৭ মিলিয়ন ডলারের ট্রাস্ট ওয়ালেট এক্সটেনশন হ্যাক: আপনার যা জানা দরকার

ট্রাস্ট ওয়ালেট নিশ্চিত ক্রোম ব্রাউজার এক্সটেনশনের একটি দূষিত আপডেটের ফলে ব্যবহারকারীর তহবিল থেকে প্রায় ৭ মিলিয়ন ডলার চুরি হয়েছে। এই লঙ্ঘনের ফলে এক্সটেনশনের শুধুমাত্র একটি সংস্করণ, সংস্করণ ২.৬৮ প্রভাবিত হয়েছে এবং আক্রমণকারীরা এমবেডেড দূষিত কোডের মাধ্যমে ওয়ালেট সিড বাক্যাংশ চুরি করেছে। প্রতিবেদন অনুসারে, মোবাইল ব্যবহারকারী এবং অন্যান্য ব্রাউজার সংস্করণগুলি প্রভাবিত হয়নি।

ট্রাস্ট ওয়ালেট এক্সটেনশন হ্যাকে কী ঘটেছে?

ঘটনাটি শুরু হয়েছিল ২৪শে ডিসেম্বর, ২০২৫ তারিখে, যখন ট্রাস্ট ওয়ালেট তাদের ক্রোম এক্সটেনশনের ২.৬৮.০ সংস্করণ প্রকাশ করে। প্রথমে ব্যবহারকারীরা বিক্ষিপ্তভাবে ক্ষতির কথা জানান। এক্সটেনশনের মাধ্যমে অ্যাক্সেস বা আমদানি করার কিছুক্ষণ পরেই ওয়ালেটগুলি খালি হয়ে যায়। বিচ্ছিন্ন কেসের মতো দেখতে ঘটনাটি দ্রুত একটি বিস্তৃত সমস্যার দিকে ইঙ্গিত করে।

ক্রিসমাসের দিনে, অন-চেইন তদন্তকারী ZachXBT জারি চুরি যাওয়া তহবিল এখনও চেইনে স্থানান্তরিত হওয়ার সময় একটি জনসাধারণের সতর্কতা। তিনি ওয়ালেট ড্রেনগুলিকে সরাসরি v2.68 আপডেটের সাথে যুক্ত করেছিলেন। তার বিশ্লেষণে প্রমাণিত হয়েছিল যে এটি ব্যবহারকারীর ত্রুটি বা ফিশিং নয়, বরং একটি আপোস করা ব্রাউজার এক্সটেনশন।

২৬শে ডিসেম্বরের মধ্যে, ট্রাস্ট ওয়ালেট এই লঙ্ঘনের বিষয়টি নিশ্চিত করে। কোম্পানিটি জানিয়েছে যে শুধুমাত্র ২.৬৮ সংস্করণটি প্রভাবিত হয়েছে এবং ব্যবহারকারীদের অবিলম্বে ২.৬৯ সংস্করণে আপগ্রেড করার জন্য অনুরোধ করেছে। ক্রোম ওয়েব স্টোরের তালিকা অনুসারে, ক্রোম এক্সটেনশনটির প্রায় দশ লক্ষ ব্যবহারকারী রয়েছে।

ট্রাস্ট ওয়ালেট পরে নিশ্চিত করেছে যে একাধিক ব্লকচেইন থেকে প্রায় $৭ মিলিয়ন ডিজিটাল সম্পদ চুরি হয়েছে।

কোন ব্যবহারকারীরা প্রভাবিত হয়েছেন?

শুধুমাত্র সেই ব্যবহারকারীরা যারা ২৬ ডিসেম্বর সকাল ১১:০০ টা UTC এর আগে Trust Wallet এর Chrome এক্সটেনশন সংস্করণ ২.৬৮ ইনস্টল করেছেন বা লগ ইন করেছেন তারাই ঝুঁকিতে ছিলেন।

ট্রাস্ট ওয়ালেট এবং নিরাপত্তা গবেষকদের মতে:

• মোবাইল অ্যাপ ব্যবহারকারীরা প্রভাবিত হননি
• অন্যান্য ব্রাউজার এক্সটেনশন সংস্করণগুলি প্রভাবিত হয়নি
• ২.৬৮ সংস্করণের মাধ্যমে অ্যাক্সেস করা ওয়ালেটগুলি সম্পূর্ণরূপে ক্ষতিগ্রস্থ হতে পারে

অনেক ক্ষেত্রে, এক্সটেনশন আনলক করার বা একটি সিড ফ্রেজ আমদানি করার কয়েক মিনিটের মধ্যেই ওয়ালেট খালি হয়ে যায়। বিটকয়েন, ইথেরিয়াম এবং সোলানা ঠিকানা সহ শত শত ওয়ালেট প্রভাবিত হয়।

ট্রাস্ট ওয়ালেটের সিইও ইওউইন চেন নিশ্চিত করেছেন যে, আক্রান্ত উইন্ডোতে লগ ইন করা ব্যবহারকারীদের ধরে নেওয়া উচিত যে তাদের ওয়ালেট উন্মুক্ত হয়ে গেছে এবং নতুন ওয়ালেট তৈরি করা উচিত।

ক্ষতিকারক কোড কীভাবে কাজ করেছিল?

ব্লকচেইন নিরাপত্তা সংস্থার মতে স্লো মিস্ট, আক্রমণটি কোনও ক্ষতিকারক তৃতীয় পক্ষের লাইব্রেরি দ্বারা সংঘটিত হয়নি। বরং। আক্রমণকারী সরাসরি ট্রাস্ট ওয়ালেটের নিজস্ব এক্সটেনশন কোড পরিবর্তন করেছে। ক্ষতিকারক যুক্তিটি এক্সটেনশনের বিশ্লেষণ উপাদানে এমবেড করা হয়েছিল।

প্রতিশ্রুতিশীল প্রকল্পগুলি আবিষ্কার করুন...

প্রতিশ্রুতিবদ্ধ প্রকল্প...

(বিজ্ঞাপন)

প্রবন্ধটি চলতে থাকে...

এটি কীভাবে কাজ করেছিল তা এখানে:

• এক্সটেনশনে সংরক্ষিত সমস্ত ওয়ালেটে কোডটি পুনরাবৃত্তি করা হয়েছে।
• এটি প্রতিটি ওয়ালেটের জন্য একটি স্মৃতিচারণমূলক বাক্যাংশের অনুরোধ ট্রিগার করেছে।
• ব্যবহারকারীরা যখন ওয়ালেট আনলক করতেন, তখন এনক্রিপ্ট করা সিড ফ্রেজটি ডিক্রিপ্ট করা হত।
• ডিক্রিপ্ট করা স্মৃতিচিহ্নটি আক্রমণকারী-নিয়ন্ত্রিত সার্ভারে পাঠানো হয়েছিল

ডেটা api.metrics-trustwallet[.]com-এ এক্সফিল্টার করা হয়েছিল। ডোমেইনটি ৮ ডিসেম্বর, ২০২৫ তারিখে নিবন্ধিত হয়েছিল। সার্ভারে অনুরোধগুলি ২১ ডিসেম্বর থেকে শুরু হয়েছিল, ক্ষতিকারক আপডেট প্রকাশের কয়েক দিন আগে।

আক্রমণকারীরা কভার হিসেবে posthog-js নামক একটি বৈধ ওপেন-সোর্স অ্যানালিটিক্স লাইব্রেরি ব্যবহার করেছিল। সঠিক অ্যানালিটিক্স এন্ডপয়েন্টে ডেটা পাঠানোর পরিবর্তে, ট্র্যাফিক আক্রমণকারীর সার্ভারে পুনঃনির্দেশিত হয়েছিল।

স্লোমিস্ট জানিয়েছে যে এটি একটি অভ্যন্তরীণ কোডবেস আপস, কোনও বিষাক্ত নির্ভরতা নয়।

আপোষিত এক্সটেনশনটি কীভাবে প্রকাশিত হয়েছিল?

ট্রাস্ট ওয়ালেটের অভ্যন্তরীণ তদন্তে এর প্রকাশ প্রক্রিয়ায় একটি গুরুতর ব্যর্থতা পাওয়া গেছে। সিইও ইওউইন চেনের মতে, ক্ষতিকারক সংস্করণটি প্রকাশ করতে একটি ফাঁস হওয়া ক্রোম ওয়েব স্টোর এপিআই কী ব্যবহার করা হয়েছিল।

আপোস করা এক্সটেনশনটি ২৪শে ডিসেম্বর দুপুর ১২:৩২ UTC-তে আপলোড করা হয়েছিল। এটি ট্রাস্ট ওয়ালেটের স্বাভাবিক অভ্যন্তরীণ চেকগুলিকে এড়িয়ে গেছে।

এটি দেখায় যে আক্রমণকারী সরাসরি ব্যবহারকারীদের শোষণ করেনি। বরং, তারা বিতরণ পরিকাঠামোকে কাজে লাগিয়েছে। এই ধরণের সরবরাহ-শৃঙ্খলা আক্রমণ সনাক্ত করা কঠিন কারণ সফ্টওয়্যারটি অফিসিয়াল এবং বিশ্বস্ত বলে মনে হয়।

কত টাকা চুরি হয়েছিল এবং তহবিল কোথায় গেল?

ট্রাস্ট ওয়ালেট এবং স্বাধীন গবেষকরা মোট ক্ষতির পরিমাণ প্রায় ৭ মিলিয়ন ডলার বলে অনুমান করেছেন।

জ্ঞাত চুরি যাওয়া সম্পদের ভাঙ্গনের মধ্যে রয়েছে:

• প্রায় 3 মিলিয়ন ডলার Bitcoin
• 3 মিলিয়ন ডলারের বেশি Ethereum
• ছোট পরিমাণে সোলানা এবং অন্যান্য সম্পদ

অনুসারে পেকশিল্ড এবং ZachXBT, চুরি করা তহবিল দ্রুত পাচার করা হয়েছিল।

মূল আন্দোলনগুলির মধ্যে রয়েছে:

• ChangeNOW-তে প্রায় $৩.৩ মিলিয়ন পাঠানো হয়েছে
• ফিক্সডফ্লোটে প্রায় $৩৪০,০০০ পাঠানো হয়েছে
• KuCoin-এ মোটামুটি $447,000 পাঠানো হয়েছে

কেন্দ্রীভূত এক্সচেঞ্জের মাধ্যমে ৪ মিলিয়ন ডলারেরও বেশি পাচার হয়েছে। শেষ আপডেট অনুসারে, প্রায় ২.৮ মিলিয়ন ডলার আক্রমণকারীর নিয়ন্ত্রণে থাকা ওয়ালেটে রয়ে গেছে।

এই ধরণটি অন্যান্য ওয়ালেট আপস মামলার প্রতিফলন ঘটায়, যেখানে আক্রমণকারীরা ট্রেসেবিলিটি কমাতে তাৎক্ষণিক সোয়াপ পরিষেবা এবং ব্রিজ ব্যবহার করে।

ট্রাস্ট ওয়ালেটের প্রতিক্রিয়া এবং ক্ষতিপূরণ পরিকল্পনা

ট্রাস্ট ওয়ালেট দ্রুত সমাধানের জন্য পদক্ষেপ নিয়েছে। ক্ষতিকারক কোডটি অপসারণের জন্য ২৫ ডিসেম্বর সংস্করণ ২.৬৯ প্রকাশ করা হয়েছে। ব্যবহারকারীদের অবিলম্বে সংস্করণ ২.৬৮ অক্ষম করার জন্য অনুরোধ করা হয়েছে।

কোম্পানিটি একটি আনুষ্ঠানিক ক্ষতিপূরণ কর্মসূচিও চালু করেছে।

ক্ষতিগ্রস্ত ব্যবহারকারীরা একটি মাধ্যমে দাবি জমা দিতে পারেন ট্রাস্ট ওয়ালেটের ওয়েবসাইটে অফিসিয়াল সহায়তা ফর্ম। প্রক্রিয়াটির জন্য প্রয়োজন:

• ই-মেইল ঠিকানা
• দেশের নাগরিক
• ক্ষতিগ্রস্থ ওয়ালেট ঠিকানা
• আক্রমণকারী ঠিকানা পাচ্ছে
• প্রাসঙ্গিক লেনদেন হ্যাশ

ট্রাস্ট ওয়ালেট জানিয়েছে যে প্রতিটি দাবি পৃথকভাবে যাচাই করা হবে।

"আমরা ক্ষতিপূরণ প্রক্রিয়ার বিবরণ চূড়ান্ত করার জন্য দিনরাত কাজ করছি এবং প্রতিটি ক্ষেত্রে সঠিকতা এবং নিরাপত্তা নিশ্চিত করার জন্য সতর্কতার সাথে যাচাইকরণ প্রয়োজন," কোম্পানিটি বলেছে।

২০১৮ সালে ট্রাস্ট ওয়ালেট অধিগ্রহণকারী বিন্যান্সের সহ-প্রতিষ্ঠাতা এবং প্রাক্তন সিইও চ্যাংপেং ঝাও নিশ্চিত করেছেন যে ক্ষতি পূরণ করা হবে।

এই হ্যাকটি কেন ওয়ালেট নিরাপত্তার জন্য গুরুত্বপূর্ণ

এই ঘটনাটি ক্রিপ্টোতে পুনরাবৃত্তিমূলক ঝুঁকি তুলে ধরে। এমনকি নন-কাস্টোডিয়াল ওয়ালেটগুলিও সফ্টওয়্যার বিতরণ চ্যানেলের উপর নির্ভর করে। যখন এই চ্যানেলগুলি ব্যর্থ হয়, তখন ব্যবহারকারীরা সবকিছু হারাতে পারেন।

ট্রাস্ট ওয়ালেট হ্যাক শিল্প জুড়ে দেখা যায় এমন একটি বিস্তৃত ধরণ অনুসরণ করে। এই বছরের শুরুতে, কয়েনবেস প্রকাশ করেছিল যে ভারতে ঘুষ দেওয়া সহায়তা কর্মীদের সাথে যুক্ত একটি পৃথক লঙ্ঘনের পরে এটি ৪০০ মিলিয়ন ডলারেরও বেশি অর্থ ফেরত দেবে।

আক্রমণের পদ্ধতি ভিন্ন, ফলাফল একই। বিশ্বাসের অনুমান একেবারে ভেঙে যায়।

ব্যবহারকারীদের জন্য, এটি মৌলিক নিরাপত্তা নিয়মগুলিকে শক্তিশালী করে:

• ব্রাউজার এক্সটেনশনগুলিকে উচ্চ-ঝুঁকিপূর্ণ সফ্টওয়্যার হিসাবে বিবেচনা করুন
• সংশোধনগুলি প্রকাশিত হলে অবিলম্বে আপডেট করুন
• যদি আপনার মানিব্যাগ ক্ষতিগ্রস্ত হতে পারে, তাহলে তহবিল স্থানান্তর করুন
• কখনও উন্মুক্ত বীজ বাক্যাংশ পুনরায় ব্যবহার করবেন না।

ওয়ালেট সরবরাহকারীদের জন্য, পাঠটি হল রিলিজ সুরক্ষা সম্পর্কে। API কী, বিল্ড পাইপলাইন এবং স্টোর শংসাপত্রগুলি এখন প্রধান আক্রমণ লক্ষ্যবস্তু।

উপসংহার

৭ মিলিয়ন ডলারের ট্রাস্ট ওয়ালেট এক্সটেনশন হ্যাকটি ব্যবহারকারীর ত্রুটির কারণে নয়, বরং সরবরাহ-শৃঙ্খলার আপসের ফলে হয়েছিল। ক্রোম এক্সটেনশনের ২.৬৮ সংস্করণে এমবেড করা ক্ষতিকারক কোডটি একাধিক ব্লকচেইন জুড়ে বীজ বাক্যাংশ সংগ্রহ করে এবং ওয়ালেটগুলি নিষ্কাশন করে। 

rust Wallet প্রভাবিত সংস্করণটি সরিয়ে, একটি সংশোধন প্রকাশ করে এবং সম্পূর্ণ ক্ষতিপূরণ দেওয়ার প্রতিশ্রুতি দিয়ে প্রতিক্রিয়া জানায়। এই ঘটনাটি ক্রিপ্টোতে ব্রাউজার এক্সটেনশনগুলি কীভাবে একটি গুরুত্বপূর্ণ আক্রমণাত্মক পৃষ্ঠ হিসাবে রয়ে গেছে এবং কেন ব্যবহারকারী এবং বিকাশকারী উভয়কেই বিতরণ সুরক্ষাকে ব্যক্তিগত কী ব্যবস্থাপনার মতোই গুরুত্ব সহকারে বিবেচনা করতে হবে তা তুলে ধরে।

Resources

1. X-এ বিশ্বাসী ওয়ালেট: ঘোষণা ৪ ডিসেম্বর

2. X-এর উপর ধীরগতির পোস্ট: ট্রাস্ট ওয়ালেট শোষণের প্রতিবেদন

3. X-এ PeckShield পোস্ট: অন ট্রাস্ট ওয়ালেট শোষণ