Coinspect ने Ill Bloom vulnerability का खुलासा किया है, जो एक क्रिप्टो वॉलेट की गलती है जिससे कई ब्लॉकचेन पर कमजोर रिकवरी फ्रेजेस बन रही थीं। हमलावरों ने इस कमजोरी का 27 मई को फायदा उठाया और लगभग $3.1 मिलियन की राशि निकालते हुए 431 वॉलेट्स खाली कर दिए।
Coinspect ने इस गलती को वॉलेट बनाने के समय इस्तेमाल किए गए असुरक्षित pseudorandom नंबर जनरेटर में ट्रेस किया। यह कमजोरी कई चेन जैसे की Bitcoin (BTC), Ethereum (ETH), और Solana (SOL) तक फैली हुई है।
Ill Bloom Vulnerability क्रिप्टो वॉलेट्स को कैसे कमजोर बनाता है
Coinspect के मुताबिक, खराब जनरेटर ने उम्मीद से बहुत कम क्रिप्टोग्राफिक स्ट्रेंथ वाले रिकवरी फ्रेजेस तैयार किए। इसका असर ये हुआ कि हमलावर सभी संभावित फ्रेजेस को फिर से बना सकते हैं और किसी भी फंडेड एड्रेस को साफ कर सकते हैं।
रिसर्चर्स ने इस अटैक को एकदम शुरू से आखिर तक दोहराया। उन्होंने हर वो एड्रेस निकाला जो कमजोर फ्रेजेस से बन सकता था और इन्हें पब्लिक ब्लॉकचेन पर फंडेड वॉलेट्स से मैच किया। सबसे ज़्यादा असर उन वॉलेट्स पर पड़ा जिनका इस्तेमाल 2018 से हो रहा है और जो कम पहचाने जाने वाले मोबाइल क्रिप्टो वॉलेट्स थे।
यूज़र्स को सलाह दी गई है कि वे अपने पुराने वॉलेट एड्रेस चेक करें। हार्डवेयर वॉलेट यूज़र्स पर कोई असर नहीं है। इसी साल, Binance ने मोबाइल यूज़र्स के लिए iOS की खास सिक्योरिटी अलर्ट जारी की थी।
27 मई की Coordinated Sweep से 431 वॉलेट्स साफ हुए
Coinspect के एनालिसिस के अनुसार, मॉनिटर किए गए सेट में Bitcoin, Ethereum, Tron, Rootstock, और Polygon में 2,114 फंडेड एड्रेस हैं। 27 मई को, डबल्यू वॉलेट्स ने अपने बैलेंस कुछ ही घंटों में साझा कलेक्टर एड्रेस पर भेज दिए।
Bitcoin को सबसे बड़ा झटका लगा और $2.57 मिलियन की चोरी हुई, जिसमें से एक खाते में अकेले ही $1.1 मिलियन से ज्यादा का नुकसान हुआ। अप्रैल 2022 के ऑल-टाइम हाई पर इन वॉलेट्स में अधिकतम $12.56 मिलियन थे।
फर्म ने कहा कि $3.1 मिलियन अभी सिर्फ न्यूनतम आंकड़ा है, क्योंकि और भी प्रभावित अकाउंट सामने आ रहे हैं। यह सेल-ऑफ़ इस साल क्रिप्टो चोरी के बड़े नुकसान में जुड़ गया है, जिसमें जनवरी में ही $400 मिलियन से ज्यादा की चोरी हो चुकी है।
कमजोर प्राइवेट कीज़ से तेजी से वैल्यू निकल जाती है, जैसा कि हुमैनिटी प्रोटोकॉल में हाल ही में हुई प्राइवेट की ब्रीच में देखा गया। खास बात ये है कि इससे पहले के Milk Sad जैसे अटैक भी इसी तरह की कमजोर randomness के कारण हुए थे।
क्रिप्टो यूज़र्स अपने फंड्स को कैसे सुरक्षित रखें
Coinspect ने एक चेकिंग टूल जारी किया है जो पब्लिक एड्रेसेज को पहले से ज्ञात वल्नरेबल डेटा सेट के साथ कंपेयर करता है। लेकिन, अगर रिजल्ट नेगेटिव आता है तो भी यह पूरी तरह से सुरक्षित होने की गारंटी नहीं देता क्योंकि डेटा सेट अभी भी पूरा नहीं है।
अगर आपका एड्रेस मैच हो जाता है, तो आपको एक नया क्रिप्टो वॉलेट बनाना चाहिए और अपने फंड्स को उस नए एड्रेस में ट्रांसफर करना चाहिए। इसके विपरीत, अगर आप अपनी पुरानी फ्रेज को दूसरी ऐप में इम्पोर्ट करते हैं, तो आपके पैसे एक्सपोज़ रहेंगे यानी खतरे में रहेंगे।
वहीं, स्कैमर्स ऐसे डरावने मौकों का फायदा उठाते हैं। जैसा कि हाल ही में Hyperliquid पर फेक एयरड्रॉप ड्रेन में देखने को मिला। Coinspect ने यह बात दोहराई है कि वे कभी भी आपकी कोई सीक्रेट जानकारी नहीं मांगेंगे।
“हम कभी भी आपसे सीड फ्रेज़, प्राइवेट कीज़, सिग्नेचर, या approvals नहीं मांगेंगे और न ही फंड्स रिकवर या वॉलेट प्रोटेक्ट करने के लिए पैसे भेजने को कहेंगे।”
वॉलेट वेंडर्स लगातार ज्यादा सुरक्षित डिफॉल्ट्स ला रहे हैं, जिसमें Ethereum का नया Clear Signing standard भी शामिल है। फिर भी, आने वाले दिनों में पता चलेगा कि कौन सी ऐप्स ने वीक फ्रेजेस जनरेट किए। तब तक, अलर्ट किए गए एड्रेसेज से अपना क्रिप्टो ट्रांसफर करना ही एकमात्र भरोसेमंद समाधान है।









