Google Chrome को एक महत्वपूर्ण सुरक्षा अपडेट मिला है, लेकिन आपका क्रिप्टो वॉलेट अभी भी खतरे में हो सकता है।
गूगल द्वारा क्रोम में मौजूद 26 खामियों को ठीक करने के बाद लेजर के सीटीओ चार्ल्स गुइलेमेट ने क्रिप्टो उपयोगकर्ताओं को चेतावनी दी है। ब्राउज़र वॉलेट उपयोगकर्ताओं को अब क्या जानना और करना चाहिए, यह यहां बताया गया है।
Soumen Datta
मार्च २०,२०२१
(विज्ञापन)
विषय - सूची
लेजर सीटीओ चार्ल्स गुइलमेट हैं के आग्रह क्रिप्टो उपयोगकर्ताओं को Google Chrome को Google के बाद तुरंत अपडेट करना होगा। रिहा एक सुरक्षा पैच जिसमें 26 कमजोरियों को दूर किया गया है, जिनमें से 4 को गंभीर श्रेणी में और 22 को उच्च गंभीरता श्रेणी में रखा गया है।
इस फिक्स से 4 गंभीर और 22 उच्च स्तर की सुरक्षा खामियों का समाधान हो गया है। यह एक महत्वपूर्ण चेतावनी है कि आप अपने ब्राउज़र/कंप्यूटर पर अपने बहुमूल्य रहस्यों के लिए भरोसा नहीं कर सकते... https://t.co/9MhQ9jgNCj
- चार्ल्स गुइलमेट (@P3b7_) मार्च २०,२०२१
इन खामियों में मेमोरी प्रबंधन संबंधी त्रुटियां शामिल हैं, जो एक अनधिकृत हमलावर को विशेष रूप से तैयार किए गए वेबपेज के माध्यम से दूरस्थ रूप से दुर्भावनापूर्ण कोड निष्पादित करने की अनुमति दे सकती हैं।
लेजर के सीटीओ ने असल में क्या कहा?
गिलमेट ने इस चेतावनी को सार्वजनिक रूप से साझा करते हुए क्रोम पैच से परे एक महत्वपूर्ण टिप्पणी जोड़ी। उन्होंने कहा, "यह एक अच्छा अनुस्मारक है कि आप अपने बहुमूल्य रहस्यों के लिए अपने ब्राउज़र या कंप्यूटर पर भरोसा नहीं कर सकते।" यह टिप्पणी सीधे तौर पर उन क्रिप्टो उपयोगकर्ताओं को संबोधित है जो दैनिक गतिविधियों के लिए ब्राउज़र-आधारित वॉलेट और एक्सटेंशन पर निर्भर रहते हैं।
इस पैच चक्र में चिह्नित कमजोरियां मेमोरी प्रबंधन त्रुटियों की तीन प्रमुख श्रेणियों में आती हैं:
- उपयोग-मुक्त होने के बाद की स्थितियाँ, जहाँ कोई प्रोग्राम मेमोरी को मुक्त किए जाने के बाद भी उसका उपयोग जारी रखता है।
- हीप बफर ओवरफ्लो, जिसमें आवंटित मेमोरी स्पेस से अधिक डेटा लिखा जाता है।
- सीमा से बाहर पहुँच, जहाँ कोड निर्धारित सीमा से बाहर की मेमोरी को पढ़ता या लिखता है।
इनमें से प्रत्येक का उपयोग सिस्टम मेमोरी में पेलोड लिखने और रिमोट कोड निष्पादन को प्राप्त करने के लिए किया जा सकता है, अक्सर उपयोगकर्ता द्वारा किसी दुर्भावनापूर्ण वेबपेज पर जाने के अलावा कुछ भी किए बिना।
क्या क्रोम एक्सप्लॉइट वास्तव में आपके क्रिप्टो वॉलेट को खाली कर सकता है?
