22 مارچ کو، گوگل نے ایک جاری کیا۔ ہنگامی سیکورٹی اپ ڈیٹ اس کے کروم براؤزر کے لیے کیونکہ 3.2 بلین صارفین ممکنہ طور پر حملے کے خطرے میں تھے۔ اس اپ ڈیٹ نے ایک واحد حفاظتی کمزوری کو اجاگر کیا جس کا ہر ایک پر بڑا اثر ہو سکتا ہے، لیکن خاص طور پر کرپٹو صارفین۔
CVE-2022-1096 کے بارے میں اس مرحلے پر عوامی طور پر کچھ زیادہ معلوم نہیں ہے اس کے علاوہ یہ "V8 میں قسم کی الجھن" ہے۔ یہ کروم کے ذریعہ استعمال کردہ JavaScript انجن سے مراد ہے۔ سیکیورٹی کی خرابی میں اوپن سورس کرومیم پروجیکٹ شامل ہے اور یہ ممکن ہے کہ یہ اپ ڈیٹ صارفین کے براؤزر کے ذریعے اپنے کرپٹو 'ہاٹ والٹس' کے ہیک ہونے کی اطلاع دینے کے ردعمل کے طور پر آئے۔
اس ہفتے کے آغاز سے، آرتھر چیونگ، بانی ڈیفینس کیپٹل اور ایک معروف کرپٹو وہیل ٹویٹر کے ذریعے اعلان کیا کہ اس کا کرپٹو والیٹ ہیک ہو گیا تھا جس کی وجہ سے اسے ٹوکنز اور NFTs میں $1.5 ملین USD سے زیادہ کا نقصان ہوا۔
استحصال کی ممکنہ بنیادی وجہ کا پتہ چلا، یہ ایک ٹارگٹڈ سوشل انجینئرنگ حملہ ہے۔ ایک سپیئر فریشنگ ای میل موصول ہوئی جو واقعی ہمارے کسی پورٹکو کی طرف سے بھیجی گئی مواد کے ساتھ لگتا ہے جو عام صنعت سے متعلقہ مواد کی طرح لگتا ہے۔
وہ ممکنہ طور پر تمام کرپٹو پیپ کو نشانہ بنا رہے ہیں۔ pic.twitter.com/SegYBcoLX2
- آرتھر (@Arthur_0x) مارچ 22، 2022
ہیک نے اسے نشانہ بنایا جسے 'ہاٹ' والیٹ کہا جاتا ہے۔ ایک گرم پرس 'کولڈ' والیٹ کے بجائے براہ راست انٹرنیٹ سے منسلک ہوتا ہے، جسے ہارڈویئر والیٹ بھی کہا جاتا ہے، جہاں اثاثوں کو آف لائن اسٹور کیا جا سکتا ہے اور حفاظت اور حفاظت کے لیے آف لائن رہ سکتا ہے۔ اس طرح کے جدید ترین ہیکس دیکھنے کے بعد، یہ کہنا محفوظ ہے کہ کولڈ بٹوے میں کرپٹو کرنسیوں کو ذخیرہ کرنا کرپٹو کرنسیوں کو رکھنے کے لیے کہیں زیادہ محفوظ حل پیش کرتا ہے۔
ہفتے پہلے، لیجر نے صارفین کو خبردار کیا تھا کہ وہ ہوشیار رہیں بلائنڈ دستخط اور ان کے ساتھ آنے والے خطرات، جبکہ صارفین کو DApps (وکندریقرت شدہ ایپلی کیشنز) اور دیگر متعلقہ ویب سائٹس کو براؤز کرتے وقت احتیاط کے ساتھ آگے بڑھنے کا مشورہ دیتے رہتے ہیں۔
دو بنیادی گرم بٹوے جن کو نشانہ بنایا جا رہا تھا ان میں $1.5 ملین امریکی ڈالر سے زیادہ کی قیمت کا کرپٹو بیلنس تھا۔ جن میں سے زیادہ تر 'Azukis' مجموعہ کے تحت NFTs پر مشتمل تھے۔ یہ مقبول NFTs فوری طور پر اوپن سی پر مارکیٹ کی قیمت سے کم فروخت کیے گئے تھے، جس کے نتیجے میں ہیکر تیزی سے ممکنہ طریقے سے فنڈز حاصل کر رہا تھا۔
خوش قسمتی سے، رونا پوری کرپٹو کمیونٹی نے سنا اور جلد بازی میں کارروائیاں کی گئیں۔ سپورٹرز نے تیزی سے بلیک لسٹڈ ہیکر سے چوری شدہ Azuki NFTs میں سے کچھ حاصل کر لیے اور رحمدلانہ طور پر NFTs کو ان کی موجودہ مارکیٹ ویلیو پر دوبارہ فروخت کرنے کے بجائے بنیادی قیمت پر آرتھر کو واپس کرنے پر آمادہ ہو گئے، جس سے انہیں 7-8+ ETH (تقریباً $24 مالیت) کا فائدہ ہو گا۔ k USD) کے بدلے میں۔ تمام ہیرو ٹوپی نہیں پہنتے۔
