গুগল ক্রোমে একটি গুরুত্বপূর্ণ নিরাপত্তা প্যাচ এসেছে, কিন্তু আপনার ক্রিপ্টো ওয়ালেট এখনও ঝুঁকিতে থাকতে পারে।
গুগল ক্রোমের ২৬টি দুর্বলতা প্যাচ করার পর লেজারের সিটিও চার্লস গিলেমেট ক্রিপ্টো ব্যবহারকারীদের সতর্ক করেছেন। ব্রাউজার ওয়ালেট ব্যবহারকারীদের এখন যা জানা ও করা প্রয়োজন, তা এখানে দেওয়া হলো।
Soumen Datta
মার্চ 23, 2026
(বিজ্ঞাপন)
সুচিপত্র
লেজার CTO চার্লস Guillemet হয় প্রতি আহ্বান জানান ক্রিপ্টো ব্যবহারকারীদের গুগলের পর অবিলম্বে গুগল ক্রোম আপডেট করতে হবে। মুক্ত একটি নিরাপত্তা প্যাচ ২৬টি দুর্বলতার সমাধান করে, যার মধ্যে ৪টি গুরুতর এবং ২২টি উচ্চ তীব্রতার।
এই সমাধানটি ৪টি গুরুতর এবং ২২টি উচ্চ মাত্রার দুর্বলতার প্রতিকার করে। এটি মনে করিয়ে দেয় যে, আপনার মূল্যবান গোপনীয় তথ্যের জন্য আপনি আপনার ব্রাউজার/কম্পিউটারকে বিশ্বাস করতে পারেন না... https://t.co/9MhQ9jgNCj
— চার্লস গুইলেমেট (@P3b7_) মার্চ 21, 2026
ত্রুটিগুলোর মধ্যে মেমরি ব্যবস্থাপনার ভুল রয়েছে, যার ফলে প্রমাণীকরণবিহীন কোনো আক্রমণকারী একটি বিশেষভাবে তৈরি ওয়েবপেজের মাধ্যমে দূর থেকে ক্ষতিকারক কোড চালাতে পারে।
লেজারের সিটিও আসলে কী বলেছিলেন?
গিলেমেট এই সতর্কতাটি প্রকাশ্যে শেয়ার করেছেন এবং এর সাথে একটি সুনির্দিষ্ট পর্যবেক্ষণ যোগ করেছেন যা শুধু ক্রোম প্যাচটির মধ্যেই সীমাবদ্ধ নয়। তিনি বলেন, "এটি একটি ভালো অনুস্মারক যে আপনার মূল্যবান গোপনীয় তথ্যের জন্য আপনি আপনার ব্রাউজার বা কম্পিউটারকে বিশ্বাস করতে পারেন না।" এই মন্তব্যটি সরাসরি সেইসব ক্রিপ্টো ব্যবহারকারীদের উদ্দেশ্য করে করা হয়েছে, যারা দৈনন্দিন কার্যকলাপের জন্য ব্রাউজার-ভিত্তিক ওয়ালেট এবং এক্সটেনশনের উপর নির্ভর করেন।
এই প্যাচ চক্রে চিহ্নিত দুর্বলতাগুলো মেমরি ব্যবস্থাপনার ত্রুটির তিনটি চিরায়ত শ্রেণীতে পড়ে:
- ইউজ-আফটার-ফ্রি পরিস্থিতি, যেখানে একটি প্রোগ্রাম মেমরি মুক্ত করার পরেও তা ব্যবহার করতে থাকে।
- হিপ বাফার ওভারফ্লো, যেখানে বরাদ্দকৃত মেমরি স্পেসের বাইরে ডেটা লেখা হয়।
- সীমার বাইরের অ্যাক্সেস, যেখানে কোড মেমোরির নির্ধারিত সীমার বাইরে থেকে পড়ে বা লেখে।
এগুলোর প্রত্যেকটিকে কাজে লাগিয়ে সিস্টেম মেমরিতে পেলোড লেখা এবং রিমোট কোড এক্সিকিউশন ঘটানো সম্ভব, এবং প্রায়শই এর জন্য ব্যবহারকারীকে একটি ক্ষতিকারক ওয়েবপেজ পরিদর্শন করা ছাড়া আর কিছুই করতে হয় না।
ক্রোম এক্সপ্লয়েট কি সত্যিই আপনার ক্রিপ্টো ওয়ালেট খালি করে দিতে পারে?
