अक्सर कहा जाता है कि एक छोटी सी बात से एक बड़ी आग फूंकी जा सकती है। इस तुलना में डिजिटल क्षेत्र में भी यह बात सत्य है, जहां एक फिशिंग लिंक ने क्रिप्टोकरेंसी लैंडस्केप पर अव्यावस्था पैदा की, जिससे व्यापक भय और अनिश्चितता पैदा हुआ। दोषी? एक क्रिप्टो वॉलेट निर्माता, लेजर, के पूर्व कर्मचारी, जो फिशिंग घोटाले का शिकार हो गया।
सायबर हमले का पर्दाफाश
फिशिंग घोटाला तब शुरू हुआ जब पूर्व लेजर कर्मचारी का नाम और ईमेल पता प्रभावित कोड में दिखा। इससे पहले अनुमान था कि डेवलपर दोषी है। हालांकि, लेजर ने स्पष्ट किया कि हमला इसलिए हुआ क्योंकि पूर्व कर्मचारी फिशिंग घोटाले का शिकार हुआ था।
पूर्व कर्मचारी के NPMJS खाते तक पहुंच जाने के बाद, जो जावास्क्रिप्ट प्रोग्रामिंग भाषा के लिए एक पैकेज प्रबंधक है, हमलावर को बड़ा नुकसान पहुंचाने की स्थिति में आ गया। डेवलपर इन पैकेजों या लाइब्रेरीज का उपयोग प्रोजेक्ट बनाने के लिए करते हैं, जिसमें डीसेंट्रलाइज़्ड ऐप्स (dApps) भी शामिल हैं, बिना सब कुछ शुरू से कोड करने की आवश्यकता के।
पहुंच से शोषण तक
हमलावर को NPMJS की पहुंच हो जाने के बाद, उन्होंने लेजर कनेक्ट किट का एक हानिकारक संस्करण धकेल दिया। इसका मतलब था कि कनेक्ट किट का उपयोग करने वाले किसी भी प्रोजेक्ट में हानिकारक कोड हो सकता था, जो उपयोगकर्ताओं के फंड को हैकर के वॉलेट में रूट करने की क्षमता रखता था।
कनेक्ट किट के प्रभावित संस्करण 1.1.5, 1.1.6, और 1.1.7 थे, जिन्हें लेजर के NPM पेज से हटा दिया गया है। दुर्भाग्यवश, यह हानिकारक फ़ाइल लगभग पांच घंटे तक ऑनलाइन रही, लेकिन लेजर का मानना है कि फंड निकाले जाने का समय दो घंटे से कम रहा होगा।
परिणाम और पुनर्वापसी
घटना के बाद, लेजर ने कनेक्ट किट का नया संस्करण (1.1.8) धकेला और कहा कि इसका उपयोग कर रही सभी वॉलेट्स को स्वचालित रूप से अपडेट किया जाएगा। हालांकि, उन्होंने उपयोगकर्ताओं को सलाह दी कि वे एक dApp से कनेक्ट होने की कोशिश करने से पहले 24 घंटे तक प्रतीक्षा करें।
साइबर सुरक्षा कंपनी सोनाटाइप के क्षेत्र CTO इल्क्का तुरुनेन ने नुकसान के संभावित स्तर को उजागर किया, जिसमें उन्होंने बताया कि गिटहब पर अनेक संगठन हैं जो connect-kit-loader पर निर्भर करते हैं। यह घटना इस बात को जोर देती है कि डेवलपर्स को इस प्रकार के पैकेज का उपयोग करते समय सही स्वच्छता बरतने की महत्वता को।
इस घटना ने इस उद्योग में काफी अधिक चिंता पैदा की। एक्स (पूर्व में ट्विटर) पर निवेशक और सलाहकार आफ़ताब हुसैन ने अपनी चिंताएँ व्यक्त की, जोकि बताती है कि एक डेवलपर का एक फिशिंग लिंक पर क्लिक करने से लगभग हर महत्वपूर्ण एप का फ्रंटएंड खतरे में पड़ सकता है।
उसी बीच, स्थिरकोइन जारीकर्ता टेदर ने एक्सप्लॉइटर के द्वारा उपयोग किए गए वॉलेट से जुड़े फंड जमा कर दिए, जिनसे डीफ़ी उपयोगकर्ताओं से 484,000 डॉलर निकाल लिए गए थे। इस फिशिंग समूह के साथ जुड़े वॉलेट को एंजेल ड्रेनर के नाम से जाना जाता है, जिसने कई अन्य डीफ़ी हैक्स में शामिल रहा था।
क्रिप्टोकरेंसी के जटिल विश्व में सफर करते समय, cryptoview.io जैसे उपकरण हमें सूचित और सुरक्षित रखने में मदद कर सकते हैं। यह घटना क्रिप्टो लैंडस्केप में संभावित जोखिमों और सतर्कता की महत्वता की एक सख्त याद दिलाती है।
cryptoview.io के साथ सुरक्षित रहें, सूचित रहें और सुरक्षित रहें।
