7 मिलियन डॉलर के ट्रस्ट वॉलेट एक्सटेंशन हैक: आपको जो कुछ जानना चाहिए

ट्रस्ट वॉलेट की पुष्टि की कंपनी के आधिकारिक क्रोम ब्राउज़र एक्सटेंशन के एक दुर्भावनापूर्ण अपडेट के कारण उपयोगकर्ताओं के लगभग 7 मिलियन डॉलर की धनराशि चोरी हो गई। यह उल्लंघन केवल एक्सटेंशन के एक संस्करण, संस्करण 2.68 को प्रभावित किया और इसमें हमलावरों ने एम्बेडेड दुर्भावनापूर्ण कोड के माध्यम से वॉलेट सीड वाक्यांशों को चुरा लिया। रिपोर्टों के अनुसार, मोबाइल उपयोगकर्ता और अन्य ब्राउज़र संस्करण प्रभावित नहीं हुए।

ट्रस्ट वॉलेट एक्सटेंशन हैक में क्या हुआ?

यह घटना 24 दिसंबर, 2025 को शुरू हुई, जब ट्रस्ट वॉलेट ने अपने क्रोम एक्सटेंशन का संस्करण 2.68.0 जारी किया। शुरुआत में, उपयोगकर्ताओं ने छिटपुट नुकसान की शिकायत की। एक्सटेंशन के माध्यम से वॉलेट तक पहुंचने या उसमें पैसे आयात करने के तुरंत बाद ही वॉलेट खाली हो गए। जो मामले पहले अलग-थलग लग रहे थे, वे जल्द ही एक व्यापक समस्या की ओर इशारा करने लगे।

क्रिसमस के दिन, ऑनलाइन अन्वेषक ZachXBT निर्गत चोरी की गई धनराशि के ऑन-चेन में स्थानांतरित होने के दौरान ही एक सार्वजनिक चेतावनी जारी की गई। उन्होंने वॉलेट से धनराशि निकाले जाने को सीधे v2.68 अपडेट से जोड़ा। उनके विश्लेषण से यह साबित करने में मदद मिली कि यह उपयोगकर्ता की गलती या फ़िशिंग नहीं थी, बल्कि एक हैक किए गए ब्राउज़र एक्सटेंशन का परिणाम था।

26 दिसंबर तक, ट्रस्ट वॉलेट ने डेटा लीक की पुष्टि कर दी। कंपनी ने बताया कि केवल संस्करण 2.68 प्रभावित हुआ है और उपयोगकर्ताओं से तुरंत संस्करण 2.69 में अपग्रेड करने का आग्रह किया। क्रोम वेब स्टोर लिस्टिंग के अनुसार, इस क्रोम एक्सटेंशन के लगभग दस लाख उपयोगकर्ता हैं।

ट्रस्ट वॉलेट ने बाद में पुष्टि की कि कई ब्लॉकचेन में लगभग 7 मिलियन डॉलर की डिजिटल संपत्ति चोरी हो गई थी।

किन उपयोगकर्ताओं पर इसका असर पड़ा?

केवल वे उपयोगकर्ता ही जोखिम में थे जिन्होंने 26 दिसंबर को सुबह 11:00 बजे यूटीसी से पहले ट्रस्ट वॉलेट के क्रोम एक्सटेंशन संस्करण 2.68 को इंस्टॉल किया था या उसमें लॉग इन किया था।

ट्रस्ट वॉलेट और सुरक्षा शोधकर्ताओं के अनुसार:

• मोबाइल ऐप उपयोगकर्ताओं पर इसका कोई असर नहीं पड़ा।
• ब्राउज़र एक्सटेंशन के अन्य संस्करण प्रभावित नहीं हुए।
• संस्करण 2.68 के माध्यम से एक्सेस किए गए वॉलेट पूरी तरह से असुरक्षित हो सकते हैं।

कई मामलों में, एक्सटेंशन को अनलॉक करने या सीड फ्रेज़ इम्पोर्ट करने के कुछ ही मिनटों के भीतर वॉलेट खाली हो गए। बिटकॉइन, एथेरियम और सोलाना एड्रेस सहित सैकड़ों वॉलेट प्रभावित हुए।

ट्रस्ट वॉलेट की सीईओ इओविन चेन ने पुष्टि की कि प्रभावित अवधि के दौरान लॉग इन करने वाले उपयोगकर्ताओं को यह मान लेना चाहिए कि उनके वॉलेट असुरक्षित हो गए हैं और उन्हें नए वॉलेट बनाने चाहिए।

दुर्भावनापूर्ण कोड ने कैसे काम किया?

ब्लॉकचेन सुरक्षा फर्म के अनुसार धीमी गति सेयह हमला किसी दुर्भावनापूर्ण तृतीय-पक्ष लाइब्रेरी के कारण नहीं हुआ था। इसके बजाय, हमलावर ने सीधे ट्रस्ट वॉलेट के एक्सटेंशन कोड को संशोधित किया। दुर्भावनापूर्ण लॉजिक को एक्सटेंशन के एनालिटिक्स घटक में एम्बेड किया गया था।

आशाजनक परियोजनाओं की खोज करें...

