ট্রাস্ট ওয়ালেট $৭ মিলিয়ন ক্রোম এক্সটেনশন হ্যাকের পর প্রতারণামূলক দাবির ঢেউয়ের সম্মুখীন

সিইও Eowyn Chen সোমবার প্রকাশ করেছেন যে Trust Wallet ২৪ ডিসেম্বরের হ্যাক থেকে ২,৫৯৬টি আপসকৃত ওয়ালেট ঠিকানা চিহ্নিত করেছে। তবে, কোম্পানি প্রায় ৫,০০০টি ক্ষতিপূরণের দাবি পেয়েছে—একটি অসঙ্গতি যা ব্যাপক প্রতারণামূলক দাখিলের দিকে ইঙ্গিত করে।

"এই কারণে, সঠিক মানুষের কাছে তহবিল ফেরত নিশ্চিত করতে ওয়ালেট মালিকানার সঠিক যাচাইকরণ অত্যন্ত গুরুত্বপূর্ণ," Chen বলেছেন। "আমাদের দল দাবি যাচাই করতে নিষ্ঠার সাথে কাজ করছে; বৈধ ভিকটিমদের দূষিত অভিনেতাদের থেকে আলাদা করতে একাধিক ডেটা পয়েন্ট একত্রিত করছে।"

প্রকৃত ভিকটিম এবং মোট দাবির মধ্যে বিশাল ব্যবধান Trust Wallet-কে গতির পরিবর্তে নির্ভুলতার পক্ষে বাধ্য করেছে, যা বছরের সবচেয়ে উল্লেখযোগ্য ক্রিপ্টো নিরাপত্তা ঘটনাগুলির একটিতে একটি উল্লেখযোগ্য অপারেশনাল পরিবর্তন চিহ্নিত করে।

আক্রমণ কীভাবে সংঘটিত হয়েছিল

লঙ্ঘনটি শুরু হয়েছিল যখন আক্রমণকারীরা একটি ফাঁস হওয়া Chrome Web Store API কী পেয়েছিল, যা তাদের Trust Wallet-এর অভ্যন্তরীণ নিরাপত্তা পরীক্ষা বাইপাস করতে সক্ষম করেছিল। ২৪ ডিসেম্বর দুপুর ১২:৩২ মিনিটে UTC, Chrome এক্সটেনশনের আপসকৃত সংস্করণ ২.৬৮ Google-এর অফিসিয়াল স্টোরে লাইভ হয়েছিল।

ব্লকচেইন নিরাপত্তা ফার্ম SlowMist-এর বিশ্লেষণ অনুসারে, ক্ষতিকারক কোডটি posthog-js নামক একটি পরিবর্তিত অ্যানালিটিক্স লাইব্রেরির ভিতরে সাবধানে লুকানো ছিল। যখন ব্যবহারকারীরা তাদের ওয়ালেট আনলক করেছিল, কোডটি গোপনে তাদের সিড ফ্রেজ—ক্রিপ্টোকারেন্সি ওয়ালেটের মাস্টার কী—বের করে নিয়েছিল এবং আক্রমণকারীদের দ্বারা নিয়ন্ত্রিত একটি সার্ভারে পাঠিয়ে দিয়েছিল।

চুরি করা ডেটা সংগ্রহ করতে ব্যবহৃত ডোমেইন, "api.metrics-trustwallet.com," ৮ ডিসেম্বর নিবন্ধিত হয়েছিল, যা পরামর্শ দেয় যে আক্রমণটি কমপক্ষে দুই সপ্তাহ আগে পরিকল্পনা করা হয়েছিল। ক্রিপ্টোকারেন্সি তদন্তকারী ZachXBT প্রথম ক্রিসমাস দিবসে সমস্যাটি চিহ্নিত করেছিলেন শত শত ব্যবহারকারী নিঃশেষিত ওয়ালেটের রিপোর্ট করার পরে।

সূত্র: @EowynChen

Trust Wallet ২৫ ডিসেম্বর সংস্করণ ২.৬৯ একটি সংশোধিত সংস্করণ চালু করেছে। লঙ্ঘনটি শুধুমাত্র Chrome এক্সটেনশন ব্যবহারকারীদের প্রভাবিত করেছে যারা ২৬ ডিসেম্বর সকাল ১১টা UTC-এর আগে লগইন করেছিল। মোবাইল অ্যাপ ব্যবহারকারী এবং অন্যান্য ব্রাউজার সংস্করণ নিরাপদ ছিল।

