સેફ મલ્ટી-સિગ્નેચર વોલેટે જણાવ્યું હતું કે ગયા મહિને, દુબઈ સ્થિત સેન્ટ્રલ એક્સચેન્જ બાયબિટ ખાતે $1.4 બિલિયન ઇથેરિયમ હેઇસ્ટ એક ચેડા થયેલા લેપટોપને કારણે થયું હતું.
સ્વતંત્ર સ્ત્રોતોમાંથી અનેક અહેવાલો પછી એ તરફ ધ્યાન દોર્યું કે દૂષિત કોડ ઈન્જેક્શન સેફ, મેન્ડિયન્ટના સુરક્ષા નિષ્ણાતો સાથે મળીને ગુરુવારે વધારાની વિગતો જાહેર કરી. તેમણે કહ્યું કે તપાસ નીચેના નિષ્કર્ષ પર પહોંચી છે: "મહત્વપૂર્ણ ચેકપોઇન્ટ."
"અમે આ તારણો પારદર્શિતાની ભાવનામાં રજૂ કરીએ છીએ અને શીખેલા મુખ્ય પાઠોને પ્રકાશિત કરીએ છીએ, સાથે સાથે વ્યાપક સમુદાયને આ ઘટનામાંથી શીખવા અને સંરક્ષણને મજબૂત બનાવવા માટે કાર્યવાહી કરવા હાકલ કરીએ છીએ," તે X પર પોસ્ટ કરવામાં આવ્યું હતું. (પહેલાં ટ્વિટર). "અમે ભારપૂર્વક કહેવા માંગીએ છીએ કે સેંકડો કલાકોના વિશ્લેષણ પહેલાથી જ હાથ ધરવામાં આવ્યા હોવા છતાં, હજુ પણ વધુ કામ કરવાનું બાકી છે."
તપાસના મુખ્ય તારણો દર્શાવે છે કે 4 ફેબ્રુઆરીના રોજ સેફ હાઇ-લેવલ ડેવલપરના વર્કસ્ટેશન સાથે ચેડા કરવામાં આવ્યા હતા જ્યારે તેણે ડોકર પ્રોજેક્ટ અથવા લાઇટવેઇટ એપ્લિકેશન સાથે દુર્ભાવનાપૂર્ણ રીતે ક્રિયાપ્રતિક્રિયા કરી હતી.
ત્યાંથી, હેકર્સ - જે ઓન-ચેઇન જાસૂસો અને FBI એ ઉત્તર કોરિયાના રાજ્ય-પ્રાયોજિત લાઝારસ હેકિંગ જૂથના હોવાનું જણાવ્યું છે - સેફના એમેઝોન વેબ સર્વિસીસ એકાઉન્ટ પર મલ્ટી-ફેક્ટર ઓથેન્ટિકેશનને બાયપાસ કરવામાં સક્ષમ હતા, "હાઇજેકિંગ" આ કરવા માટે, તમારે સક્રિય AWS સત્ર ટોકન્સનો ઉપયોગ કરવાની જરૂર છે.
વેબેક મશીન બતાવે છે કે 21 ફેબ્રુઆરીના રોજ, પ્રારંભિક સમાધાનના બે અઠવાડિયા પછી, સેફ સાઇટ પર દૂષિત JavaScript કોડ ઉમેરવામાં આવ્યો હતો, જેના પરિણામે બાયબિટ નબળાઈ આવી હતી.
શોષણની શોધ થઈ ત્યારથી, સેફે વધુ મજબૂત સુરક્ષા પગલાં અમલમાં મૂક્યા છે. આમાં તમામ માળખાગત સુવિધાઓનું રીસેટ, વ્યવહારો હેશ ચકાસવા માટે UI સુધારાઓ અને દૂષિત વ્યવહાર શોધમાં વધારો શામેલ છે.
સેફનું તારણ છે કે વપરાશકર્તાઓએ વધુ સારી રીતે પુષ્ટિ કરવાની જરૂર છે કે તેઓ જે વ્યવહારોને મંજૂરી આપે છે અને સહી કરે છે તેનું ઇચ્છિત પરિણામ આવે છે.
"હાલમાં વ્યવહાર પર હસ્તાક્ષર કરવાની ક્રિયા એ બચાવની છેલ્લી હરોળ છે, અને તે ફક્ત ત્યારે જ અસરકારક બની શકે છે જો વપરાશકર્તા સમજી શકે કે તેઓ શું સહી કરી રહ્યા છે," પેઢીએ જણાવ્યું. "વપરાશકર્તાઓને તેમના વ્યવહારો સુરક્ષિત કરવામાં સહાય કરવા માટે, સેફે એક પ્રકાશિત કર્યું છે વ્યાપક માર્ગદર્શિકા સહી કરતા પહેલા વ્યવહારોની ચકાસણી કેવી રીતે કરવી તે અંગે ચર્ચા કરીશું અને નજીકના ભવિષ્યમાં આ પ્રક્રિયાને સેફના ઉપયોગનો ઘર્ષણ રહિત ભાગ બનાવવા માટે વધુ પગલાં લઈશું.”
બાયબિટ હેક હતું સૌથી મોટો ક્રિપ્ટો હેક હંમેશા. એક્સચેન્જ ચોરાયેલા ભંડોળ પર સક્રિયપણે નજર રાખે છે, અને ઓફર કરે છે $૧૪૦ મિલિયનના મૂલ્યના બક્ષિસો જેઓ તેમને ટ્રેક કરી શકે છે અને તેમની પ્રગતિ અટકાવી શકે છે.
એન્ડ્રુ હેવર્ડ સંપાદક છે