مجموعی طور پر، ہیکر پانچ مشہور مجموعوں سے 78 مختلف NFTs حاصل کرنے میں کامیاب رہا۔ اور یہ سب کچھ نہیں ہے۔
نہ صرف Azuki's اور NFTs کے دیگر جمع کرنے پر توجہ مرکوز کرتے ہوئے، وہ 68 لپیٹے ہوئے ETH (wETH)، 4,349 اسٹیکڈ DYDX (stkDYDX) اور 1,578 LooksRare (LOOKS) ٹوکنز بھی چرانے میں کامیاب ہو گئے، جو کہ حملے کے وقت $293,281.64 تک پہنچ گئے۔
اس اعلان کے بعد، آرتھر نے خود اس استحصال کی گہرائی میں چھان بین کی اور دریافت کیا کہ ہیکر نے اسے بھیج کر اس کے بٹوے تک رسائی حاصل کی ہوگی جسے اس کے نام سے جانا جاتا ہے۔ سپیئر فریشنگ ای میلز. اکیلے اس نے انکشاف کیا کہ موصول ہونے والی ای میلز آرتھر کے Google Docs کے مواد تک مکمل رسائی کی درخواستیں جاری کر رہی تھیں۔ پہلی نظر میں یہ درخواستیں ان کے دو 'جائز' ذرائع سے لگتی تھیں۔ مشترکہ فائل کو کھولنے کے فوراً بعد، ہیکر نے اپنے گرم بٹوے کے بیج کے فقرے کا ایک غیر مجاز راستہ حاصل کر لیا۔ دوسرے لفظوں میں، ہاٹ والیٹ کے ماسٹر پاس ورڈ سے فوری طور پر سمجھوتہ کیا گیا، جس سے چور کو گوگل کروم سے منسلک تمام کرپٹو بٹوے تک رسائی دی گئی اور اس کے سامنے ہی محنت سے کمائے گئے اثاثوں کو چھین لیا۔
اسی طرح کے ہیکس اور کارنامے کرپٹو انڈسٹری کے لیے کوئی نئی بات نہیں۔ تاہم، اور یہ کہنا بہت بدقسمتی کی بات ہے، یہ حملے انتہائی پیچیدہ ہوتے جا رہے ہیں اور ایک جیسے تباہ کن واقعات انتہائی تجربہ کار صارفین کے ساتھ بھی ہو سکتے ہیں۔ المیہ کا یہ مظاہرہ اس بات کا ثبوت ہے کہ کوئی بھی اسی طرح کے سائبر حملوں کا شکار ہو سکتا ہے اور کوئی بھی چیز واقعی "100% محفوظ" نہیں ہے جیسا کہ کچھ دعویٰ کر سکتے ہیں۔
سائبر حملے کے شکار کی بازیابی کے طور پر بعد میں ٹویٹ کیا "میرے ساتھ ایسا ہونے کی امید نہیں تھی۔"
ٹھیک ہے یقین نہیں ہے کہ کیا ہوا ہے، اس کا پتہ لگانے کے لئے وقت لینے کی ضرورت ہے. میرے ساتھ بھی ایسا ہونے کی امید نہیں تھی۔
اندازہ لگائیں کہ اس کے بعد پرس کا مزید استعمال نہیں ہوگا۔
- آرتھر (@Arthur_0x) مارچ 22، 2022
ہیک کے بعد، آرتھر کی سفارشات یہ تھیں کہ سیکیورٹی کو ہمیشہ پہلے رکھا جائے۔ مثالوں میں ایک قابل اعتماد پاس ورڈ مینیجر کا استعمال کرنا، 2 فیکٹر کی توثیق کو فعال کرنا (سِم کارڈ کی جیل بریک اور سم سویپنگ سے بچنے کے لیے فون نمبرز کے ذریعے نہیں)، اور کولڈ سٹوریج والیٹس، یعنی لیجر ہارڈویئر والیٹس کو اپنانا تاکہ یہ یقینی بنایا جا سکے کہ آپ کے فنڈز ہمیشہ کے لیے SAFU ہیں۔
پیغام اربوں نے کروم براؤزر کو اپ ڈیٹ کرنے کا مشورہ دیا - خاص طور پر کرپٹو صارفین پہلے شائع کرپٹو سلیٹ.
