আপডেট যা ওয়ালেট শূন্য করে দিয়েছে

ট্রাস্ট ওয়ালেট ঘটনায় ঠিক কী ঘটেছিল

ধাপ ১: একটি নতুন ব্রাউজার এক্সটেনশন আপডেট প্রকাশিত হয়েছিল

২৪ ডিসেম্বর ট্রাস্ট ওয়ালেট ব্রাউজার এক্সটেনশনের জন্য একটি নতুন আপডেট প্রকাশিত হয়েছিল।

আপডেটটি সাধারণ মনে হয়েছিল।
এটির সাথে কোনো বড় নিরাপত্তা সতর্কতা আসেনি।
ব্যবহারকারীরা স্বাভাবিক আপডেট প্রক্রিয়ার মাধ্যমে এটি ইনস্টল করেছিলেন।

এই মুহূর্তে, কিছুই সন্দেহজনক মনে হয়নি।

ধাপ ২: এক্সটেনশনে নতুন কোড যুক্ত করা হয়েছিল

আপডেটের পরে, এক্সটেনশনের ফাইলগুলি পরীক্ষা করা গবেষকরা 4482.js নামে পরিচিত একটি JavaScript ফাইলে পরিবর্তন লক্ষ্য করেছিলেন।

মূল পর্যবেক্ষণ:

এটি গুরুত্বপূর্ণ কারণ ব্রাউজার ওয়ালেটগুলি অত্যন্ত সংবেদনশীল পরিবেশ; কোনো নতুন আউটগোয়িং লজিক উচ্চ ঝুঁকি তৈরি করে।

ধাপ ৩: কোডটি "অ্যানালিটিক্স" হিসাবে ছদ্মবেশ ধারণ করেছিল

যুক্ত করা লজিকটি অ্যানালিটিক্স বা টেলিমেট্রি কোড হিসাবে উপস্থিত হয়েছিল।

বিশেষভাবে:

এটি সাধারণ অ্যানালিটিক্স SDK দ্বারা ব্যবহৃত ট্র্যাকিং লজিকের মতো দেখতে ছিল।
এটি সব সময় ট্রিগার হতো না।
এটি শুধুমাত্র নির্দিষ্ট শর্তের অধীনে সক্রিয় হতো।

এই ডিজাইন সাধারণ পরীক্ষার সময় এটি সনাক্ত করা কঠিন করে তুলেছিল।

ধাপ ৪: ট্রিগার শর্ত — একটি সিড ফ্রেজ ইমপোর্ট করা

কমিউনিটি রিভার্স-ইঞ্জিনিয়ারিং প্রস্তাব করে যে যখন একজন ব্যবহারকারী এক্সটেনশনে একটি সিড ফ্রেজ ইমপোর্ট করতেন তখন লজিকটি ট্রিগার হয়েছিল।

কেন এটি গুরুত্বপূর্ণ:

একটি সিড ফ্রেজ ইমপোর্ট করা ওয়ালেটকে সম্পূর্ণ নিয়ন্ত্রণ দেয়।
এটি একটি একবারের, উচ্চ-মূল্যের মুহূর্ত।
যেকোনো ক্ষতিকারক কোডের শুধুমাত্র একবার কাজ করার প্রয়োজন।

যে ব্যবহারকারীরা শুধুমাত্র বিদ্যমান ওয়ালেট ব্যবহার করেছিলেন তারা এই পথটি ট্রিগার করেননি।

ধাপ ৫: ওয়ালেট ডেটা বাহ্যিকভাবে পাঠানো হয়েছিল

যখন ট্রিগার শর্ত ঘটেছিল, কোডটি কথিতভাবে একটি বাহ্যিক এন্ডপয়েন্টে ডেটা পাঠিয়েছিল:

metrics-trustwallet[.]com

যা সতর্কতা বাড়িয়েছে:

ডোমেনটি একটি বৈধ ট্রাস্ট ওয়ালেট সাবডোমেনের মতো দেখতে ছিল।
এটি মাত্র কয়েক দিন আগে নিবন্ধিত হয়েছিল।
এটি সর্বজনীনভাবে নথিভুক্ত ছিল না।
এটি পরে অফলাইন হয়ে যায়।

কমপক্ষে, এটি ওয়ালেট এক্সটেনশন থেকে অপ্রত্যাশিত আউটগোয়িং যোগাযোগ নিশ্চিত করে।

ধাপ ৬: আক্রমণকারীরা অবিলম্বে কাজ করেছিল

সিড ফ্রেজ ইমপোর্টের অল্প সময়ের মধ্যে, ব্যবহারকারীরা রিপোর্ট করেছেন:

কয়েক মিনিটের মধ্যে ওয়ালেট খালি হয়ে গেছে।
একাধিক সম্পদ দ্রুত সরানো হয়েছে।
আর কোনো ব্যবহারকারী ইন্টারঅ্যাকশনের প্রয়োজন ছিল না।

অন-চেইন আচরণ দেখিয়েছে:

স্বয়ংক্রিয় লেনদেন প্যাটার্ন।
একাধিক গন্তব্য ঠিকানা।
কোনো স্পষ্ট ফিশিং অনুমোদন প্রবাহ নেই।

এটি প্রস্তাব করে যে আক্রমণকারীদের ইতিমধ্যে লেনদেন স্বাক্ষর করার জন্য যথেষ্ট অ্যাক্সেস ছিল।

ধাপ ৭: ঠিকানা জুড়ে তহবিল একত্রিত করা হয়েছিল

চুরি করা সম্পদগুলি বেশ কয়েকটি আক্রমণকারী-নিয়ন্ত্রিত ওয়ালেটের মাধ্যমে পাঠানো হয়েছিল।

কেন এটি গুরুত্বপূর্ণ:

এটি সমন্বয় বা স্ক্রিপ্টিং প্রস্তাব করে।
এটি একক ঠিকানার উপর নির্ভরতা হ্রাস করে।
এটি সংগঠিত শোষণে দেখা আচরণের সাথে মিলে।

ট্র্যাক করা ঠিকানাগুলির উপর ভিত্তি করে অনুমান প্রস্তাব করে যে লক্ষ লক্ষ ডলার সরানো হয়েছে, যদিও মোট সংখ্যা ভিন্ন।

ধাপ ৮: ডোমেনটি অন্ধকার হয়ে গেছে

মনোযোগ বৃদ্ধির পরে:

সন্দেহজনক ডোমেনটি সাড়া দেওয়া বন্ধ করে দিয়েছে।
অবিলম্বে কোনো সর্বজনীন ব্যাখ্যা অনুসরণ করা হয়নি।
স্ক্রিনশট এবং ক্যাশ করা প্রমাণ গুরুত্বপূর্ণ হয়ে উঠেছে।

এটি আক্রমণকারীদের উন্মোচিত হওয়ার পরে অবকাঠামো ধ্বংস করার সাথে সামঞ্জস্যপূর্ণ।

ধাপ ৯: সরকারী স্বীকৃতি পরে এসেছিল

ট্রাস্ট ওয়ালেট পরে নিশ্চিত করেছে:

একটি নিরাপত্তা ঘটনা ব্রাউজার এক্সটেনশনের একটি নির্দিষ্ট সংস্করণকে প্রভাবিত করেছে।
মোবাইল ব্যবহারকারীরা প্রভাবিত হননি।
ব্যবহারকারীদের এক্সটেনশন আপগ্রেড বা অক্ষম করা উচিত।

তবে, ব্যাখ্যা করার জন্য কোনো সম্পূর্ণ প্রযুক্তিগত বিশ্লেষণ অবিলম্বে দেওয়া হয়নি: