২৫ ডিসেম্বর Trust Wallet ব্রাউজার এক্সটেনশনের চারপাশে নিরাপত্তা উদ্বেগ দেখা দিয়েছে, যখন ব্লকচেইন তদন্তকারী ZachXBT সাম্প্রতিক একটি আপডেটের সাথে সম্ভাব্যভাবে সংযুক্ত সন্দেহজনক কার্যকলাপ চিহ্নিত করেন, যা ডেভেলপার এবং নিরাপত্তা-কেন্দ্রিক অ্যাকাউন্টগুলি থেকে সতর্কতা জারি করতে প্ররোচিত করেছে।
X-এ প্রচারিত পোস্ট অনুযায়ী, সমস্যাটি ২৪ ডিসেম্বর ব্রাউজার এক্সটেনশন আপডেটে প্রবর্তিত একটি সন্দেহভাজন সাপ্লাই-চেইন কম্প্রোমাইজ থেকে উদ্ভূত হতে পারে।
এক্সটেনশনের মধ্যে নতুন যুক্ত করা কোড ব্যবহারকারীরা যখন একটি সিড ফ্রেজ ইম্পোর্ট করেন তখন নীরবে সংবেদনশীল ওয়ালেট ডেটা বের করে নিতে পারে। দাবিগুলি পরামর্শ দেয় যে এটি তাৎক্ষণিক ওয়ালেট নিষ্কাশনের দিকে পরিচালিত করেছে।
অভিযুক্ত Trust Wallet ক্ষতিকারক কোড এবং ডেটা বের করার দাবি
এক্সটেনশন পরীক্ষা করা ডেভেলপাররা অভিযোগ করেন যে আপডেটে যুক্ত একটি JavaScript ফাইলে এনালিটিক্স হিসাবে ছদ্মবেশী লজিক রয়েছে।
কোডটি বিশেষভাবে তখন সক্রিয় হয় যখন একটি সিড ফ্রেজ ইম্পোর্ট করা হয়। এটি তারপর নীরবে ওয়ালেট-সম্পর্কিত ডেটা একটি বাহ্যিক ডোমেইনে প্রেরণ করে যা সরকারী Trust Wallet অবকাঠামোর সাদৃশ্য তৈরি করার জন্য ডিজাইন করা হয়েছে।
প্রতিবেদনে উল্লেখিত ডোমেইনটি কথিতভাবে মাত্র কয়েক দিন আগে নিবন্ধিত হয়েছিল এবং তারপর থেকে অফলাইন হয়ে গেছে।
গবেষকরা যুক্তি দেন যে এর সাম্প্রতিক সৃষ্টি এবং এক্সটেনশন আপডেটের সময় ব্যবহারকারী-পক্ষের ফিশিংয়ের পরিবর্তে একটি সমন্বিত সাপ্লাই-চেইন আক্রমণ সম্পর্কে উদ্বেগ উত্থাপন করে।
ব্যবহারকারীরা সিড ইম্পোর্টের পরে ওয়ালেট নিষ্কাশনের রিপোর্ট করছেন
একাধিক ব্যবহারকারী Trust Wallet ব্রাউজার এক্সটেনশনে সিড ফ্রেজ ইম্পোর্ট করার কিছুক্ষণ পরে ওয়ালেট নিষ্কাশিত হওয়ার রিপোর্ট করেছেন।
সর্বজনীনভাবে শেয়ার করা অনুমান পরামর্শ দেয় যে $2 মিলিয়নের বেশি ক্ষতি হতে পারে। যদিও এই সংখ্যাগুলি স্বাধীনভাবে যাচাই করা হয়নি।
বিশ্লেষকরা ইঙ্গিত করেন যে তহবিল একাধিক ঠিকানার মাধ্যমে রুট করা হয়েছিল, একটি প্যাটার্ন যা বিচ্ছিন্ন ব্যবহারকারী ত্রুটির তুলনায় স্বয়ংক্রিয় শোষণের সাথে আরও সাধারণভাবে যুক্ত।
পরিধি ব্রাউজার এক্সটেনশনে সীমিত বলে মনে হচ্ছে
এই পর্যায়ে, Trust Wallet-এর মোবাইল অ্যাপ্লিকেশনগুলি প্রভাবিত হওয়ার কোনো ইঙ্গিত নেই।
অনলাইনে প্রচারিত সতর্কতাগুলি বিশেষভাবে ব্রাউজার এক্সটেনশনের উপর কেন্দ্রীভূত। এখানেই আপডেট প্রক্রিয়া এবং তৃতীয় পক্ষের নির্ভরতা উচ্চতর সাপ্লাই-চেইন ঝুঁকি উপস্থাপন করে।
ব্যবহারকারীদের পরামর্শ দেওয়া হচ্ছে যে আরও স্পষ্টীকরণ প্রদান না করা পর্যন্ত Trust Wallet ব্রাউজার এক্সটেনশনে সিড ফ্রেজ ইম্পোর্ট না করতে।
Trust Wallet থেকে এখনও কোনো সরকারী প্রতিক্রিয়া নেই
লেখার সময় পর্যন্ত, Trust Wallet অভিযোগগুলির বিষয়ে কোনো সর্বজনীন প্রতিক্রিয়া, স্পষ্টীকরণ বা নিরাপত্তা উপদেশ জারি করেনি।
দাবিগুলির কোনো নিশ্চিতকরণ বা অস্বীকার হয়নি, বা কোনো এক্সটেনশন, রোলব্যাক বা জরুরি প্যাচের কোনো ঘোষণা হয়নি।
তদন্ত চলমান
গবেষকরা জোর দিয়েছেন যে পরিস্থিতি সক্রিয় তদন্তের অধীনে রয়েছে। এক্সটেনশন কোড এবং সম্পর্কিত অন-চেইন কার্যকলাপ সম্পূর্ণভাবে পর্যালোচনা না করা পর্যন্ত সিদ্ধান্ত টানা উচিত নয়।
যদি নিশ্চিত করা হয়, ঘটনাটি একটি গুরুতর সাপ্লাই-চেইন কম্প্রোমাইজ প্রতিনিধিত্ব করবে।
এটি এমন একটি আক্রমণের শ্রেণী যা ফিশিং বা ব্যবহারকারী-পক্ষের ভুল থেকে উল্লেখযোগ্যভাবে ভিন্ন। এছাড়াও, এটি ঐতিহাসিকভাবে ক্রিপ্টো ইকোসিস্টেম জুড়ে দ্রুত, বৃহৎ-স্কেল ক্ষতির কারণ হয়েছে।
চূড়ান্ত চিন্তাভাবনা
- অভিযোগগুলি ওয়ালেট এক্সটেনশনগুলিকে প্রভাবিত করে এমন একটি সম্ভাব্য গুরুতর সাপ্লাই-চেইন ঝুঁকির দিকে ইঙ্গিত করে, যা আন্ডারস্কোর করে যে কোড আপডেটগুলি কীভাবে একটি গুরুত্বপূর্ণ আক্রমণ ভেক্টর হয়ে উঠতে পারে যদি কম্প্রোমাইজড হয়।
- Trust Wallet থেকে এখনও কোনো প্রতিক্রিয়া না থাকায়, ব্যবহারকারী এবং গবেষকরা স্বাধীন তদন্তের উপর নির্ভর করছেন যখন ঘটনার চারপাশে পরীক্ষা-নিরীক্ষা অব্যাহত রয়েছে।
সূত্র: https://ambcrypto.com/zachxbt-flags-suspected-trust-wallet-extension-issue-as-users-report-drained-funds/