- "
- 2 فیکٹر کی توثیق
- ہمارے بارے میں
- تک رسائی حاصل
- حاصل
- حاصل
- اعمال
- تمام
- اجازت دے رہا ہے
- اعلان
- کسی
- ایپلی کیشنز
- ارد گرد
- اثاثے
- کی توثیق
- کیا جا رہا ہے
- ارب
- اربوں
- براؤزر
- کیونکہ
- کروم
- کروم براؤزر
- کرومیم
- برف خانہ
- جمع اشیاء
- مجموعہ
- کس طرح
- کمیونٹی
- الجھن
- منسلک
- مواد
- سکتا ہے
- کرپٹو
- کریپٹو انڈسٹری
- کرپٹو پرس
- کرپٹٹو بٹوے
- کرپٹو کرنسیوں کی تجارت کرنا اب بھی ممکن ہے
- موجودہ
- سائبر حملہ
- سائبرٹیکس
- DApps
- مہذب
- وکندریقرت ایپلی کیشنز
- مختلف
- براہ راست
- دریافت
- دکھائیں
- dydx
- ای میل
- کو فعال کرنا
- انجن
- انجنیئرنگ
- خاص طور پر
- ETH
- واقعات
- سب
- ایکسچینج
- توقع ہے
- تجربہ کار
- دھماکہ
- اعداد و شمار
- پہلا
- غلطی
- فوربس
- بانی
- مکمل
- فنڈز
- جنرل
- نظر
- گوگل
- ہیک
- ہیک
- ہیکر
- hacks
- ہو
- ہارڈ ویئر
- ہارڈ ویئر والٹ
- ہارڈ ویئر والیٹ
- اونچائی
- روشنی ڈالی گئی
- انعقاد
- HTTPS
- اثر
- دیگر میں
- شامل
- صنعت
- انٹرنیٹ
- IT
- جاوا سکرپٹ
- Kaspersky
- جانا جاتا ہے
- لیجر
- امکان
- بنا
- میں کامیاب
- مینیجر
- انداز
- مارچ
- مارکیٹ
- دس لاکھ
- زیادہ
- سب سے زیادہ
- یعنی
- این ایف ٹیز
- تعداد
- پیش کرتے ہیں
- آف لائن
- کھولنے
- کھلا سمندر
- دیگر
- پاس ورڈ
- مقبول
- ممکن
- قیمت
- پرائمری
- منافع
- منصوبے
- درخواستوں
- جواب
- انکشاف
- رسک
- محفوظ
- محفوظ بنانے
- سیکورٹی
- حفاظتی نقص
- سیکیورٹی کا خطرہ
- بیج
- بیجوں کا جملہ
- مشترکہ
- YES
- سم کارڈ
- اسی طرح
- سماجی
- معاشرتی انجینرنگ
- فروخت
- حل
- کچھ
- بہتر
- خاص طور پر
- اسٹیج
- چوری
- ذخیرہ
- کے ذریعے
- وقت
- ٹوکن
- ٹویٹر
- اپ ڈیٹ کریں
- امریکی ڈالر
- صارفین
- قیمت
- خطرے کا سامنا
- W
- بٹوے
- بٹوے
- ویب سائٹ
- ہفتے
- کیا
- کیا ہے
- جبکہ
- الفاظ
- قابل