অভ্যন্তরীণ প্রশ্ন

একাধিক শিল্প ব্যক্তিত্ব আক্রমণে সম্ভাব্য অভ্যন্তরীণ জড়িততা নিয়ে উদ্বেগ প্রকাশ করেছেন। Binance সহ-প্রতিষ্ঠাতা Changpeng Zhao, যার কোম্পানি Trust Wallet-এর মালিক, বলেছেন যে শোষণটি "সম্ভবত" একজন অভ্যন্তরীণ ব্যক্তি দ্বারা সম্পাদিত হয়েছিল, যদিও তিনি কোনও অতিরিক্ত প্রমাণ প্রদান করেননি।

SlowMist সহ-প্রতিষ্ঠাতা Yu Xian উল্লেখ করেছেন যে আক্রমণকারী এক্সটেনশনের সোর্স কোডের বিস্তারিত জ্ঞান প্রদর্শন করেছিল এবং চুরি কার্যকর করার সপ্তাহ আগে অবকাঠামো প্রস্তুত করেছিল। Chrome Web Store API কী পেতে এবং অপব্যবহার করার ক্ষমতা হয় আপসকৃত ডেভেলপার ডিভাইস বা চুরি করা ডিপ্লয়মেন্ট অনুমতি প্রস্তাব করে।

Chen নিশ্চিত করেছেন যে কোম্পানি ক্ষতিপূরণ প্রক্রিয়ার পাশাপাশি একটি বৃহত্তর ফরেনসিক তদন্ত পরিচালনা করছে কিন্তু নিশ্চিত করেননি যে অভ্যন্তরীণ ব্যক্তিরা জড়িত ছিল কিনা।

চুরি করা তহবিল এবং মানি লন্ডারিং

আক্রমণের ফলে Bitcoin, Ethereum এবং Solana সহ একাধিক ক্রিপ্টোকারেন্সিতে প্রায় $৭ মিলিয়ন ক্ষতি হয়েছে। ব্লকচেইন নিরাপত্তা ফার্ম PeckShield চুরি করা তহবিলের $৪ মিলিয়নেরও বেশি ChangeNOW, FixedFloat এবং KuCoin-এর মতো কেন্দ্রীভূত এক্সচেঞ্জের মাধ্যমে চলাচল ট্র্যাক করেছে। ২৬ ডিসেম্বর পর্যন্ত প্রায় $২.৮ মিলিয়ন আক্রমণকারী-নিয়ন্ত্রিত ওয়ালেটে রয়ে গেছে।

একাধিক এক্সচেঞ্জ এবং ব্লকচেইন নেটওয়ার্কের মাধ্যমে তহবিলের দ্রুত চলাচল পুনরুদ্ধার প্রচেষ্টাকে জটিল করেছে এবং আক্রমণকারীদের ট্রেসিং আরও কঠিন করে তুলেছে।

পরীক্ষার অধীনে ক্ষতিপূরণ প্রক্রিয়া

Binance প্রতিষ্ঠাতা Zhao সমস্ত যাচাইকৃত ক্ষতি কভার করার প্রতিশ্রুতি দিয়েছেন, বলেছেন "user funds are SAFU"—একটি ক্রিপ্টো শিল্প শব্দ যার অর্থ "Secure Asset Fund for Users।" তবে, যাচাইকরণ প্রক্রিয়া প্রাথমিকভাবে প্রত্যাশিত থেকে আরও জটিল হয়ে উঠেছে।

Trust Wallet প্রভাবিত ব্যবহারকারীদের একটি অফিসিয়াল সাপোর্ট ফর্মের মাধ্যমে বিস্তারিত তথ্য জমা দিতে হবে, যার মধ্যে ইমেল ঠিকানা, আপসকৃত ওয়ালেট ঠিকানা, আক্রমণকারীর ঠিকানা এবং লেনদেন হ্যাশ রয়েছে। কোম্পানি জোর দিয়েছে যে নির্ভুলতা এখন গতির উপর অগ্রাধিকার নেয়।