আপনার ক্রিপ্টো অন-চেইনে সংরক্ষিত থাকে, সরাসরি ব্রাউজারের ভেতরে নয়। তবে, একটি কার্যকর ব্রাউজার এক্সপ্লয়েটকে প্রকৃত ক্ষতি করার জন্য সরাসরি ব্লকচেইনে পৌঁছানোর প্রয়োজন হয় না। এটি ওয়ালেট ইন্টারফেস লেয়ারকে লক্ষ্য করে, এবং সেখানেই ঝুঁকিটি বাস্তব রূপ নেয়।
মেটামাস্ক, র্যাবি এবং ফ্যান্টমের মতো ব্রাউজার ওয়ালেটগুলো মূলত ক্রোম এক্সটেনশন হিসেবে কাজ করে। ব্রাউজারের ভেতরে কোনো এক্সপ্লয়েট কার্যকর হলে, একজন আক্রমণকারী বিভিন্ন উপায়ে ওয়ালেটটির ইউজার ইন্টারফেসের সাথে ইন্টারঅ্যাক্ট করতে পারে।
আক্রমণকারীরা কীভাবে ওয়ালেট ব্যবহারকারীদের বিরুদ্ধে ব্রাউজার এক্সপ্লয়েট ব্যবহার করে
ব্রাউজার পরিবেশে একবার প্রবেশ করার পর, সাধারণ আক্রমণ পদ্ধতিগুলোর মধ্যে রয়েছে:
- নকল ওয়ালেটের জন্য নির্দেশিকা: মেটামাস্ক বা অন্যান্য ওয়ালেট কনফার্মেশন স্ক্রিনের অনুকরণে তৈরি ওভারলেগুলো ব্যবহারকারীদের কোনো অ্যাসেট "পুনরায় সংযোগ" করতে বা "দাবি" করতে বলে। এতে ক্লিক করলে লেনদেনটি অনুমোদিত হয়, যা আক্রমণকারীর ওয়ালেটে অর্থ স্থানান্তর করে দেয়।
- ব্যয়ের অনুমোদন: তাৎক্ষণিকভাবে তহবিল চুরি করার পরিবর্তে, এই এক্সপ্লয়েটটি একটি টোকেন অনুমোদনের স্বাক্ষর চেয়ে থাকে। এটি একজন আক্রমণকারীর স্মার্ট কন্ট্রাক্টকে ভবিষ্যতে যেকোনো সময়ে টোকেন স্থানান্তর করার অনুমতি দেয়।
- সেশন হাইজ্যাকিং: যদি এক্সপ্লয়েটটি কোনো খোলা এক্সচেঞ্জ ট্যাব থেকে সেশন কুকি ক্যাপচার করে, তবে এটি সেশন শেষ না হওয়া পর্যন্ত সেই ব্যবহারকারী হিসেবে কাজ করতে পারে এবং আর কোনো হস্তক্ষেপ ছাড়াই অ্যাসেট স্থানান্তর করতে পারে।
- ক্লিপবোর্ড এবং কীস্ট্রোকের অপব্যবহার: কিছু এক্সপ্লয়েট কপি করা ওয়ালেট অ্যাড্রেস বা পাসওয়ার্ড হাতিয়ে নেওয়ার জন্য ক্লিপবোর্ডের বিষয়বস্তু পর্যবেক্ষণ করে।
এটি কোনো তাত্ত্বিক পরিস্থিতি নয়। ২০২৫ সালের ডিসেম্বরে, ট্রাস্ট ওয়ালেট নিশ্চিত এর ক্রোম এক্সটেনশন সংস্করণ ২.৬৮-এর সাথে সম্পর্কিত একটি নিরাপত্তা ঘটনায়, ক্ষতিকারক কোড সংরক্ষিত ওয়ালেটগুলোতে প্রবেশ করে, স্মারক বাক্যাংশের অনুরোধ পাঠায়, ব্যবহারকারীর নিজের পাসওয়ার্ড ব্যবহার করে সেগুলোকে ডিক্রিপ্ট করে এবং আক্রমণকারী-নিয়ন্ত্রিত একটি সার্ভারে পাঠিয়ে দেয়। এর ফলে প্রায় ৭ মিলিয়ন ডলার হাতিয়ে নেওয়া হয়, যার মধ্যে প্রায় ৩ মিলিয়ন ডলারের বিটকয়েন এবং ৩ মিলিয়ন ডলারের বেশি মূল্যের ইথেরিয়াম অন্তর্ভুক্ত ছিল।
প্রতিশ্রুতিশীল প্রকল্পগুলি আবিষ্কার করুন...
