पिछले हफ्ते, एक Trust Wallet उपयोगकर्ता को अचानक रातोंरात अपने फंड्स का नुकसान हुआ, जैसा कि BeInCrypto के साथ साझा की गई एक हालिया रिपोर्ट में बताया गया है। जब उन्होंने यह जानने के लिए वॉलेट से संपर्क किया कि क्या हुआ था, तो उन्हें बताया गया कि उन्होंने अनजाने में दुर्भावनापूर्ण वेबसाइटों या एप्लिकेशनों को अनुमतियाँ दी थीं।
Eve Lam, Trust Wallet की चीफ इंफॉर्मेशन सिक्योरिटी ऑफिसर, ने BeInCrypto के साथ एक इंटरव्यू में कहा कि अधिकांश अनधिकृत क्रिप्टोकरेन्सी निकासी उपयोगकर्ता समस्याओं से उत्पन्न होती हैं। Hacken के हेड ऑफ कंप्लायंस, Dmytro Yasmanovych, ने इस दृष्टिकोण को साझा किया और उपयोगकर्ताओं को सलाह दी कि अगर उन्हें संदेह है कि उनका क्रिप्टोकरेन्सी वॉलेट समझौता किया गया है तो उन्हें क्या कदम उठाने चाहिए।
रातोंरात नुकसान
पिछले हफ्ते, चिली के एक क्रिप्टो उपयोगकर्ता Matias बिना किसी चिंता के सोने चले गए। लेकिन जब वह जागे, तो सब कुछ बदल गया। BeInCrypto के साथ साझा की गई जानकारी के अनुसार, जब Matias ने अपने Trust Wallet को एक्सेस किया, तो उन्होंने देखा कि उनके फंड्स उनके अकाउंट से निकाल लिए गए थे।
ऐसी स्थिति उनके साथ पांच साल के मोबाइल वॉलेट उपयोग के दौरान कभी नहीं हुई थी। Matias ने जल्द ही देखा कि सुबह 8 बजे, उनके अकाउंट में थोड़ी मात्रा में क्रिप्टो जमा की गई थी। उसके तुरंत बाद, उनका अकाउंट खाली हो गया।
Matias को नहीं पता था कि ऐसा कैसे हो सकता है। Trust Wallet की सुरक्षा टीम से स्पष्टीकरण के लिए संपर्क करने के बाद, उन्होंने सीखा कि समस्या कुछ ऐसा था जो उन्होंने अनजाने में किया था।
“हमारे आंतरिक डेटा और घटना प्रतिक्रिया जांचों के आधार पर, अधिकांश अनधिकृत निकासी उपयोगकर्ता-साइड समस्याओं से जुड़ी होती हैं,” Lam ने BeInCrypto को बताया।
उन्होंने समझाया कि कई तरीके हैं जिनसे उपयोगकर्ता अनजाने में संवेदनशील जानकारी दुर्भावनापूर्ण व्यक्तियों के साथ साझा कर सकते हैं।
यूजर-साइड कमजोरियों की हकीकत
Trust Wallet के आंतरिक डेटा और घटना प्रतिक्रिया जांच के विश्लेषण से संकेत मिलता है कि अधिकांश अनधिकृत क्रिप्टोकरेन्सी निकासी उपयोगकर्ता-साइड समस्याओं के कारण होती हैं।
ये अक्सर लीक या समझौता किए गए सीड फ्रेज़ से संबंधित होती हैं, जो अक्सर सोशल इंजीनियरिंग रणनीतियों, असुरक्षित भंडारण, और उपयोगकर्ताओं द्वारा दी गई दुर्भावनापूर्ण स्मार्ट कॉन्ट्रैक्ट अनुमतियों के परिणामस्वरूप होती हैं।
डिवाइस-स्तरीय समझौते और अन्य घटनाएं, जैसे कि SIM स्वैप हमले या अनलॉक किए गए डिवाइस की चोरी, भी इन अनधिकृत निकासी में योगदान करती हैं।
“इन सभी मामलों में, Trust Wallet ऐप खुद से सुरक्षित है—समस्या बाहरी वातावरण से उत्पन्न होती है जिसमें इसका उपयोग किया जा रहा है या इंस्टॉलेशन से पहले की गई क्रियाओं से,” Lam ने विस्तार से बताया।
ये शोषण विधियाँ अब मोबाइल वॉलेट्स से क्रिप्टोकरेन्सी चुराने के सबसे सामान्य हमले तकनीकों में शामिल हैं।
User Error बनाम Wallet Hacks: सबसे ज्यादा नुकसान कहां होता है?