মিথ্যা দাবির বৃদ্ধি ক্রিপ্টোকারেন্সি নিরাপত্তা ঘটনাগুলিতে একটি পুনরাবৃত্ত সমস্যা তুলে ধরে। যদিও ব্লকচেইন স্বচ্ছতা ঘটনাগুলি ট্রেস করার অনুমতি দেয়, কেন্দ্রীভূত রেকর্ড ছাড়া ওয়ালেট ঠিকানাগুলি যাচাইকৃত ব্যবহারকারীদের সাথে সংযুক্ত করা চ্যালেঞ্জিং থেকে যায়। যখন লক্ষ লক্ষ ডলার ঝুঁকিতে থাকে তখন এই উত্তেজনা তীব্র হয়।

Chen বলেছেন যে দল দাবি মূল্যায়ন করতে একাধিক যাচাইকরণ পদ্ধতি একত্রিত করছে কিন্তু ব্যবহার করা নির্দিষ্ট মানদণ্ড বিস্তারিত করেননি। যাচাইকরণ পর্ব একটি গুরুত্বপূর্ণ পরীক্ষা চিহ্নিত করে যে Trust Wallet প্রকৃত ভিকটিমদের মধ্যে বিশ্বাস বজায় রেখে সফলভাবে প্রতারণামূলক দাখিলগুলি ফিল্টার করতে পারে কিনা।

সেকেন্ডারি স্ক্যাম সম্পর্কে সতর্কতা

Trust Wallet পরিস্থিতি শোষণকারী স্ক্যামারদের সম্পর্কে জরুরি সতর্কতা জারি করেছে। কোম্পানি Telegram বিজ্ঞাপন, ছদ্মবেশী সাপোর্ট অ্যাকাউন্ট এবং প্রাইভেট কী বা সিড ফ্রেজ অনুরোধকারী সরাসরি বার্তার মাধ্যমে ছড়িয়ে পড়া জাল ক্ষতিপূরণ ফর্ম দেখার রিপোর্ট করেছে।

অফিসিয়াল ক্ষতিপূরণ প্রক্রিয়া কখনই পাসওয়ার্ড, প্রাইভেট কী বা রিকভারি ফ্রেজ অনুরোধ করে না। ব্যবহারকারীদের শুধুমাত্র Trust Wallet-এর যাচাইকৃত সাপোর্ট পোর্টাল trustwallet-support.freshdesk.com-এর মাধ্যমে দাবি জমা দেওয়া উচিত। অন্য যেকোনো যোগাযোগ যা ক্ষতিপূরণ প্রদানের দাবি করে তা প্রতারণামূলক হিসাবে বিবেচনা করা উচিত।

স্ক্যামের এই সেকেন্ডারি ওয়েভ ইতিমধ্যে চুরি করা তহবিলের সাথে মোকাবিলা করা ভিকটিমদের জন্য ঝুঁকির আরেকটি স্তর যোগ করে। কোম্পানি জোর দিয়েছে যে ব্যবহারকারীদের কোনও পদক্ষেপ নেওয়ার আগে সমস্ত যোগাযোগ অফিসিয়াল Trust Wallet চ্যানেল থেকে আসে তা যাচাই করা উচিত।

বৃহত্তর নিরাপত্তা প্রভাব

Trust Wallet ঘটনাটি ২০২৪ সালে ক্রিপ্টোকারেন্সি ব্যবহারকারীদের লক্ষ্য করে সাপ্লাই চেইন আক্রমণের একটি বৃহত্তর প্যাটার্নে ফিট করে। Chainalysis ডেটা অনুসারে, ক্রিপ্টোকারেন্সি চুরি ২০২৪ সালে $৬.৭৫ বিলিয়নে পৌঁছেছে, ব্যক্তিগত ওয়ালেট আপস পূর্ববর্তী বছরের ৬৪,০০০ থেকে ১,৫৮,০০০-এ বৃদ্ধি পেয়েছে।

ব্রাউজার এক্সটেনশনগুলি অনন্য নিরাপত্তা চ্যালেঞ্জ উপস্থাপন করে কারণ তারা উন্নত অনুমতি সহ কাজ করে এবং সংবেদনশীল ব্যবহারকারী ডেটা অ্যাক্সেস করতে পারে। একটি একক আপসকৃত আপডেট ঘন্টার মধ্যে হাজার হাজার ব্যবহারকারীকে প্রভাবিত করতে পারে।