প্রতিশ্রুতিবদ্ধ প্রকল্প...
(বিজ্ঞাপন)
ব্লকচেইন তদন্তকারী জ্যাকএক্সবিটি শত শত ভুক্তভোগীর কথা নিশ্চিত করেছেন, যাদের চুরি করা অর্থ পাচারের জন্য চেঞ্জনাউ, ফিক্সডফ্লোট এবং কু-কয়েনের মাধ্যমে পাঠানো হয়েছিল।
এই প্রথমবার নয় যে ক্রোম নিরাপত্তা সমস্যার সম্মুখীন হয়েছে।
2025 সালের সেপ্টেম্বরে, Google patched CVE-2025-10585 হিসেবে চিহ্নিত একটি ক্রোম জিরো-ডে হলো ক্রোমের জাভাস্ক্রিপ্ট ইঞ্জিন V8-এর একটি টাইপ-কনফিউশন বাগ। টাইপ-কনফিউশন দুর্বলতার অর্থ হলো, ব্রাউজার মেমরিতে থাকা অবজেক্টগুলোকে ভুলভাবে পরিচালনা করতে পারে, যা কোড এক্সিকিউশনের পথ খুলে দেয়। গুগল সেই সময়ে নিশ্চিত করেছিল যে, প্যাচটি প্রকাশের আগেই এই ত্রুটিটি সক্রিয়ভাবে কাজে লাগানো হচ্ছিল।
সেই প্যাচ চক্রটিও বর্তমানটির মতোই একই ধাঁচ অনুসরণ করেছিল: একটি মেমরি-স্তরের ত্রুটি, বাস্তব জগতে সেটির সক্রিয় অপব্যবহার, এবং স্টেবল চ্যানেলে দ্রুত একটি সমাধান।
iOS 'ডার্কসোর্ড' এক্সপ্লয়েটটি একটি দ্বিতীয় ফ্রন্ট যোগ করে
আলাদাভাবে, Binance জারি প্রায় একই সময়ে আইওএস ব্যবহারকারীদের জন্য একটি নিরাপত্তা সতর্কতা জারি করা হয়। অ্যাপল 'ডার্কসোর্ড' নামে একটি গুরুতর এক্সপ্লয়েট চেইন শনাক্ত করেছে, যা আইওএস সংস্করণ ১৮.৪ থেকে ১৮.৭ পর্যন্ত প্রভাবিত করছিল।
ব্রাউজার-ভিত্তিক আক্রমণের বিপরীতে, ডার্কসোর্ড হলো একটি সিস্টেম-স্তরের দুর্বলতা যা কোনো আক্রান্ত ওয়েবসাইটে প্রবেশ করার সময় ব্যবহারকারীর কোনো হস্তক্ষেপ ছাড়াই স্বয়ংক্রিয়ভাবে সক্রিয় হতে পারে। এটি ক্রিপ্টো ওয়ালেটের তথ্যসহ সংবেদনশীল ডেটা বের করে নিতে পারে এবং কার্যকর হওয়ার পর নিজের চিহ্ন মুছে ফেলতে পারে, ফলে পরবর্তীতে এটি শনাক্ত করা কঠিন হয়ে পড়ে।
ক্রিপ্টো ব্যবহারকারীদের এখনই কী করা উচিত
ব্রাউজারের দুর্বলতা নতুন কিছু নয়, কিন্তু সাধারণ ইন্টারনেট ব্যবহারকারীর তুলনায় ক্রিপ্টো ব্যবহারকারীদের জন্য এর পরিণতি আরও সরাসরি। একটি হ্যাক হওয়া ব্রাউজার সেশনের ফলে স্বাক্ষরিত লেনদেন, অনুমোদন চুরি এবং ওয়ালেট খালি হয়ে যেতে পারে, এমনকি যখন মূল সম্পদগুলো নিরাপদে অন-চেইনে থাকে।
তাৎক্ষণিক পদক্ষেপগুলো খুবই সহজ:
- আপনার ব্রাউজার সেটিংসে গুগল ক্রোমকে সর্বশেষ সংস্করণে আপডেট করুন।
