A black device in a green sealed pouch beside a

फर्जी हार्डवेयर वॉलेट स्कैम: "माइग्रेशन ट्रैप" से बचें

By AI News Crypto Editorial Team9 मिनट का पठन

फर्जी हार्डवेयर वॉलेट पत्र धोखाधड़ी भौतिक मेल का उपयोग करके लेजर, ट्रेज़ोर और अन्य ब्रांडों की नकल करती है, फिर प्राप्तकर्ताओं पर "सुरक्षा प्रतिस्थापन" या "फर्मवेयर अपग्रेड" के लिए दबाव डालती है जो उनके बीज वाक्यांश को निकालती है। एक बार जब वे 12, 18, या 24 शब्द लीक हो जाते हैं, तो हमलावर कहीं और वॉलेट को फिर से बना सकते हैं और ऐसे लेनदेन में फंड स्थानांतरित कर सकते हैं जो सामान्यतः अपरिवर्तनीय होते हैं।

मुख्य निष्कर्ष

  • ये धोखाधड़ी एक दो-चरणीय "माइग्रेशन ट्रैप" हैं: एक भौतिक पत्र या पैकेज प्राधिकरण का निर्माण करता है, फिर एक मजबूर पुनर्प्राप्ति या आयात चरण पकड़ लेता है।बीज वाक्यांश
  • हमलावर को एक को तोड़ने की आवश्यकता नहीं हैहार्डवेयर वॉलेटकी क्रिप्टोग्राफी। उन्हें बस जरूरत हैबीज वाक्यांश, जिसे वैध वॉलेट कंपनियों की आवश्यकता नहीं होती और न ही वे इसके लिए पूछेंगी।
  • “सील” पैकेजिंग और ब्रांड-लुकिंग पत्र सुरक्षा संकेत नहीं हैं। उत्पत्ति और स्वतंत्र सत्यापन महत्वपूर्ण हैं।
  • यदि धन एक कुंजी लीक के बाद स्थानांतरित होता है, तो पुनर्प्राप्ति आमतौर पर असंभव होती है, भले ही जांचकर्ता ट्रेल का पता लगा सकें, इसलिए रोकथाम प्रतिक्रिया से बेहतर है।

फर्जी वॉलेट पत्र धोखाधड़ी कैसे काम करती है

खेल शारीरिक मेल के साथ शुरू होता है क्योंकि यह उन मानसिक स्पैम फ़िल्टरों को बायपास करता है जो लोग ईमेल और डीएम के लिए उपयोग करते हैं। एक ब्रांड-लुकिंग स्टेशनरी पर पत्र, कभी-कभी एक अनचाहे उपकरण के साथ जोड़ा जाता है, यह भावना पैदा करता है कि एक ज्ञात निर्माता आधिकारिक समाधान चला रहा है। यही कारण है कि इस पैटर्न को अक्सर भौतिक फ़िशिंग के रूप में वर्णित किया जाता है: वितरण विधि ऑफ़लाइन है, लेकिन पेलोड अभी भी एक फ़िशिंग वर्कफ़्लो है।

धोखाधड़ी की संरचना “फर्जी लेजर पत्र” और “ट्रेज़ोर पत्र धोखाधड़ी” रूपांतरों में समान है। पत्र एक उल्लंघन, शोषण, या तत्काल सुरक्षा मुद्दे का दावा करता है और प्राप्तकर्ता को अभी उजागर के रूप में फ्रेम करता है। PCMag ने एक संस्करण का दस्तावेजीकरण किया जहां धोखेबाजों ने एक पत्र के साथ फर्जी लेजर हार्डवेयर भेजा, जिसमें दावा किया गया कि पीड़ित का मौजूदा उपकरण सुरक्षित नहीं था। बिनेंस ने बाद में एक समान सेटअप का वर्णन किया: एक अनचाहा पैकेज जिसमें एक लेजर उपकरण और एक पत्र था जिसमें दावा किया गया था कि इसे लेजर डेटा उल्लंघन के कारण भेजा गया था, उपयोगकर्ता को अपने उपकरण को बदलने के लिए निर्देशित किया गया।

वहाँ से, पत्र पीड़ित को एक माइग्रेशन चरण में ले जाता है। निर्देश आमतौर पर एक यूआरएल या एक क्यूआर कोड वॉलेट धोखाधड़ी की ओर इशारा करते हैं जो एक समान साइट पर लैंड करता है या एक ऐप डाउनलोड करने के लिए प्रेरित करता है। पीड़ित को “सत्यापित करने”, “पुनर्स्थापित करने” या “आयात करने” के लिए कहा जाता है ताकि धन सुरक्षित हो सके। वह चरण समग्र उद्देश्य है। यदि पीड़ित बीज वाक्यांश को इंटरनेट से जुड़े किसी भी चीज़ में टाइप करता है, तोहार्डवेयर वॉलेटखरीद एक कुंजी-निकासी घटना में बदल गई है।