आपकी क्रिप्टोकरेंसी ब्राउज़र के अंदर नहीं, बल्कि ब्लॉकचेन पर स्टोर होती है। हालांकि, एक कारगर ब्राउज़र एक्सप्लॉइट को नुकसान पहुंचाने के लिए सीधे ब्लॉकचेन तक पहुंचने की ज़रूरत नहीं होती। यह वॉलेट इंटरफ़ेस लेयर को निशाना बनाता है, और यहीं से खतरा असल में सामने आता है।
MetaMask, Rabby और Phantom जैसे ब्राउज़र वॉलेट मुख्य रूप से Chrome एक्सटेंशन के रूप में काम करते हैं। यदि ब्राउज़र के अंदर कोई एक्सप्लॉइट चलता है, तो हमलावर कई तरीकों से वॉलेट के यूजर इंटरफेस के साथ इंटरैक्ट कर सकता है।
हमलावर वॉलेट उपयोगकर्ताओं के खिलाफ ब्राउज़र एक्सप्लॉइट का उपयोग कैसे करते हैं
एक बार ब्राउज़र के अंदर प्रवेश करने के बाद, हमले के सामान्य तरीकों में निम्नलिखित शामिल हैं:
- नकली वॉलेट के संकेत: MetaMask या अन्य वॉलेट पुष्टिकरण स्क्रीन की नकल करने वाले ओवरले उपयोगकर्ताओं से किसी एसेट को "पुनः कनेक्ट" करने या "क्लेम" करने के लिए कहते हैं। क्लिक करने से लेनदेन की स्वीकृति हो जाती है और धनराशि हमलावर के वॉलेट में स्थानांतरित हो जाती है।
- व्यय अनुमोदन: धन की तत्काल चोरी करने के बजाय, यह खामी टोकन अनुमोदन हस्ताक्षर का अनुरोध करती है। इससे हमलावर के स्मार्ट कॉन्ट्रैक्ट को भविष्य में किसी भी समय टोकन स्थानांतरित करने की अनुमति मिल जाती है।
- सत्र अपहरण: यदि यह एक्सप्लॉइट किसी खुले एक्सचेंज टैब से सेशन कुकीज़ को कैप्चर कर लेता है, तो यह सेशन समाप्त होने तक उपयोगकर्ता के रूप में काम कर सकता है, और बिना किसी और इंटरैक्शन के एसेट्स को स्थानांतरित कर सकता है।
- क्लिपबोर्ड और कीस्ट्रोक का दुरुपयोग: कुछ सुरक्षा खामियां कॉपी किए गए वॉलेट पते या पासवर्ड को रोकने के लिए क्लिपबोर्ड की सामग्री की निगरानी करती हैं।
यह कोई सैद्धांतिक परिदृश्य नहीं है। दिसंबर 2025 में, ट्रस्ट वॉलेट की पुष्टि की क्रोम एक्सटेंशन के संस्करण 2.68 से जुड़ी एक सुरक्षा घटना में, दुर्भावनापूर्ण कोड ने संग्रहीत वॉलेटों में घुसपैठ की, स्मरणीय वाक्यांशों के लिए अनुरोध भेजे, उपयोगकर्ता के पासवर्ड का उपयोग करके उन्हें डिक्रिप्ट किया और हमलावर द्वारा नियंत्रित सर्वर पर भेज दिया। लगभग 7 मिलियन डॉलर की राशि निकाल ली गई, जिसमें लगभग 3 मिलियन डॉलर बिटकॉइन और 3 मिलियन डॉलर से अधिक एथेरियम शामिल थे।
आशाजनक परियोजनाओं की खोज करें...
आशाजनक परियोजनाएं...
(विज्ञापन)
ब्लॉकचेन अन्वेषक ZachXBT ने सैकड़ों पीड़ितों की पुष्टि की है, जिनके चुराए गए धन को मनी लॉन्ड्रिंग के लिए ChangeNOW, FixedFloat और KuCoin के माध्यम से भेजा गया था।
यह पहली बार नहीं है जब क्रोम को सुरक्षा संबंधी समस्याओं का सामना करना पड़ा है।
सितंबर 2025 में, Google समझौता Chrome में CVE-2025-10585 के रूप में एक ज़ीरो-डे भेद्यता पाई गई, जो Chrome के जावास्क्रिप्ट इंजन V8 में टाइप-कन्फ्यूजन बग है। टाइप-कन्फ्यूजन भेद्यता का मतलब है कि ब्राउज़र मेमोरी में ऑब्जेक्ट्स को गलत तरीके से हैंडल कर सकता है, जिससे कोड निष्पादन का रास्ता खुल जाता है। Google ने उस समय पुष्टि की थी कि पैच जारी होने से पहले ही इस खामी का सक्रिय रूप से फायदा उठाया जा रहा था।
