা আচরণের সাথে মিলে।

ট্র্যাক করা ঠিকানাগুলির উপর ভিত্তি করে অনুমান প্রস্তাব করে যে লক্ষ লক্ষ ডলার সরানো হয়েছে, যদিও মোট সংখ্যা ভিন্ন।

ধাপ ৮: ডোমেনটি অন্ধকার হয়ে গেছে

মনোযোগ বৃদ্ধির পরে:

• সন্দেহজনক ডোমেনটি সাড়া দেওয়া বন্ধ করে দিয়েছে।

• অবিলম্বে কোনো সর্বজনীন ব্যাখ্যা অনুসরণ করা হয়নি।

• স্ক্রিনশট এবং ক্যাশ করা প্রমাণ গুরুত্বপূর্ণ হয়ে উঠেছে।

এটি আক্রমণকারীদের উন্মোচিত হওয়ার পরে অবকাঠামো ধ্বংস করার সাথে সামঞ্জস্যপূর্ণ।

ধাপ ৯: সরকারী স্বীকৃতি পরে এসেছিল

ট্রাস্ট ওয়ালেট পরে নিশ্চিত করেছে:

• একটি নিরাপত্তা ঘটনা ব্রাউজার এক্সটেনশনের একটি নির্দিষ্ট সংস্করণকে প্রভাবিত করেছে।

• মোবাইল ব্যবহারকারীরা প্রভাবিত হননি।

• ব্যবহারকারীদের এক্সটেনশন আপগ্রেড বা অক্ষম করা উচিত।

তবে, ব্যাখ্যা করার জন্য কোনো সম্পূর্ণ প্রযুক্তিগত বিশ্লেষণ অবিলম্বে দেওয়া হয়নি:

• ডোমেনটি কেন বিদ্যমান ছিল।

• সিড ফ্রেজগুলি উন্মোচিত হয়েছিল কিনা।

• এটি একটি অভ্যন্তরীণ, তৃতীয় পক্ষের, বা বাহ্যিক সমস্যা ছিল কিনা।

এই ফাঁক চলমান জল্পনাকে উস্কে দিয়েছে।

যা নিশ্চিত করা হয়েছে

• একটি ব্রাউজার এক্সটেনশন আপডেট নতুন আউটগোয়িং আচরণ চালু করেছে।

• সিড ফ্রেজ ইমপোর্ট করার অল্প সময়ের মধ্যে ব্যবহারকারীরা তহবিল হারিয়েছেন।

• ঘটনাটি একটি নির্দিষ্ট সংস্করণে সীমাবদ্ধ ছিল।

• ট্রাস্ট ওয়ালেট একটি নিরাপত্তা সমস্যা স্বীকার করেছে।

যা দৃঢ়ভাবে সন্দেহ করা হয়

• একটি সাপ্লাই-চেইন সমস্যা বা ক্ষতিকারক কোড ইনজেকশন।

• সিড ফ্রেজ বা স্বাক্ষর করার ক্ষমতা উন্মোচিত হওয়া।

• অ্যানালিটিক্স লজিক অপব্যবহার বা অস্ত্রায়িত হওয়া।

যা এখনও অজানা

• কোডটি ইচ্ছাকৃতভাবে ক্ষতিকারক ছিল নাকি আপস্ট্রিম আপসপ্রাপ্ত হয়েছিল।

• কতজন ব্যবহারকারী প্রভাবিত হয়েছিলেন।

• অন্য কোনো ডেটা নেওয়া হয়েছিল কিনা।

• আক্রমণকারীদের সঠিক বৈশিষ্ট্য।

কেন এই ঘটনাটি গুরুত্বপূর্ণ

এটি সাধারণ ফিশিং ছিল না।

এটি তুলে ধরে:

• ব্রাউজার এক্সটেনশনের বিপদ।

• অন্ধভাবে আপডেটগুলিতে বিশ্বাস করার ঝুঁকি।

• কীভাবে অ্যানালিটিক্স কোড অপব্যবহার করা যায়।

• কেন সিড ফ্রেজ পরিচালনা ওয়ালেট নিরাপত্তার সবচেয়ে গুরুত্বপূর্ণ মুহূর্ত।

এমনকি একটি স্বল্পস্থায়ী দুর্বলতা গুরুতর পরিণতি হতে পারে।