हालांकि Hacken के पास मोबाइल वॉलेट हमले के रुझानों पर विशेष आंतरिक डेटा नहीं है, Yasmanovych ने BeInCrypto को बताया कि उपयोगकर्ता क्रियाओं द्वारा सक्षम फंड हानियाँ साइबर सुरक्षा कंपनी द्वारा जांचे गए मामलों में तेजी से स्पष्ट हो रही हैं।
“हमारी जांच और टूलिंग में जो हम देख रहे हैं, वह एक बहुत व्यापक समस्या की ओर इशारा करता है: आज के क्रिप्टो में अधिकांश बड़े पैमाने पर हानियाँ मोबाइल मैलवेयर के बारे में कम और साइनर वर्कफ्लो, इंटरफेस सुरक्षा, और एक्सेस नियंत्रण में विफलताओं के बारे में अधिक हैं,” Yasmanovych ने बताया।
साइनर वर्कफ्लो में निजी कुंजियों के साथ क्रिप्टोकरेन्सी लेन-देन को अधिकृत करना शामिल है। यदि ये कुंजियाँ समझौता कर ली जाती हैं, तो यह सीधे, अनधिकृत लेन-देन साइनिंग को सक्षम बनाता है। इस बीच, क्रिप्टो वॉलेट्स और dApps में दोषपूर्ण यूजर इंटरफेस (UIs) उपयोगकर्ताओं को हानिकारक लेन-देन में गुमराह कर सकते हैं। हमले की विधियों में एड्रेस पॉइज़निंग शामिल है, जहाँ हमलावर फंड्स को इंटरसेप्ट करने के लिए समान दिखने वाले पते बनाते हैं।
वे क्रेडेंशियल्स चुराने या हानिकारक लेन-देन साइनिंग को प्रेरित करने के लिए स्पूफ्ड या दुर्भावनापूर्ण dApps भी तैनात करते हैं। इसके अलावा, UI रेड्रेसिंग में धोखाधड़ी ओवरले शामिल होते हैं जो उपयोगकर्ताओं को अनपेक्षित क्रियाएँ करने के लिए धोखा देते हैं।
अक्सर, उपयोगकर्ता अनजाने में हानिकारक स्मार्ट कॉन्ट्रैक्ट्स को अधिकृत भी कर देते हैं।
“यह एक महत्वपूर्ण बिंदु है—दुर्भावनापूर्ण अनुमतियाँ Trust Wallet इंस्टॉल होने से पहले भी मौजूद हो सकती हैं, खासकर अगर किसी यूज़र ने अन्य वॉलेट्स या ब्राउज़र्स का उपयोग करके Web3 ऐप्स के साथ इंटरैक्ट किया हो,” Lam ने चेतावनी दी।
ऐसी स्थिति होने पर, फंड्स को रिकवर करना बेहद मुश्किल हो जाता है।
फंड रिकवरी की चुनौती
एक नॉन-कस्टोडियल वॉलेट के रूप में अपनी स्थिति के कारण, Trust Wallet किसी स्कैम के बाद क्रिप्टो ट्रांजेक्शन्स को रिवर्स नहीं कर सकता। फिर भी, यह चोरी हुए फंड्स को ट्रेस करने के लिए ऑन-चेन एनालिसिस करके यूज़र्स की मदद करता है। यह कानून प्रवर्तन के लिए विस्तृत घटना रिपोर्ट भी प्रदान करता है और कभी-कभी फॉरेंसिक फर्मों के साथ सहयोग करता है।
इन प्रयासों के बावजूद, फंड्स को रिकवर करने की संभावना बहुत कम रहती है।
“सफलता काफी हद तक शुरुआती कार्रवाई पर निर्भर करती है। जब फंड्स CEXs तक पहुँचते हैं और यूज़र्स तुरंत [कानून प्रवर्तन] रिपोर्ट दर्ज करते हैं, तो एसेट फ्रीज़ होने की एक गैर-शून्य संभावना होती है। सभी स्कैम-संबंधित मामलों में, रिकवरी सफलता दर कम है, लेकिन जब सेंट्रलाइज्ड एंडपॉइंट्स शामिल होते हैं और कानून प्रवर्तन जल्दी से शामिल होता है, तो हमने फंड्स को रिकवर होते देखा है, जैसे कि एक मामले में हमने ~$400k ट्रेस किया,” Lam ने BeInCrypto को बताया।
इसलिए, यूज़र शिक्षा इन नुकसानों के कारण बनने वाली समस्याओं को रोकने का सबसे प्रभावी तरीका बनी रहती है।
डिटेक्शन से आगे: कौन से प्रिवेंटिव और रिएक्टिव कदम जरूरी हैं?