उस पैच चक्र ने भी वर्तमान चक्र के समान ही पैटर्न का अनुसरण किया: एक मेमोरी-स्तर की खामी, वास्तविक दुनिया में सक्रिय शोषण, और स्टेबल चैनल में एक त्वरित समाधान।
iOS "डार्कस्वॉर्ड" एक्सप्लॉइट ने एक दूसरा मोर्चा खोल दिया है।
उधर, बिनेंस निर्गत इसी दौरान iOS उपयोगकर्ताओं के लिए एक सुरक्षा चेतावनी जारी की गई। Apple ने "DarkSword" नामक एक गंभीर सुरक्षा खामी श्रृंखला की पहचान की, जो iOS संस्करण 18.4 से 18.7 तक को प्रभावित कर रही थी।
ब्राउज़र आधारित हमलों के विपरीत, डार्कस्वॉर्ड एक सिस्टम-स्तरीय भेद्यता है जो किसी भी उपयोगकर्ता के हस्तक्षेप के बिना, किसी भी असुरक्षित वेबसाइट पर जाने पर स्वचालित रूप से सक्रिय हो सकती है। यह क्रिप्टो वॉलेट की जानकारी सहित संवेदनशील डेटा निकाल सकती है और निष्पादन के बाद अपने निशान मिटा सकती है, जिससे बाद में इसका पता लगाना मुश्किल हो जाता है।
क्रिप्टो उपयोगकर्ताओं को अभी क्या करना चाहिए
ब्राउज़र की सुरक्षा खामियां कोई नई बात नहीं हैं, लेकिन क्रिप्टो उपयोगकर्ताओं के लिए इसके परिणाम आम इंटरनेट उपयोगकर्ताओं की तुलना में कहीं अधिक प्रत्यक्ष होते हैं। एक असुरक्षित ब्राउज़र सत्र हस्ताक्षरित लेनदेन, चोरी हुई स्वीकृतियों और खाली बटुए जैसी समस्याओं का कारण बन सकता है, भले ही अंतर्निहित परिसंपत्तियां सुरक्षित रूप से इंटरनेट श्रृंखला पर मौजूद हों।
तत्काल उठाए जाने वाले कदम सीधे-सादे हैं:
- अपने ब्राउज़र की सेटिंग में जाकर Google Chrome को नवीनतम संस्करण में अपडेट करें।
- यह सुनिश्चित करें कि मेटामास्क, रैबी और फैंटम सहित सभी वॉलेट एक्सटेंशन अपने नवीनतम संस्करणों पर चल रहे हों।
- अप्रत्याशित वॉलेट प्रॉम्प्ट, रीकनेक्ट अनुरोध या एसेट क्लेम नोटिफिकेशन के साथ इंटरैक्ट करने से बचें।
- डार्कस्वॉर्ड एक्सप्लॉइट चेन से निपटने के लिए iOS उपयोगकर्ताओं को नवीनतम सिस्टम संस्करण में अपडेट करना चाहिए।
गिलमेट का मूल विचार इस बात से अप्रभावित रहता है कि इस सप्ताह कौन सी सुरक्षा खामी सुर्खियां बटोर रही है। ब्राउज़र वित्तीय रहस्यों के लिए एक असुरक्षित वातावरण है। केवल ब्राउज़र एक्सटेंशन के माध्यम से महत्वपूर्ण क्रिप्टो होल्डिंग्स का प्रबंधन करने वाले उपयोगकर्ताओं के लिए, इस जोखिम आकलन पर पुनर्विचार करना आवश्यक है।
संसाधन
एक्स पर लेजर सीटीओ चार्ल्स गुइलमेट: 21 मार्च को पोस्ट किया गया
X पर ट्रस्ट वॉलेट26 दिसंबर को पोस्ट किया गया
साइबर प्रेस की रिपोर्टगूगल क्रोम अपडेट ने आरसीई कमजोरियों सहित 26 सुरक्षा खामियों को ठीक किया है।
हैकर न्यूज की रिपोर्ट: गूगल ने क्रोम के जीरो-डे CVE-2025-10585 को पैच किया, क्योंकि सक्रिय V8 एक्सप्लॉइट से लाखों लोगों को खतरा था।
अक्सर पूछे जाने वाले प्रश्न
क्या क्रोम को अपडेट करने से मेरे क्रिप्टो वॉलेट एक्सटेंशन सुरक्षित रहेंगे?
Chrome को अपडेट करने से ब्राउज़र की अंतर्निहित कमज़ोरियों को ठीक किया जा सकता है, जिससे उन हमलों का आधार ही खत्म हो जाता है जिन पर ये हमले निर्भर करते हैं। हालांकि, एक्सटेंशन अपने आप में अलग जोखिम पैदा कर सकते हैं, जैसा कि दिसंबर 2025 में हुई ट्रस्ट वॉलेट घटना से स्पष्ट हुआ। Chrome और अलग-अलग एक्सटेंशन दोनों को अपडेट रखना आवश्यक है।
ब्राउज़र में 'यूज़-आफ्टर-फ्री' भेद्यता क्या है?
