paint-brush
लेजर: मुद्राओं के असुरक्षित भंडारण और हस्तांतरण के लिए एक उपकरण (या इसके साथ पैसे कैसे खोएं)द्वारा@hackerclqhckc0c0000356yh2xd3ynv
1,648 रीडिंग
1,648 रीडिंग

लेजर: मुद्राओं के असुरक्षित भंडारण और हस्तांतरण के लिए एक उपकरण (या इसके साथ पैसे कैसे खोएं)

द्वारा 6m2024/01/05
Read on Terminal Reader

बहुत लंबा; पढ़ने के लिए

विशिष्ट रूप से सुरक्षित लेजर लाइव ऐप (आधिकारिक मोबाइल एप्लिकेशन) की बदौलत मैंने 100K यूएसडीटी कैसे खो दिया।
featured image - लेजर: मुद्राओं के असुरक्षित भंडारण और हस्तांतरण के लिए एक उपकरण (या इसके साथ पैसे कैसे खोएं)
undefined HackerNoon profile picture
0-item
1-item

पाठकों को नमस्कार. मुझे लगता है कि यदि आप यह लेख पढ़ रहे हैं, तो आप किसी तरह से क्रिप्टोकरेंसी से जुड़े हुए हैं। या लेजर के बारे में सुना है. मुझे उम्मीद है कि यह लेख आपको सुरक्षित रहने में मदद करेगा। आख़िरकार, लेजर स्वयं अपने उपयोगकर्ताओं की क्रिप्टो परिसंपत्तियों की सुरक्षा के बारे में चिंतित नहीं है।


मैं अपनी स्थिति का वर्णन करूंगा, कैसे मैंने विशिष्ट रूप से सुरक्षित लेजर लाइव ऐप (आधिकारिक मोबाइल एप्लिकेशन) की बदौलत 100K यूएसडीटी खो दिया।


"अपने क्रिप्टो को सुरक्षित करने का सबसे स्मार्ट तरीका" - उनकी आधिकारिक वेबसाइट पर नारा घोषित किया गया है।


"6 मिलियन से अधिक ग्राहकों द्वारा विश्वसनीय" - और क्रिप्टो क्षेत्र के लिए उपयोगकर्ताओं की एक महत्वपूर्ण संख्या।"


मैं यह नहीं आंक सकता कि बटुआ कितना सुरक्षित है। मैं लेजर नैनो एक्स का उपयोग करता हूं। और अगर उनकी वेबसाइट पर विश्वास किया जाए, तो यह उनके शस्त्रागार में सबसे लोकप्रिय वॉलेट है।


हैकर्स के लिए साथी


तो चलो शुरू हो जाओ। जैसा कि हुआ, यह घटना उनके लेजर किट की हैकिंग के कुछ ही दिनों बाद हुई। आश्चर्य की बात नहीं, क्योंकि सुरक्षा उनकी सर्वोच्च प्राथमिकता से बहुत दूर है।


लेकिन मेरी कहानी उनके लेजर लाइव के बारे में है - "आपके लेजर उपकरणों के लिए साथी क्रिप्टो ऐप"।

एकमात्र सवाल यह है कि क्या यह उपयोगकर्ताओं के लिए या हैकर्स के लिए एक साथी है?


बात यह है कि, मुझे अपने एक पते पर 140K यूएसडीटी स्थानांतरित करने की आवश्यकता थी। मैंने इसे दो चरणों में करने का निर्णय लिया: पहले, मैंने 40K ट्रांसफर किया, और फिर मैंने शेष 100K ट्रांसफर करने की योजना बनाई। मुझे आश्चर्य हुआ, 100K यूएसडीटी लेनदेन पूरा नहीं हुआ और पीले स्टेटस 'सेंडिंग' -100,000 यूएसडीटी के साथ ऐप में अटका हुआ था।


घोटाला लेनदेन की स्थिति भेजी जा रही है (स्क्रीन पर रूसी भाषा के लिए क्षमा करें)


मेरा पहला विचार था, 'शायद लेनदेन शुल्क का भुगतान करने के लिए पर्याप्त टीआरएक्स नहीं है,' क्योंकि लेजर लाइव में प्रत्येक लेनदेन के साथ कष्टप्रद संदेश आता है 'ऊर्जा आवश्यकता से कम है। आप फीस के रूप में 50 TRX तक का भुगतान कर सकते हैं।' यह तथाकथित ऊर्जा टीआरएक्स को दांव पर लगाकर अर्जित की जाती है। ट्रॉन नेटवर्क में शुल्क का भुगतान इस ऊर्जा या टीआरएक्स टोकन का उपयोग करके किया जा सकता है। जब उपयोगकर्ता गैस भुगतान के लिए टीआरएक्स का उपयोग करने की योजना बनाते हैं तो उन्हें लगातार ऊर्जा के बारे में जानकारी देखने की आवश्यकता क्यों होती है यह स्पष्ट नहीं है। लेकिन यह बात अलग है।