यही कारण है कि क्रिप्टो वॉलेट धोखाधड़ी की व्यापक श्रेणी और उनसे बचने के तरीके एक नियम पर वापस आते हैं। यदि सत्यापन स्वतंत्र रूप से खोजे गए आधिकारिक चैनलों के माध्यम से होता है और बीज वाक्यांश कभी भी पीड़ित की अपनी ऑफ़लाइन बैकअप प्रक्रिया से बाहर नहीं निकलता है, तो धोखाधड़ी गिर जाती है।

चोरी के पीछे का तंत्र

एक हार्डवेयर वॉलेट एक साइनिंग डिवाइस है, जादुई वॉल्ट नहीं। इसे इंटरनेट से जुड़े कंप्यूटर से प्राइवेट कीज़ को दूर रखने के लिए बनाया गया है जबकि लेनदेन पर हस्ताक्षर करने की अनुमति देता है। हार्डवेयर वॉलेट फ़िशिंग मेल का कमजोर बिंदु डिवाइस की क्रिप्टोग्राफी नहीं है। यह रिकवरी पथ है।

रिकवरी पथ बीज वाक्यांश है: आमतौर पर 12, 18, या 24 शब्द जो फंड को नियंत्रित करते हैं। Bitcoin मैनुअल यहां दो महत्वपूर्ण बिंदुओं पर स्पष्ट है। पहले, वे शब्द वॉलेट की कुंजी के रूप में कार्य करते हैं। दूसरे, वैध वॉलेट कंपनियों को उनकी आवश्यकता नहीं होती है और वे उनसे नहीं पूछेंगी। यही कारण है कि “अपने डिवाइस को बदलें” कथा इतनी प्रभावी है। यह एक कार्यप्रवाह में केवल उस गुप्त जानकारी के लिए अनुरोध को छिपाती है जो मायने रखती है जो ग्राहक सहायता की तरह लगती है।

एक बार जब हमलावर के पास बीज वाक्यांश होता है, तो बाकी सरल होता है। वे अपने स्वयं के डिवाइस या सॉफ़्टवेयर वॉलेट पर वॉलेट को पुनर्स्थापित कर सकते हैं और एसेट्स को बाहर ले जा सकते हैं। पीड़ित का मूल हार्डवेयर वॉलेट अभी भी भौतिक रूप से हाथ में हो सकता है और संकीर्ण अर्थ में “सुरक्षित” हो सकता है, जबकि फंड पहले से ही चले गए हैं क्योंकि हमलावर एक क्लोन किए गए वॉलेट स्थिति से काम कर रहा है।

“सील” पैकेजिंग इसे ठीक नहीं करती है। Cointelegraph ने एक मामले का वर्णन किया जहां एक उपयोगकर्ता ने TikTok के माध्यम से स्रोतित एक सील किए गए हार्डवेयर वॉलेट पर भरोसा किया और $6.9 मिलियन खो दिए। अंश पूरी तरह से यह विवरण नहीं देता कि क्या समझौता एक पूर्व-निर्मित बीज, एक हेरफेर किए गए सेटअप प्रवाह, या एक फिर से सील किए गए पैकेज से आया, लेकिन पाठ स्पष्ट है: पैकेजिंग प्रामाणिकता की क्रिप्टोग्राफिक गारंटी नहीं है।

जब कुंजी लीक होती हैं और धन स्थानांतरित होता है, तो रक्षक के विकल्प तेजी से कम हो जाते हैं। कॉइनटेलीग्राफ ने नोट किया कि स्लोमिस्ट चोरी किए गए फंड को ट्रैक कर सकता है, लेकिन वसूली की संभावना को बहुत कम बताया।कोल्ड वॉलेटकी लीक। यही असममिति है जिसका ये धोखाधड़ी लाभ उठाते हैं।

वास्तविक दुनिया के उदाहरण और सामान्य प्रलोभन

प्रेरणा परत विभिन्न चैनलों में उल्लेखनीय रूप से दोहराई जाती है। बिटकॉइन मैनुअल में फिशिंग अभियानों का वर्णन किया गया है जो "सुरक्षा अपडेट," "संपत्तियाँ उन्नयन के अधीन," और "संदिग्ध गतिविधि" जैसे तात्कालिकता के वाक्यांशों पर निर्भर करते हैं, जो ब्रांड अनुकरण के साथ जुड़े होते हैं। भौतिक पत्र संस्करण में वही स्क्रिप्ट का उपयोग किया गया है, बस इसे एक लिफाफे में भेजा गया है।

तीन प्रलेखित उदाहरण पैटर्न को मानचित्रित करते हैं:

1. 20 जून, 2021: PCMag ने रिपोर्ट किया कि धोखेबाज नकली Ledger उपकरण भेज रहे थे जिसमें एक पत्र था जो दावा करता था कि प्राप्तकर्ता का मौजूदा उपकरण असुरक्षित था। पत्र प्राधिकरण का प्रतीक है, और उपकरण विश्वास को बढ़ाने वाला है। 2.

24 जनवरी, 2024: Bitcoin Manual ने एक Trezor-नकली ईमेल घटना का वर्णन किया जो एक तृतीय-पक्ष प्रदाता के समझौते से जुड़ी थी और Blockaid ने उन पीड़ितों से $600,000 से अधिक की हानि की रिपोर्ट की जो प्रतिक्रिया दी। यह एक पत्र नहीं है, लेकिन यह दिखाता है कि "आधिकारिक दिखने वाले" ब्रांड संचार कितने प्रभावी हो सकते हैं, भले ही वे एक वैध डोमेन से उत्पन्न हों। 3.

12 अगस्त, 2025: Cointelegraph ने $6.9 मिलियन TikTok "सील्ड वॉलेट" हानि का उल्लेख किया और TikTok और समान सामाजिक प्लेटफार्मों को समझौता किए गए हार्डवेयर वॉलेट बिक्री और अन्य धोखाधड़ी के लिए सामान्य स्थानों के रूप में चिह्नित किया।

लुभावने एक क्रिया पर एकत्र होते हैं: पीड़ित को एक पुनर्प्राप्ति या आयात करने के लिए मजबूर करना जिसे उन्होंने शुरू नहीं किया। यही कारण है कि QR कोड इतनी बार दिखाई देते हैं। एक QR कोड URL टाइप करने की कठिनाई को हटा देता है, और यह कागज से फोन पर हस्तांतरण को एक सामान्य ऑनबोर्डिंग चरण की तरह महसूस कराता है।

कुछ प्रवाह भी बीज कैप्चर से सिग्नेचर फ़िशिंग तक बढ़ने की कोशिश करते हैं, जहाँ पीड़ित को एक लेनदेन या संदेश को स्वीकृत करने के लिए मजबूर किया जाता है जो पहुँच या अनुमतियाँ देता है। पत्र धोखाधड़ी की मुख्य जीत की शर्त अभी भी बीज वाक्यांश है, लेकिन जब हमलावर शब्द प्राप्त नहीं कर सकता है, तो हस्ताक्षर प्राप्त करने के लिए वही तात्कालिकता और प्राधिकरण के चालें उपयोग की जाती हैं।

उन्हें कैसे पहचानें और उनसे बचें

रक्षा "ज्यादा समझदार बनना" नहीं है। यह धोखाधड़ी के दो लाभों को हटाने के लिए है: घड़ी और चैनल। आपातकाल एक बढ़त है, और पत्र का QR कोड यालिंकयह ट्रैपडोर है।

एक सरल निर्णय प्रक्रिया अधिकांश नकली हार्डवेयर वॉलेट पत्र धोखाधड़ी को तोड़ देती है:

1. कार्यप्रवाह को तुरंत रोकें। QR कोड को स्कैन न करें, लिंक पर क्लिक न करें, और अनचाहे उपकरण को न लगाएं। 2. स्वतंत्र चैनलों के माध्यम से सत्यापित करें। एक ज्ञात-सही बुकमार्क का उपयोग करें या मैन्युअल रूप से निर्माता की आधिकारिक साइट पर जाएं, फिर वहां सुरक्षा नोटिस की तलाश करें। पत्र में मुद्रित संपर्क विवरण का उपयोग न करें। 3.

किसी भी अनुरोध को वेबसाइट या ऐप में बीज वाक्यांश दर्ज करने के लिए शत्रुतापूर्ण मानें। Bitcoin मैनुअल का नियम महत्वपूर्ण है: वैध वॉलेट कंपनियों को इसकी आवश्यकता नहीं होती और वे इसे नहीं मांगेंगी। 4.

"उपकरण प्रतिस्थापन" को "की प्रकटीकरण" से अलग करें। एक नया उपकरण बिना कभी भी बीज को एक वेब पृष्ठ में टाइप किए सेट किया जा सकता है। बीज वाक्यांश का उपयोग केवल तब किया जाना चाहिए जब मालिक एक विश्वसनीय सॉफ़्टवेयर का उपयोग करते हुए पुनर्प्राप्ति शुरू करता है, न कि किसी और द्वारा शुरू किए गए "सुरक्षा उन्नयन" के लिए।

यहां हार्डवेयर वॉलेट के सर्वोत्तम अभ्यास सामान्य चेकलिस्ट से हटकर एक दृष्टिकोण बन जाते हैं। मान लें कि आने वाले उपकरणों पर तब तक भरोसा नहीं किया जा सकता जब तक कि यह साबित न हो जाए, और मान लें कि आने वाले निर्देश शत्रुतापूर्ण हैं जब तक कि उनकी पुष्टि न हो जाए।

टिकटोक मामला उत्पत्ति के लिए एक स्पष्ट चेतावनी लेबल है। कॉइनटेलीग्राफ सोशल मीडिया प्लेटफार्मों, जिसमें टिकटोक शामिल है, को धोखाधड़ी और समझौता किए गए हार्डवेयर वॉलेट बिक्री के सामान्य स्थानों के रूप में वर्णित करता है। "सील किया हुआ" एक विपणन संकेत है, सुरक्षा प्रमाण नहीं।

किसी भी रोकथाम वार्तालाप के अंत के करीब, व्यापक ढांचा महत्वपूर्ण होता है: वॉलेट-धोखाधड़ी रोकथाम की आदतें। वही सत्यापन अनुशासन जो एक नकली लेजर पत्र को रोकता है, वह समान दिखने वाले डोमेन, दुर्भावनापूर्ण ऐप डाउनलोड और नकल किए गए समर्थन थ्रेड्स को भी रोकता है।

यदि आपने पहले से किसी के साथ बातचीत की है

नुकसान इस बात पर निर्भर करता है कि कौन सा कदम उठाया गया। एक पत्र खोलना विफलता का बिंदु नहीं है। विफलता का बिंदु रहस्यों को छोड़ना या हमलावर के निर्देशों के तहत स्थानांतरित होना है।

स्थिति को क्रम में प्राथमिकता दें:

1. यदि बीज वाक्यांश को किसी साइट या ऐप में टाइप किया गया था, तो इसे समझौता किया हुआ मानें। Bitcoin मैनुअल का मॉडल यहां कठोर है: जो भी 12, 18, या 24 शब्दों को नियंत्रित करता है, वह फंड्स को नियंत्रित करता है। 2.

यदि किसी लेनदेन पर हस्ताक्षर किए गए थे या किसी संदेश को दबाव में मंजूरी दी गई थी, तो मान लें कि हमलावर हस्ताक्षर फ़िशिंग का प्रयास कर रहा था और जो अधिकृत किया गया था, उसकी समीक्षा करें। इन प्रवाहों का लक्ष्य एक क्षणिक घबराहट को एक स्थायी अनुमति में बदलना है। 3.

यदि फंड पहले ही स्थानांतरित हो चुके हैं, तो पुनर्प्राप्ति की संभावना कम होने की अपेक्षा करें। Cointelegraph का उदाहरण नोट करता है कि SlowMist चोरी किए गए फंड को ट्रैक कर सकता है लेकिन कुंजी लीक के बाद पुनर्प्राप्ति की कोई उम्मीद नहीं बताई।

संभावित जोखिम के बाद तत्काल उद्देश्य आगे के नुकसान को रोकना है, पत्र के साथ बहस करना नहीं। इसका मतलब है कि किसी भी आगे के "अपग्रेड" कदमों को रोकना, स्वतंत्र रूप से पाए गए आधिकारिक चैनलों के माध्यम से सत्यापन करना, और किसी भी नए इनबाउंड संदेश को उसी अभियान का हिस्सा मानना।

असहज सच्चाई यह है कि प्रतिक्रिया आमतौर पर रोकथाम से बदतर होती है क्योंकि क्रिप्टो ट्रांसफर आमतौर पर एक बार पुष्टि होने के बाद अपरिवर्तनीय होते हैं। यही कारण है कि ये धोखाधड़ी एक अपरिवर्तनीय क्षण के चारों ओर बनाई गई हैं: डिवाइस से बीज वाक्यांश को निकालना और मालिक के नियंत्रण से बाहर करना।