आशाजनक परियोजनाएं...

(विज्ञापन)

लेख जारी है...

यह इस प्रकार काम करता था:

• कोड ने एक्सटेंशन में संग्रहीत सभी वॉलेट्स के माध्यम से पुनरावृति की।
• इससे प्रत्येक वॉलेट के लिए एक स्मरणीय वाक्यांश अनुरोध सक्रिय हो गया।
• जब उपयोगकर्ताओं ने वॉलेट को अनलॉक किया, तो एन्क्रिप्टेड सीड वाक्यांश को डिक्रिप्ट कर दिया गया।
• डिक्रिप्ट किए गए मेमोनिक को हमलावर के नियंत्रण वाले सर्वर पर भेजा गया था।

डेटा को api.metrics-trustwallet[.]com पर लीक कर दिया गया था। यह डोमेन 8 दिसंबर, 2025 को पंजीकृत किया गया था। सर्वर पर अनुरोध 21 दिसंबर से शुरू हुए थे, जो दुर्भावनापूर्ण अपडेट प्रकाशित होने से कुछ दिन पहले की बात है।

हमलावर ने पोस्टहॉग-जेएस नामक एक वैध ओपन-सोर्स एनालिटिक्स लाइब्रेरी का इस्तेमाल बहाने के तौर पर किया। सही एनालिटिक्स एंडपॉइंट पर डेटा भेजने के बजाय, ट्रैफ़िक को हमलावर के सर्वर पर रीडायरेक्ट कर दिया गया।

स्लोमिस्ट ने कहा कि यह आंतरिक कोडबेस में सेंधमारी थी, न कि किसी दूषित निर्भरता का मामला।

समझौता किए गए एक्सटेंशन को प्रकाशित कैसे किया गया?

ट्रस्ट वॉलेट की आंतरिक जांच में इसकी रिलीज प्रक्रिया में एक गंभीर खामी पाई गई। सीईओ इओविन चेन के अनुसार, लीक हुई क्रोम वेब स्टोर एपीआई कुंजी का उपयोग दुर्भावनापूर्ण संस्करण को प्रकाशित करने के लिए किया गया था।

यह संदिग्ध एक्सटेंशन 24 दिसंबर को दोपहर 12:32 बजे UTC पर अपलोड किया गया था। इसने ट्रस्ट वॉलेट की सामान्य आंतरिक जांचों को दरकिनार कर दिया।

इससे पता चलता है कि हमलावर ने उपयोगकर्ताओं का सीधे तौर पर फायदा नहीं उठाया। इसके बजाय, उन्होंने वितरण बुनियादी ढांचे का फायदा उठाया। इस तरह के आपूर्ति-श्रृंखला हमलों का पता लगाना कठिन होता है क्योंकि सॉफ्टवेयर आधिकारिक और विश्वसनीय प्रतीत होता है।

कितनी रकम चोरी हुई और वह पैसा कहां गया?

ट्रस्ट वॉलेट और स्वतंत्र शोधकर्ताओं का अनुमान है कि कुल नुकसान लगभग 7 मिलियन डॉलर है।

चोरी हुई ज्ञात संपत्तियों के विवरण में निम्नलिखित शामिल हैं:

• लगभग 3 मिलियन डॉलर Bitcoin
• $3 मिलियन से अधिक Ethereum
• कम मात्रा में धूपघड़ी और अन्य संपत्तियां

के अनुसार पेकशील्ड ZachXBT के अनुसार, चुराए गए धन को तुरंत ही मनी लॉन्ड्रिंग के जरिए वैध कर दिया गया।

प्रमुख गतिविधियों में शामिल हैं:

• चेंजनाउ को लगभग 3.3 लाख डॉलर भेजे गए।
• FixedFloat को लगभग 340,000 डॉलर भेजे गए
• KuCoin को लगभग $447,000 भेजे गए।

4 लाख डॉलर से अधिक की राशि केंद्रीकृत एक्सचेंजों के माध्यम से हस्तांतरित हुई। अंतिम अपडेट के अनुसार, हमलावर के नियंत्रण वाले वॉलेट में लगभग 2.8 लाख डॉलर शेष थे।

यह पैटर्न वॉलेट से जुड़े अन्य मामलों से मिलता जुलता है, जहां हमलावर ट्रेसबिलिटी को कम करने के लिए इंस्टेंट स्वैप सेवाओं और ब्रिज का उपयोग करते हैं।

ट्रस्ट वॉलेट की प्रतिक्रिया और क्षतिपूर्ति योजना

ट्रस्ट वॉलेट ने तुरंत एक समाधान जारी किया। दुर्भावनापूर्ण कोड को हटाने के लिए संस्करण 2.69 25 दिसंबर को जारी किया गया। उपयोगकर्ताओं से अनुरोध किया गया कि वे संस्करण 2.68 को तुरंत निष्क्रिय कर दें।