- MetaMask, Rabby, এবং Phantom সহ সমস্ত ওয়ালেট এক্সটেনশন তাদের সর্বশেষ সংস্করণে চলছে কিনা তা যাচাই করুন।
- অপ্রত্যাশিত ওয়ালেট প্রম্পট, পুনঃসংযোগের অনুরোধ, বা সম্পদ দাবির বিজ্ঞপ্তির সাথে ইন্টারঅ্যাক্ট করা থেকে বিরত থাকুন।
- ডার্কসোর্ড এক্সপ্লয়েট চেইন মোকাবেলা করার জন্য আইওএস ব্যবহারকারীদের সর্বশেষ সিস্টেম সংস্করণে আপডেট করা উচিত।
এই সপ্তাহে কোন দুর্বলতাটি শিরোনামে আসছে তা নির্বিশেষে গিলেমেটের মূল বক্তব্যটি অপরিবর্তিত থাকে। আর্থিক গোপনীয় তথ্যের জন্য ব্রাউজার একটি প্রতিকূল পরিবেশ। যেসব ব্যবহারকারী শুধুমাত্র ব্রাউজার এক্সটেনশনের মাধ্যমে উল্লেখযোগ্য পরিমাণ ক্রিপ্টো হোল্ডিং পরিচালনা করেন, তাদের জন্য এই ঝুঁকির হিসাবটি পুনরায় খতিয়ে দেখা উচিত।
Resources
X-এ লেজার CTO চার্লস গুইলেমেট: ১ মার্চের পোস্ট
X-এ বিশ্বাসী ওয়ালেট২৬শে ডিসেম্বরের পোস্ট
সাইবার প্রেসের প্রতিবেদনগুগল ক্রোম আপডেটে আরসিই দুর্বলতাসহ ২৬টি নিরাপত্তা ত্রুটি সমাধান করা হয়েছে।
দ্য হ্যাকার নিউজের প্রতিবেদন: সক্রিয় V8 এক্সপ্লয়েট লক্ষ লক্ষ ব্যবহারকারীর জন্য হুমকি হয়ে ওঠায় গুগল ক্রোম জিরো-ডে CVE-2025-10585 প্যাচ প্রকাশ করেছে।
সচরাচর জিজ্ঞাস্য
ক্রোম আপডেট করলে কি আমার ক্রিপ্টো ওয়ালেট এক্সটেনশনগুলো সুরক্ষিত থাকবে?
ক্রোম আপডেট করলে ব্রাউজারের অন্তর্নিহিত দুর্বলতাগুলো দূর হয়ে যায়, ফলে ঐসব এক্সপ্লয়েট যে আক্রমণের ক্ষেত্রটির ওপর নির্ভর করে, তা নির্মূল হয়ে যায়। তবে, এক্সটেনশনগুলো নিজেরাও আলাদা ঝুঁকি বহন করতে পারে, যেমনটা ডিসেম্বর ২০২৫-এর ট্রাস্ট ওয়ালেট ঘটনাটি দেখিয়েছিল। ক্রোম এবং প্রতিটি এক্সটেনশন উভয়কেই আপডেট রাখা আবশ্যক।
ব্রাউজারের ইউজ-আফটার-ফ্রি দুর্বলতা বলতে কী বোঝায়?
এটি একটি মেমরি ত্রুটি যা তখন ঘটে যখন কোনো প্রোগ্রাম ইতিমধ্যে মুক্ত করে দেওয়া মেমরিকে পুনরায় ব্যবহার করতে থাকে। আক্রমণকারীরা এই সুযোগটি কাজে লাগিয়ে সেই মুক্ত করা মেমরি স্পেসে নিয়ন্ত্রিত ডেটা লিখতে পারে এবং কোড কার্যকর করতে পারে, প্রায়শই ব্যবহারকারীর অজান্তেই।
হার্ডওয়্যার ওয়ালেট ব্যবহারকারীদের কি ক্রোমের এই দুর্বলতাগুলো নিয়ে চিন্তিত হওয়া উচিত?