लेना

मैंने लोगों को एक ब्रांडेड लिफाफे को Apple से सुरक्षा अपडेट की तरह मानते हुए देखा है। यह रिफ्लेक्स ठीक वही है जो नकली हार्डवेयर वॉलेट पत्र धोखाधड़ी डाक के साथ खरीद रही है। पत्र हैक नहीं है। हैक वह मजबूर "माइग्रेशन" वर्कफ़्लो है जो हार्डवेयर वॉलेट को बीज वाक्यांश निष्कर्षण घटना में बदल देता है।

सबसे महंगी भ्रांति यह है कि पैकेजिंग सुरक्षा सीमा है। Cointelegraph का $6.9 मिलियन TikTok "सील किया हुआ वॉलेट" नुकसान यह याद दिलाता है कि उत्पत्ति संकुचन को मात देती है। घड़ी को धीमा करें, अपने स्वयं के बुकमार्क से सत्यापन करें, और बीज वाक्यांश को उसकी जगह पर रखें। यदि उन शब्दों को कभी किसी साइट या ऐप में टाइप नहीं किया गया, तो धोखाधड़ी के पास चुराने के लिए कुछ नहीं है।

स्रोत

अक्सर पूछे जाने वाले प्रश्न

अगर मुझे एक पत्र मिलता है जिसमें कहा गया है कि मेरा लेजर या ट्रेज़र समझौता किया गया है, तो मुझे क्या करना चाहिए?

इसे डिफ़ॉल्ट रूप से शत्रुतापूर्ण मानें और कार्यप्रवाह को रोकें। पत्र में छपे किसी भी QR कोड या लिंक या फोन नंबर को स्कैन न करें। अपने स्वयं के बुकमार्क या मैनुअल टाइपिंग के माध्यम से निर्माता की आधिकारिक साइट पर जाकर सत्यापित करें और एक मेल खाते हुए सुरक्षा नोटिस की जांच करें।

क्या लेजर या ट्रेज़र समर्थन टीमें कभी आपके बीज वाक्यांश के लिए पूछती हैं?

नहीं। बीज वाक्यांश आमतौर पर 12, 18, या 24 शब्द होते हैं और फंड्स की कुंजी के रूप में कार्य करते हैं, और वैध वॉलेट कंपनियों को इसकी आवश्यकता नहीं होती और वे इसके लिए नहीं पूछेंगी। किसी वेबसाइट या ऐप में इसे दर्ज करने के लिए कोई भी अनुरोध एक लाल झंडा है।

क्या एक सील किया हुआ हार्डवेयर वॉलेट सुरक्षित है अगर यह अनखुला दिखता है?

ज़रूरी नहीं। Cointelegraph ने एक मामले का वर्णन किया जहां TikTok के माध्यम से प्राप्त एक सील किया हुआ हार्डवेयर वॉलेट पर भरोसा करने से $6.9 मिलियन का नुकसान हुआ। पैकेजिंग प्रामाणिकता का क्रिप्टोग्राफिक प्रमाण नहीं है, विशेष रूप से जब उपकरण सोशल मीडिया या मार्केटप्लेस से आता है।

QR कोड वॉलेट धोखाधड़ी हार्डवेयर वॉलेट पत्रों से कैसे जुड़ती है?

QR कोड अक्सर एक भौतिक पत्र से एक फ़िशिंग साइट या दुर्भावनापूर्ण डाउनलोड के लिए पुल होता है। यह घर्षण को कम करता है और “बदलें/अपग्रेड करें” प्रवाह को आधिकारिक महसूस कराता है। अंतिम लक्ष्य आमतौर पर आपको अपने बीज वाक्यांश को प्रकट करने या एक असुरक्षित क्रिया को मंजूरी देने के लिए प्रेरित करना होता है।

अगर मैंने किसी वेबसाइट पर अपना बीज वाक्यांश दर्ज किया, तो क्या मैं अपनी क्रिप्टो वापस पा सकता हूँ?

एक बार कुंजियाँ लीक हो जाने और फंड्स स्थानांतरित हो जाने पर पुनर्प्राप्ति अक्सर असंभव होती है। Cointelegraph नोट करता है कि SlowMist एक मामले में चुराए गए फंड्स का पता लगा सकता था लेकिन ठंडी वॉलेट कुंजी लीक के बाद पुनर्प्राप्ति की बहुत कम उम्मीद का वर्णन किया। प्राथमिकता आगे के नुकसान को रोकना और बीज वाक्यांश को समझौता किया हुआ मानना बन जाती है।