Trust Wallet में एक बिल्ट-इन सिक्योरिटी स्कैनर है जो वास्तविक समय के खतरों जैसे कि ज्ञात स्कैमर एड्रेस, फिशिंग साइट्स, और संदिग्ध अनुमतियों के साथ इंटरैक्शन को फ्लैग करता है। लेकिन कभी-कभी, ये चेतावनी संकेत पर्याप्त नहीं होते।
क्रिप्टोकरेन्सी वॉलेट्स की सुरक्षा के लिए, Yasmanovych ने सलाह दी कि संगठनों और व्यक्तियों को क्रिप्टोकरेन्सी सिक्योरिटी स्टैंडर्ड (CCSS) नियंत्रण को लागू करना चाहिए ताकि कुंजियों का प्रबंधन और संचालन सुरक्षा सुनिश्चित की जा सके।
“जब कुंजी के समझौते का संदेह हो, तो स्पष्ट कार्यों को परिभाषित करें, जिसमें रद्दीकरण, फंड माइग्रेशन और ऑडिट शामिल हैं, वॉलेट सिस्टम्स और कुंजी प्रबंधन इंटरफेस तक सभी पहुंच के लिए [मल्टी-फैक्टर ऑथेंटिकेशन] की आवश्यकता होती है, किसी भी एकल अभिनेता को फंड को समझौता करने से रोकने के लिए कोरम-आधारित पहुंच का उपयोग करें, [और] जोखिम को केंद्रीकृत किए बिना लचीलापन सुनिश्चित करने के लिए स्पष्ट रूप से परिभाषित पुनर्स्थापना प्रक्रियाओं के साथ एन्क्रिप्टेड, भू-वितरित बैकअप्स को लागू करें,” उन्होंने समझाया।
Yasmanovych ने यह भी जोर दिया कि इन एक्सप्लॉइट्स के होने के बाद क्या करना चाहिए, यह जानना महत्वपूर्ण है।
“यदि आपको संदेह है कि आपका क्रिप्टोकरेन्सी वॉलेट समझौता किया गया है, तो तुरंत कार्य करें: घटना की रिपोर्ट कानून प्रवर्तन को दें और क्रिप्टो फॉरेंसिक्स पेशेवरों को शामिल करें, चेन एनालिसिस टूल्स का उपयोग करके चोरी किए गए फंड्स को ट्रैक करें ताकि मूवमेंट की निगरानी की जा सके और शामिल मिक्सर्स या एक्सचेंजों की पहचान की जा सके, [और] फ्रीज किए गए फंड प्रयासों के लिए KYC डेटा के साथ एक्सचेंजों को अनुरोध सबमिट करें,” उन्होंने जोड़ा।
इन उपायों के बावजूद, वास्तविकता यह है कि उपयोगकर्ता-पक्ष की कमजोरियां अभी भी नुकसान का कारण बनती हैं।
मोबाइल वॉलेट्स में यूजर कमजोरियों की स्थायी चुनौती
सक्रिय सुरक्षा उपायों के बावजूद, फंड नुकसान की नियमितता एक महत्वपूर्ण चिंता का विषय बनी हुई है। इन घटनाओं की नियमितता मोबाइल वॉलेट्स का उपयोग करते समय उपयोगकर्ता-पक्ष की कमजोरियों की स्थायी चुनौती को उजागर करती है।
एक सुरक्षित Web3 की ओर बढ़ने का रास्ता स्वाभाविक रूप से मजबूत सुरक्षा प्रोटोकॉल और सक्रिय उपयोगकर्ता तैयारी के बीच संतुलन की मांग करता है। इसलिए, उपयोगकर्ता शिक्षा के प्रति एक स्थायी प्रतिबद्धता और इन सुरक्षात्मक उपायों का व्यापक एडॉप्शन प्रभावी रूप से एक्सप्लॉइट्स को कम करने और उद्योग में एक अधिक सुरक्षित वातावरण स्थापित करने के लिए महत्वपूर्ण है।
अस्वीकरण
हमारी वेबसाइट पर सभी जानकारी अच्छे इरादे से और केवल सामान्य सूचना के उद्देश्य से प्रकाशित की जाती है, ताकि पाठक जागरूक रह सकें। हमारी वेबसाइट पर दी गई जानकारी के आधार पर पाठक द्वारा की गई प्रत्येक कार्रवाई पूरी तरह से उनके अपने जोखिम पर होती है।