कंपनी ने एक औपचारिक मुआवजा कार्यक्रम भी शुरू किया।

प्रभावित उपयोगकर्ता एक माध्यम से दावे प्रस्तुत कर सकते हैं। ट्रस्ट वॉलेट की वेबसाइट पर आधिकारिक सहायता फॉर्म उपलब्ध है।इस प्रक्रिया के लिए निम्नलिखित की आवश्यकता है:

• ईमेल आईडी
• देस का नाम जहां आप निवास करते हैं
• वॉलेट पतों की सुरक्षा में सेंध लग गई है
• हमलावर को पते प्राप्त हो रहे हैं
• प्रासंगिक लेनदेन हैश

ट्रस्ट वॉलेट ने कहा कि प्रत्येक दावे का व्यक्तिगत रूप से सत्यापन किया जाएगा।

कंपनी ने कहा, "हम मुआवजे की प्रक्रिया के विवरण को अंतिम रूप देने के लिए चौबीसों घंटे काम कर रहे हैं और सटीकता और सुरक्षा सुनिश्चित करने के लिए प्रत्येक मामले का सावधानीपूर्वक सत्यापन आवश्यक है।"

2018 में ट्रस्ट वॉलेट का अधिग्रहण करने वाली कंपनी बाइनेंस के सह-संस्थापक और पूर्व सीईओ चांगपेंग झाओ ने पुष्टि की कि नुकसान की भरपाई की जाएगी।

वॉलेट की सुरक्षा के लिए यह हैक क्यों महत्वपूर्ण है?

यह घटना क्रिप्टो में बार-बार होने वाले एक जोखिम को उजागर करती है। यहां तक ​​कि नॉन-कस्टोडियल वॉलेट भी सॉफ्टवेयर वितरण चैनलों पर निर्भर करते हैं। जब ये चैनल विफल हो जाते हैं, तो उपयोगकर्ता अपना सब कुछ खो सकते हैं।

ट्रस्ट वॉलेट हैक की घटना उद्योग जगत में देखी जा रही एक व्यापक प्रवृत्ति का अनुसरण करती है। इस साल की शुरुआत में, कॉइनबेस ने खुलासा किया था कि भारत में रिश्वतखोरी वाले सहायक कर्मचारियों से जुड़े एक अलग डेटा लीक के बाद वह 400 मिलियन डॉलर से अधिक की भरपाई करेगा।

हमले के अलग-अलग तरीके, लेकिन नतीजा एक ही। भरोसे की धारणाएं सीमाओं पर टूट जाती हैं।

उपयोगकर्ताओं के लिए, यह बुनियादी सुरक्षा नियमों को और मजबूत करता है:

• ब्राउज़र एक्सटेंशन को उच्च जोखिम वाले सॉफ़्टवेयर के रूप में मानें।
• समस्या निवारण जारी होते ही तुरंत अपडेट करें
• यदि वॉलेट के असुरक्षित होने की आशंका हो तो धनराशि स्थानांतरित करें
• कभी भी खुले हुए सीड वाक्यांशों का पुनः उपयोग न करें

वॉलेट प्रदाताओं के लिए, सबक रिलीज़ सुरक्षा के बारे में है। एपीआई कुंजी, बिल्ड पाइपलाइन और स्टोर क्रेडेंशियल अब हमले के प्रमुख लक्ष्य हैं।

निष्कर्ष

ट्रस्ट वॉलेट एक्सटेंशन से जुड़े 7 मिलियन डॉलर के हैक का कारण सप्लाई-चेन में सेंधमारी थी, न कि उपयोगकर्ता की गलती। क्रोम एक्सटेंशन के संस्करण 2.68 में एम्बेडेड दुर्भावनापूर्ण कोड ने सीड फ्रेज़ को इकट्ठा किया और कई ब्लॉकचेन में वॉलेट खाली कर दिए। 

रस्ट वॉलेट ने प्रभावित संस्करण को हटाकर, एक समाधान जारी करके और पूर्ण प्रतिपूर्ति का वादा करके जवाब दिया। यह घटना इस बात को रेखांकित करती है कि ब्राउज़र एक्सटेंशन क्रिप्टो में एक महत्वपूर्ण आक्रमण क्षेत्र बने हुए हैं और उपयोगकर्ताओं और डेवलपर्स दोनों को वितरण सुरक्षा को निजी कुंजी प्रबंधन के समान गंभीरता से लेना चाहिए।

संसाधन

1. X पर ट्रस्ट वॉलेट: 26 दिसंबर को घोषणा

2. X पर स्लोमिस्ट की पोस्टट्रस्ट वॉलेट एक्सप्लॉइट पर रिपोर्ट

3. X पर पेकशील्ड की पोस्टट्रस्ट वॉलेट एक्सप्लॉइट पर :