मेटामास्क, ब्रेव, फैंटम द्वारा पैच किए गए क्रिप्टो वॉलेट्स को प्रभावित करने वाली 'राक्षसी' भेद्यता

15 जून को, क्रिप्टो वॉलेट प्रदान करने वाली कई कंपनियों - साथ ही शोषण का पता लगाने के लिए जिम्मेदार साइबरसेक फर्म - ने ब्राउज़र एक्सटेंशन-आधारित वॉलेट को प्रभावित करने वाले एक सुरक्षा मुद्दे के अस्तित्व और उसके बाद के पैचिंग की घोषणा की।

भेद्यता, जिसका कोडनेम "डेमोनिक" है, की खोज हैलबोर्न के सुरक्षा शोधकर्ताओं ने की थी, जिन्होंने पिछले साल प्रभावित कंपनियों से संपर्क किया था। वे अब अपने निष्कर्षों के साथ सार्वजनिक हो गए हैं, जिससे अंतिम उपयोगकर्ताओं को होने वाले नुकसान को सीमित करने के लिए प्रभावित पक्षों को पहले से ही समस्या को ठीक करने की अनुमति मिल गई है।

मेटामास्क, xDEFI, ब्रेव और फैंटम प्रभावित

राक्षसी शोषण - जिसे आधिकारिक तौर पर CVE-2022-32969 नाम दिया गया था - मूल रूप से था की खोज मई 2021 में हैलबोर्न द्वारा। इसने BIP39 निमोनिक्स का उपयोग करके वॉलेट को प्रभावित किया, जिससे रिकवरी वाक्यांशों को खराब अभिनेताओं द्वारा दूर से या समझौता किए गए उपकरणों का उपयोग करके इंटरसेप्ट किया जा सका, जिससे अंततः वॉलेट का शत्रुतापूर्ण अधिग्रहण हो गया।
हालाँकि, इस कारनामे को घटित होने के लिए घटनाओं के एक बहुत ही विशिष्ट अनुक्रम की आवश्यकता थी।

आरंभ करने के लिए, इस समस्या ने मोबाइल उपकरणों को प्रभावित नहीं किया। केवल अनएन्क्रिप्टेड डेस्कटॉप डिवाइस का उपयोग करने वाले वॉलेट मालिक ही असुरक्षित थे - और उन्हें एक समझौता किए गए डिवाइस से गुप्त पुनर्प्राप्ति वाक्यांश आयात करना होगा। अंत में, "गुप्त पुनर्प्राप्ति वाक्यांश दिखाएं" विकल्प का उपयोग करना होगा।

⚠हैलबॉर्न को प्रमुख सुरक्षा इनाम प्राप्त हुआ @ मीतामास्क क्रिटिकल डिस्कवरी के लिए⚠
हमने प्रभावित करने वाली एक गंभीर भेद्यता का खुलासा किया @ मीतामास्क, @बहादुर, @ फैंटम, @xdefi_wallet, और अन्य ब्राउज़र आधारित क्रिप्टो वॉलेट - एक संक्षिप्त? भेद्यता पर और कैसे रक्षा करें? अपने आप:

- हैलबोर्न (@HalbornSecurity) 15 जून 2022

हैलबोर्न तुरंत संपर्क किया चार कंपनियों को शोषण से खतरे में पाया गया, और ब्लैक हैट हैकर्स द्वारा खोजे जाने से पहले समस्या को ठीक करने के लिए गुप्त रूप से काम शुरू हुआ।

“भेद्यता की गंभीरता और प्रभावित उपयोगकर्ताओं की संख्या के कारण, तकनीकी विवरण तब तक गोपनीय रखा गया था जब तक कि प्रभावित वॉलेट प्रदाताओं से संपर्क करने का अच्छा प्रयास नहीं किया जा सके।

अब जब वॉलेट प्रदाताओं को समस्या का समाधान करने और अपने उपयोगकर्ताओं को सुरक्षित पुनर्प्राप्ति वाक्यांशों में स्थानांतरित करने का अवसर मिला है, तो हैलबोर्न भेद्यता के बारे में जागरूकता बढ़ाने और भविष्य में इसी तरह की घटनाओं को रोकने में मदद करने के लिए गहन विवरण प्रदान कर रहा है।

समस्या का समाधान हो गया, सतर्क लोगों को पुरस्कृत किया गया

मेटामास्क देव डैन फिनेले प्रकाशित एक ब्लॉग पोस्ट में उपयोगकर्ताओं से पैच से लाभ उठाने के लिए वॉलेट के नवीनतम संस्करण को अपडेट करने का आग्रह किया गया है, जो समस्या को समाप्त कर देता है। फिनले ने उनसे उपकरणों को हर समय एन्क्रिप्टेड रखते हुए सामान्य रूप से सुरक्षा पर ध्यान देने के लिए भी कहा।

ब्लॉग पोस्ट में मेटामास्क के बग बाउंटी प्रोग्राम के एक भाग के रूप में भेद्यता की खोज के लिए हैलबोर्न को $50k के भुगतान की भी घोषणा की गई, जो गंभीरता के आधार पर $1k और $50k के बीच राशि का भुगतान करता है।

फैंटम ने भी इस मामले पर एक बयान जारी किया, इस बात की पुष्टि अप्रैल 2022 तक इसके उपयोगकर्ताओं के लिए भेद्यता को ठीक कर दिया गया था। कंपनी ने फैंटम की साइबरसेक टीम में हैलबोर्न की खोज के पीछे के विशेषज्ञ ओसामा अमरी का भी स्वागत किया।

1/ अप्रैल 2022 तक, फैंटम उपयोगकर्ता क्रिप्टो ब्राउज़र एक्सटेंशन में "राक्षसी" गंभीर भेद्यता से सुरक्षित हैं।

अगले सप्ताह एक और विस्तृत पैच आने वाला है और हमारा मानना ​​है कि यह सफल होगा @ फैंटम उद्योग में "राक्षसी" से सबसे सुरक्षित। https://t.co/bKE1olpzng

- फैंटम (@फैंटम) 15 जून 2022

इसमें शामिल सभी पक्षों ने संबंधित उपयोगकर्ताओं से यह सुनिश्चित करने का आग्रह किया कि उन्होंने वॉलेट के नवीनतम संस्करण में अपग्रेड कर लिया है और किसी भी अतिरिक्त समस्या के लिए संबंधित सुरक्षा टीमों से संपर्क करें।