यह एक मेमोरी त्रुटि है जो तब होती है जब कोई प्रोग्राम उस मेमोरी को संदर्भित करता रहता है जिसे वह पहले ही मुक्त कर चुका है। हमलावर इसका फायदा उठाकर नियंत्रित डेटा को उस मुक्त मेमोरी स्पेस में लिख सकते हैं और कोड निष्पादन को ट्रिगर कर सकते हैं, अक्सर उपयोगकर्ता की जानकारी के बिना ही।
क्या हार्डवेयर वॉलेट उपयोगकर्ताओं को क्रोम की इन कमजोरियों के बारे में चिंतित होना चाहिए?
लेजर जैसे हार्डवेयर वॉलेट निजी कुंजियों को ऑफ़लाइन स्टोर करते हैं और लेन-देन के लिए भौतिक पुष्टि की आवश्यकता होती है। ब्राउज़र हैकिंग के ज़रिए हार्डवेयर डिवाइस से सीधे कुंजियाँ नहीं निकाली जा सकतीं। हालांकि, नकली वॉलेट प्रॉम्प्ट और दुर्भावनापूर्ण लेन-देन अनुरोध ब्राउज़र इंटरफ़ेस में दिखाई दे सकते हैं, इसलिए गुइलेमेट की चेतावनी उन हार्डवेयर वॉलेट उपयोगकर्ताओं पर भी लागू होती है जो ब्राउज़र के माध्यम से कनेक्ट होते हैं।
अस्वीकरण
अस्वीकरण: इस लेख में व्यक्त विचार आवश्यक रूप से BSCN के विचारों का प्रतिनिधित्व नहीं करते हैं। इस लेख में दी गई जानकारी केवल शैक्षिक और मनोरंजन के उद्देश्यों के लिए है और इसे निवेश सलाह या किसी भी प्रकार की सलाह के रूप में नहीं लिया जाना चाहिए। BSCN इस लेख में दी गई जानकारी के आधार पर लिए गए किसी भी निवेश निर्णय के लिए ज़िम्मेदार नहीं है। यदि आपको लगता है कि लेख में संशोधन किया जाना चाहिए, तो कृपया BSCN टीम को ईमेल द्वारा संपर्क करें। [ईमेल संरक्षित].
Author
Soumen Dattaसौमेन 2020 से क्रिप्टो शोधकर्ता हैं और उन्होंने भौतिकी में स्नातकोत्तर की उपाधि प्राप्त की है। उनके लेखन और शोध को क्रिप्टोस्लेट और डेलीकॉइन जैसे प्रकाशनों के साथ-साथ बीएससीएन द्वारा भी प्रकाशित किया गया है। उनके मुख्य क्षेत्रों में बिटकॉइन, डेफी और एथेरियम, सोलाना, एक्सआरपी और चेनलिंक जैसे उच्च-क्षमता वाले ऑल्टकॉइन शामिल हैं। वह नए और अनुभवी क्रिप्टो पाठकों, दोनों के लिए अंतर्दृष्टि प्रदान करने के लिए विश्लेषणात्मक गहराई और पत्रकारिता की स्पष्टता का संयोजन करते हैं।
(विज्ञापन)
नवीनतम समाचार
अप्रैल १, २०२४
पोलकाडॉट ईटीएफ में 12 मार्च के बाद पहली बार निवेश देखा गया
अप्रैल १, २०२४
माइकल सेलर के अनुसार बिटकॉइन की कीमत $60,000 के निचले स्तर पर पहुंच गई थी।
अप्रैल १, २०२४
एवलांच ने सब-सेकंड ब्लॉक टाइम हासिल किया: गति और अंतिम परिणाम के लिए इसका क्या अर्थ है?
अप्रैल १, २०२४
एथेरियम ने अब तक के उच्चतम स्तर पर ट्रांसफर की संख्या दर्ज की, जबकि कीमत अपने उच्चतम स्तर से 30% नीचे है।
अप्रैल १, २०२४
ट्रंप समर्थित डब्ल्यूएलएफआई ने डोलोमाइट ऋण का बचाव करते हुए अंदरूनी जानकारी प्राप्त करने के आरोपों का खंडन किया।
अप्रैल १, २०२४
क्या क्वांटम कंप्यूटिंग बिटकॉइन के लिए एक वास्तविक खतरा है?
अप्रैल १, २०२४
हेडेरा ईटीएफ में निवेश फिर से शुरू हो गया है: क्या यह सिर्फ शुरुआत है?
अप्रैल १, २०२४
कैंटन नेटवर्क ने कैंटन कॉइन में $400 मिलियन से अधिक की राशि जला दी।
(विज्ञापन)
नवीनतम क्रिप्टो समाचार
नवीनतम क्रिप्टो समाचारों और घटनाओं से अपडेट रहें