इसके बाद, मैंने अपना टीआरएक्स टॉप अप किया, वापस गया और फिर मैंने अपनी घातक गलती की। बेशक, अगर रचनाकारों को वास्तव में सुरक्षा की परवाह होती, तो उन्होंने ऐप में कई बदलाव किए होते, जिनके बारे में मैं बाद में लिखूंगा।


मैंने उस लेन-देन पर क्लिक किया जो 'भेजा जा रहा है' स्थिति और -100,000 यूएसडीटी की राशि के साथ अटका हुआ था।


किसने सोचा होगा कि मेरे व्यक्तिगत खाते में ऐसा लेनदेन - वास्तव में मेरा नहीं था? स्वाभाविक रूप से, मैंने पते की शुरुआत और अंत अपने से मेल खाते हुए देखा, लेकिन मैंने पते के मध्य की जाँच नहीं की।


'यह मेरे व्यक्तिगत खाते में है, स्टेटस सेंडिंग के साथ,' मैंने सोचा। और उसी समय, मेरे मन में यह विचार आया, 'क्या ऐसे वायरस नहीं हैं जो क्लिपबोर्ड से डेटा स्वैप कर देते हैं?'


मैंने कॉपी किए गए पते की तुलना अपने द्वारा चिपकाए गए पते से की - सभी अच्छे। केवल, मुझे नहीं पता था कि मेरे बटुए में घोटाला लेनदेन मेरे व्यक्तिगत खाते में प्रदर्शित किया जा सकता है। विशेषकर 'भेजा जा रहा है' स्थिति के साथ।


और जैसा कि आप अनुमान लगा सकते हैं, दोस्तों, मैंने लेनदेन की पुष्टि की और कुछ हैकर को 100K USDT उपहार में दिया। कुछ ही सेकंड में, वे पहले से ही एक मिक्सर के माध्यम से चले गए थे।


यूएसडीटी का रास्ता चुरा लिया

"क्या घोटाले वाले लेनदेन अक्सर हमारे इतिहास में दिखाई देते हैं? तो फिर लोगों को पते की प्रतिलिपि बनाने की क्षमता दें।"


मेरा वांछित निकासी पता: TKnjLgWCY5200001tKDZSLREpD1mTdFaaX (मैंने मध्य को शून्य से बदल दिया है)


घोटाले का पता: TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX


TX आईडी: 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5


लेजर, इतना विचारशील होने के कारण, न केवल घोटाले वाले लेनदेन को प्रदर्शित करता है बल्कि इतिहास से पते को आसानी से कॉपी करने में भी मदद करता है। कुछ ही घंटों बाद, लेनदेन हेडर 'भेजा जा रहा है' और -100,000 यूएसडीटी गायब हो गया। लेन-देन डमी बन गया. बहुत दिलचस्प मामला है.

अंक

तो, इस लेख का मतलब क्या है? दुनिया में कई धोखेबाज हैं और क्रिप्टो क्षेत्र में उनकी संख्या अनगिनत है। यह हैकर्स, घोटालेबाजों, चोरों के लिए स्वर्ग है। मैं लेजर को ही एक गैरजिम्मेदार कंपनी मानता हूं। और अब मुझे समझ में आया कि क्यों कई लोग लेजर का उपयोग करने के बाद इसका उपयोग करने से इनकार कर देते हैं। इंटरनेट पर लोगों द्वारा इसे कूड़े में फेंकने के बहुत सारे वीडियो हैं।


और जैसा कि आप समझ सकते हैं, ऐसे मामले अक्सर लोगों के साथ घटित होते रहते हैं। क्या लेजर इन सुरक्षा खामियों को दूर करने के लिए कदम उठा सकता है? बिल्कुल। लेकिन किसी कारण से, वे ऐसा नहीं करते। शायद यह उनके लिए लाभदायक नहीं है?


वे निम्नलिखित कदम क्यों नहीं उठाते:

1. लेन-देन इतिहास (सबसे बुनियादी विधि) से पते की प्रतिलिपि बनाने की क्षमता हटा दें।

2. पता फ़िल्टरिंग जोड़ें.

3. घोटाले वाले लेनदेन को हाइलाइट करें (जैसा कि कई खोजकर्ता और सेवाएँ करते हैं)।

4. स्वीकृत पतों की एक सूची जोड़ें (जहां उपयोगकर्ता एक्सचेंजों और अन्य प्लेटफार्मों के समान 'श्वेत पते' जोड़ता है। इस सूची के बाहर किसी पते पर भेजते समय, एक पुष्टिकरण विंडो दिखाई देनी चाहिए, जहां पता बड़े फ़ॉन्ट में लिखा हो, जिसमें बताया गया हो) 'पता आपके स्वीकृत पतों की सूची में नहीं है', और इसे पूरी तरह से दोबारा जांचने की अनुशंसा की जाती है।

5. एक ही पते पर बार-बार बातचीत के लिए - इसे अक्सर उपयोग किए जाने वाले पतों की सूची में जोड़ें।


इसके बजाय, उनके पास ऐप में विभिन्न स्टेकिंग विविधताओं, उनके रेफरल सिस्टम और बहुत कुछ के बारे में बहुत सारे विज्ञापन हैं।


लेजर सपोर्ट इसे 'एड्रेस पॉइज़निंग' (एड्रेस पॉइज़निंग) कहता है। यह बहुत लोकप्रिय चीज़ है.


यहां उनके लेख का लिंक दिया गया है , जिसे आखिरी बार अगस्त 2023 में अपडेट किया गया था। तब से लगभग 5 महीने बीत चुके हैं, और कंपनी ने कमजोरियों को दूर करने की दिशा में कोई कदम नहीं उठाया है।


यहां उनका एक और लेख है , जहां उनके सॉफ्टवेयर आर्किटेक्ट एड्रेस पॉइज़निंग की प्रक्रिया का वर्णन करते हैं। लेकिन इसमें कहा गया है कि हमलावर लोगों के पते से शून्य राशि वाले ट्रांसफर टोकन का उपयोग करते हैं। माना जाता है कि, लेजर अपनी जवाबी कार्रवाई प्रणाली में लगातार सुधार कर रहा है। लेकिन मेरे मामले में, स्थानांतरण बिल्कुल भी शून्य नहीं था। यह हस्तांतरण की राशि से बिल्कुल मेल खा रहा था।


बेशक, अपने प्रतिक्रिया पत्र में, समर्थन ने उपयोगकर्ता अनुबंध का एक लिंक संलग्न किया है। स्वाभाविक रूप से, इसमें कंपनी की ओर से एक अस्वीकरण शामिल है, साथ ही सभी जिम्मेदारी उपयोगकर्ता पर डाल दी गई है। इसलिए यदि लेजर लाइव ऐप में आपको 'धन भेजने के लिए आपका पता यहां है' वाली विंडो मिलती है, जहां कंपनी धन भेजने के लिए अपना पता डालती है - तो यह आपकी और केवल आपकी जिम्मेदारी है कि आपने दोबारा जांच नहीं की। इससे कोई फर्क नहीं पड़ता कि ऐप में क्या लिखा है.


मैं अपने मामले को बिल्कुल समान मानता हूं - ऐप में एक घोटाला लेनदेन चिह्नित किया गया था:

  • लंबित स्थिति के साथ,
  • मिलान लेनदेन राशि - 100,000 यूएसडीटी।


अधिकांश उपयोगकर्ता इस लेनदेन को अपने पते से भेजा गया मानेंगे और सोचेंगे कि यह निष्पादन के लिए कतार में है (या निष्पादित करने में विफल रहा है)।


और अंत में। हम उत्पाद के किस व्यापक वितरण के बारे में बात कर सकते हैं? उनकी राय में, इसका उपयोग करने वाला हर कोई एड्रेस पॉइज़निंग के बारे में जानता है या जानना चाहिए। मुझे उम्मीद है कि मेरे आर्टिकल के बाद आप लेजर का इस्तेमाल बंद कर देंगे. और यदि आप केवल इस पर विचार कर रहे थे, तो आप इस विचार को त्याग देंगे।


उदाहरण के तौर पर मोबाइल बैंकिंग को लें। यदि आप अपनी संपर्क सूची से किसी को चुनते हैं और उन्हें पैसे ट्रांसफर करते हैं - तो क्या ऐसी स्थिति हो सकती है जहां बैंक का ऐप उन क्रेडेंशियल्स के साथ किसी और का विवरण दिखाता है? मैं कंपनी पर मुकदमा करने और नियामक अधिकारियों के पास शिकायत दर्ज करने की योजना बना रहा हूं। ऐसी अराजकता नहीं होनी चाहिए. या तो उन्हें अपने वित्तीय आवेदन की सुरक्षा की परवाह करनी चाहिए - या उन्हें जुर्माना भरना चाहिए और सैंडबॉक्स में खेलने के लिए चले जाना चाहिए।


पुनश्च: पढ़ने के लिए धन्यवाद! लेन-देन भेजते समय सावधान और सतर्क रहें। और उन सेवाओं और कंपनियों के पक्ष में चुनाव करें जो अपनी सेवा की सुरक्षा में रुचि रखते हैं और ग्राहकों के लाभ के लिए काम करते हैं।


मेरे लिए, लेजर एक ऐसी कंपनी का उदाहरण है जो पूरी तरह से गैरजिम्मेदार है और ऐसी समस्याओं से आंखें मूंद लेती है। उनकी सेवाओं की लगातार हैकिंग और ग्राहकों का नुकसान (लेजर किट)। मेरा लक्ष्य इस मामले को अधिक से अधिक दर्शकों तक फैलाना है ताकि हर कोई अपने ग्राहकों के प्रति कंपनी के रवैये के बारे में जान सके।