লেজারের মতো হার্ডওয়্যার ওয়ালেটগুলো প্রাইভেট কী অফলাইনে সংরক্ষণ করে এবং লেনদেনের জন্য সরাসরি নিশ্চিতকরণের প্রয়োজন হয়। ব্রাউজার এক্সপ্লয়েট সরাসরি কোনো হার্ডওয়্যার ডিভাইস থেকে কী বের করতে পারে না। তবে, ব্রাউজার ইন্টারফেসে নকল ওয়ালেটের প্রম্পট এবং ক্ষতিকারক লেনদেনের অনুরোধ দেখা যেতে পারে, যে কারণে গিলেমেটের সতর্কতাটি সেইসব হার্ডওয়্যার ওয়ালেট ব্যবহারকারীদের ক্ষেত্রেও প্রযোজ্য যারা ব্রাউজারের মাধ্যমে সংযোগ স্থাপন করেন।
দায়িত্ব অস্বীকার
দাবিত্যাগ: এই প্রবন্ধে প্রকাশিত মতামত অগত্যা BSCN-এর মতামতের প্রতিনিধিত্ব করে না। এই প্রবন্ধে প্রদত্ত তথ্য শুধুমাত্র শিক্ষামূলক এবং বিনোদনমূলক উদ্দেশ্যে এবং বিনিয়োগ পরামর্শ বা কোনও ধরণের পরামর্শ হিসাবে ব্যাখ্যা করা উচিত নয়। এই প্রবন্ধে প্রদত্ত তথ্যের উপর ভিত্তি করে নেওয়া কোনও বিনিয়োগ সিদ্ধান্তের জন্য BSCN কোনও দায়বদ্ধতা গ্রহণ করে না। যদি আপনি মনে করেন যে প্রবন্ধটি সংশোধন করা উচিত, তাহলে অনুগ্রহ করে ইমেল করে BSCN টিমের সাথে যোগাযোগ করুন। [ইমেল সুরক্ষিত].
লেখক
Soumen Dattaসৌমেন ২০২০ সাল থেকে একজন ক্রিপ্টো গবেষক এবং পদার্থবিদ্যায় স্নাতকোত্তর ডিগ্রি অর্জন করেছেন। তার লেখা এবং গবেষণা ক্রিপ্টোস্লেট এবং ডেইলিকয়েনের মতো প্রকাশনা, পাশাপাশি বিএসসিএন দ্বারা প্রকাশিত হয়েছে। তার মনোযোগের ক্ষেত্রগুলির মধ্যে রয়েছে বিটকয়েন, ডিফাই এবং ইথেরিয়াম, সোলানা, এক্সআরপি এবং চেইনলিংকের মতো উচ্চ-সম্ভাব্য অল্টকয়েন। তিনি নতুন এবং অভিজ্ঞ ক্রিপ্টো পাঠক উভয়ের জন্য অন্তর্দৃষ্টি প্রদানের জন্য বিশ্লেষণাত্মক গভীরতার সাথে সাংবাদিকতার স্পষ্টতার সমন্বয় করেন।
(বিজ্ঞাপন)
সর্বশেষ সংবাদ
৯ ঘন্টা: ৩ মিনিট আগে
কার্ডানোর লিওস টেস্টনেট আপগ্রেড কী?
৯ ঘন্টা: ৩ মিনিট আগে
ওপেনগ্রেডিয়েন্ট কী?
৯ ঘন্টা: ৩ মিনিট আগে
অধিকাংশ নিয়ন্ত্রিত প্রতিষ্ঠানের প্রয়োজনীয় সম্মতিসূচক মানদণ্ড পূরণ করেছে চেইনলিঙ্ক: বিস্তারিত
৯ ঘন্টা: ৩ মিনিট আগে
কয়েনবেস কোয়ান্টাম অ্যাডভাইসরি বোর্ড: ক্রিপ্টো আজ নিরাপদ, কিন্তু সময় ফুরিয়ে আসছে।
এপ্রিল 21, 2026
ক্ল্যারিটি অ্যাক্ট আপডেট: আবারও বিলম্বিত?!
এপ্রিল 21, 2026
টোকেনাইজড জামানতের জন্য জাপানের জেএসসিসি ক্যান্টন নেটওয়ার্কে বড় পদক্ষেপ নিচ্ছে
এপ্রিল 21, 2026
নতুন রেডটপে ইন্টিগ্রেশনের মাধ্যমে সুই নেটওয়ার্ক দৈনন্দিন পেমেন্টের জগতে তার কার্যক্রম প্রসারিত করেছে।
এপ্রিল 21, 2026
প্রাতিষ্ঠানিক টোকেনাইজড অ্যাসেট পরিকাঠামো শক্তিশালী করতে চেইনলিঙ্ক এবং ওপেনঅ্যাসেটস অংশীদারিত্ব করেছে।
(বিজ্ঞাপন)
সর্বশেষ ক্রিপ্টো খবর
সর্বশেষ ক্রিপ্টো সংবাদ এবং ইভেন্টগুলির সাথে আপডেট থাকুন