ঘটনাটি আরও প্রদর্শন করে যে কীভাবে দুর্বল যাচাইকরণ প্রক্রিয়া একটি একক নিরাপত্তা লঙ্ঘনকে একাধিক সমস্যায় রূপান্তরিত করতে পারে। Trust Wallet-কে এখন প্রকৃত ভিকটিমরা ক্ষতিপূরণের জন্য অপেক্ষা করার সময় মিথ্যা দাবিগুলি ফিল্টার করার জন্য উল্লেখযোগ্য সংস্থান উৎসর্গ করতে হবে।

Trust Wallet-এর Chrome এক্সটেনশনে তার অফিসিয়াল তালিকা অনুসারে প্রায় এক মিলিয়ন ব্যবহারকারী রয়েছে, যদিও ব্যবহারিক এক্সপোজার নির্ভর করে কতজন লোক সংস্করণ ২.৬৮ ইনস্টল করেছে এবং দুর্বল উইন্ডোর সময় সংবেদনশীল ডেটা প্রবেশ করিয়েছে তার উপর।

এগিয়ে যাওয়ার পথ

Trust Wallet ভবিষ্যতের ঘটনা প্রতিরোধে বেশ কয়েকটি পদক্ষেপ নিয়েছে। কোম্পানি পরবর্তী দুই সপ্তাহের জন্য অননুমোদিত সংস্করণ আপডেট ব্লক করতে সমস্ত রিলিজ API মেয়াদ শেষ করেছে। চুরি করা ডেটা সংগ্রহ করতে ব্যবহৃত ক্ষতিকারক ডোমেইন তার রেজিস্ট্রারকে রিপোর্ট করা হয়েছিল এবং তাৎক্ষণিকভাবে স্থগিত করা হয়েছিল।

তবে, আক্রমণকারীরা কীভাবে Chrome Web Store API কী পেয়েছিল এবং অতিরিক্ত নিরাপত্তা ব্যবস্থা প্রয়োগ করা হবে কিনা সে সম্পর্কে প্রশ্ন রয়ে গেছে। চলমান ফরেনসিক তদন্ত উত্তর প্রদান করতে পারে, কিন্তু Trust Wallet তার রিলিজ প্রক্রিয়ায় নির্দিষ্ট পরিবর্তন ঘোষণা করেনি।

ক্রিপ্টোকারেন্সি ব্যবহারকারীদের জন্য, ঘটনাটি চরম সতর্কতার সাথে ওয়ালেট আপডেট পরিচালনার গুরুত্ব শক্তিশালী করে। নিরাপত্তা বিশেষজ্ঞরা আপডেট ইনস্টল করার আগে কমিউনিটি নিশ্চিতকরণের জন্য অপেক্ষা করার এবং উল্লেখযোগ্য হোল্ডিংয়ের জন্য হার্ডওয়্যার ওয়ালেট বিবেচনা করার সুপারিশ করেন।

ক্ষতিপূরণ প্রক্রিয়া চলতে থাকে যখন Trust Wallet হাজার হাজার দাবির মাধ্যমে কাজ করে। প্রতারণামূলক দাখিল ব্লক করার সময় সঠিকভাবে বৈধ ভিকটিমদের চিহ্নিত করার কোম্পানির ক্ষমতা সম্ভবত অন্যান্য ওয়ালেট সরবরাহকারীরা কীভাবে ভবিষ্যতে নিরাপত্তা ঘটনাগুলি পরিচালনা করে তা প্রভাবিত করবে।

বাস্তবতা যাচাই

Trust Wallet লঙ্ঘন ক্রিপ্টোকারেন্সি নিরাপত্তায় দুটি গুরুত্বপূর্ণ দুর্বলতা প্রকাশ করে: সাপ্লাই চেইন আক্রমণ এমনকি সু-ডিজাইন করা নিরাপত্তা সিস্টেমও বাইপাস করতে পারে, এবং ক্ষতিপূরণ প্রক্রিয়া নিজেই প্রতারণার লক্ষ্য হয়ে ওঠে। Trust Wallet যখন ২,৫৯৬ জন প্রকৃত ভিকটিমের জন্য প্রায় ৫,০০০টি দাবি যাচাইকরণের মধ্য দিয়ে যাচ্ছে, ঘটনাটি একটি ব্যয়বহুল অনুস্মারক হিসাবে কাজ করে যে ক্রিপ্টো নিরাপত্তায়, পরিচ্ছন্নতা লঙ্ঘনের মতোই চ্যালেঞ্জিং হতে পারে।