$7Mtrust वॉलेट हैक से पूरे उद्योग को चिंतित क्यों होना चाहिए?

दिसंबर के अंत में, एक नियमित ब्राउज़र अपडेट चुपचाप विफलता का कारण बन गया। ट्रस्ट वॉलेट एक्सटेंशन हैक, शाई-हुलुद मैलवेयर अभियान से जुड़ा हुआ, एक आपूर्ति श्रृंखला हमला था जो मूक बीज वाक्यांश घुसपैठ को सक्षम करता था। असली सवाल यह है कि भरोसेमंद सिस्टम ने ऐसा कैसे होने दिया।

क्या हुआ?

24 दिसंबर, 2025 को आधिकारिक वितरण चैनलों के माध्यम से ट्रस्ट वॉलेट ब्राउज़र एक्सटेंशन के लिए एक दुर्भावनापूर्ण अपडेट प्रकाशित किया गया था। उपयोगकर्ताओं ने अपडेट को सामान्य रूप से इंस्टॉल किया। अगले दो दिनों में, लगभग 2,500 वॉलेट से छेड़छाड़ की गई, जिससे लगभग 8.5 मिलियन डॉलर का नुकसान हुआ।

इस घटना का पता शाई-हुलुद मैलवेयर अभियान से लगाया गया, जो एक व्यापक प्रयास है जो डेवलपर वातावरण और निर्भरता से समझौता करके सॉफ्टवेयर आपूर्ति श्रृंखलाओं को लक्षित करता है। इस मामले में, परिवर्तित एक्सटेंशन ने बीज वाक्यांश घुसपैठ को सक्षम किया, जिससे हमलावरों को प्रभावित वॉलेट तक पूरी पहुंच मिल गई।

इससे क्या पता चला:

● दृश्यता अंतराल: रिलीज के बाद, इस बात की सीमित जानकारी थी कि एक्सटेंशन उपयोगकर्ता उपकरणों पर कैसे व्यवहार करता है या यह किस डेटा तक पहुंचता है।

● विखंडन: कोड विकास, निर्भरता, बिल्ड सिस्टम और वितरण प्लेटफ़ॉर्म स्वतंत्र रूप से संचालित होते हैं, जिसमें जोखिम का कोई साझा दृष्टिकोण नहीं होता है।

● वास्तविक समय प्रवर्तन का अभाव: अपडेट लाइव होने के बाद हानिकारक व्यवहार को रोकने में सक्षम कोई नियंत्रण नहीं था।

● विरासती बुनियादी ढाँचे की सीमाएँ: रिलीज़ प्रक्रियाएँ स्थैतिक अनुमोदन और दीर्घकालिक पहुँच पर निर्भर थीं, भले ही परिस्थितियाँ बदल गईं।

नियामक और कानूनी इंजीनियरिंग दूरदर्शी और ट्रस्टनोड वीकली के लेखक तपन संगल इसका वर्णन इस प्रकार करते हैं, ‘उपयोगकर्ताओं को धोखा नहीं दिया गया – आधिकारिक क्रोम वेब स्टोर एक्सटेंशन को हथियार बनाया गया था। यह शृंखला उतनी ही सुरक्षित है जितनी आखिरी डेवलपर जिसने कोड डाला था।’

सिस्टम स्तर पर आपूर्ति श्रृंखला जोखिम को संबोधित करना:

ट्रस्ट वॉलेट आपूर्ति श्रृंखला हमले ने एक बात स्पष्ट कर दी। सॉफ़्टवेयर सुरक्षा अब इस बात पर निर्भर करती है कि अपडेट, अनुमतियाँ और नियम सिस्टम के माध्यम से कैसे चलते हैं। एक बार जब उन रास्तों से समझौता हो जाता है, तो बीज वाक्यांश घुसपैठ जैसे जोखिमों को दोहराना आसान हो जाता है।

यह एक सिस्टम-स्तरीय चिंता है, क्योंकि यह बुनियादी ढांचे की परत में बैठता है जहां अनुमतियां, अपडेट और प्रवर्तन तर्क परिभाषित और प्रचारित होते हैं।

एमएआई लैब्स इसे तीन प्रणालियों के माध्यम से संबोधित करती है:

● क्वाला: सिस्टम के संचालन के हिस्से के रूप में अनुपालन, सहमति, एएमएल और प्रोग्रामयोग्य प्रवर्तन को संभालने के लिए बनाई गई एक ब्लॉकचेन सॉफ्टवेयर परत।

● कल्प स्टूडियो: अनुमति प्राप्त ब्लॉकचेन के निर्माण के लिए एक रूपरेखा जहां पहचान और पहुंच को डिजाइन द्वारा जाना जाता है।

● स्टॉक्स: बाजार और विनिमय सेटिंग्स में उपयोग किया जाता है, जहां व्यापारिक गतिविधि को संरचना और निरीक्षण की आवश्यकता होती है। यह बाजारों को स्वतंत्र लेनदेन के संग्रह के बजाय शासित प्रणालियों के रूप में मानता है।

शाई-हुलुद मैलवेयर अभियान ने यह स्पष्ट कर दिया कि केवल उपकरण ही पर्याप्त नहीं हैं। बुनियादी ढांचे के नियमों को लागू करने का तरीका यह निर्धारित करता है कि उल्लंघन फैलता है या रुक जाता है।

ट्रस्ट वॉलेट एक्सटेंशन हैक उद्योग के लिए क्या परिवर्तन करता है:

यह घटना उस बदलाव का संकेत देती है जहां विफलताएं होती हैं। हमले सॉफ्टवेयर आपूर्ति श्रृंखला में ऊपर की ओर बढ़ रहे हैं, जहां विश्वास डिफ़ॉल्ट रूप से विरासत में मिला है। समीक्षाएं, ऑडिट और नीतियां इस प्रकार के उल्लंघन को नहीं रोकती हैं। केवल सिस्टम डिज़ाइन ही करता है. हैक ने उस वास्तविकता को सामने ला दिया। इन्फ्रास्ट्रक्चर अब यह निर्धारित करता है कि एक विफलता से कितना नुकसान हो सकता है।

ट्रस्ट वॉलेट आपूर्ति श्रृंखला हमले के पीछे की बड़ी तस्वीर:

यहां जो हुआ वह असामान्य नहीं है. यह दिखाता है कि सॉफ़्टवेयर के निर्माण, अद्यतन और कई प्रणालियों में वितरित होने के कारण अब विफलताएँ कैसे सामने आती हैं। नियंत्रण बुनियादी ढांचे की ओर स्थानांतरित हो रहा है क्योंकि यहीं निर्णय प्रभावी ढंग से लिए जाते हैं। एक बार जब समझौता किया गया कोड विश्वसनीय रिलीज़ पथ में प्रवेश कर जाता है, तो समीक्षाएँ और नीतियाँ बहुत देर से आती हैं।