A computer monitor displaying a list of user

क्रिप्टो भेजने से पहले एड्रेस पॉइजनिंग कैसे पहचानें

By AI News Crypto Editorial Team8 मिनट का पठन

एड्रेस पॉइज़निंग एक लुकअलाइक एड्रेस स्कैम है जो आपके वॉलेट इतिहास को एक जाल में बदल देता है, इसलिए आप एक परिचित दिखने वाले एड्रेस को कॉपी करते हैं और असली फंड्स को एक हमलावर को भेज देते हैं। इसे पहचानने के लिए ज़ीरो वैल्यू ट्रांसफर या फेक टोकन जैसे पॉइज़न किए गए इतिहास के आर्टिफैक्ट्स को पहचानना होता है, फिर हर महत्वपूर्ण भेजने से पहले एक फुल-एड्रेस वेरिफिकेशन वर्कफ़्लो को लागू करना होता है।

मुख्य निष्कर्ष

  • एड्रेस पॉइज़निंगएक लुकअलाइकएड्रेसको आपके वॉलेट याब्लॉक एक्सप्लोररइतिहास में प्लांट करके काम करता है ताकि आप बाद में इसे कॉपी करें और गलत तरीके से फंड्स भेज दें।
  • दो सबसे सामान्य आर्टिफैक्ट्स फेक टोकन हैं जो मेजर्स (USDC/USDT) की नकल करते हैं औरज़ीरो वैल्यू ट्रांसफरऐसे प्रविष्टियाँ जो बिना मूल्य स्थानांतरित किए विश्वसनीय "भेजे गए" रिकॉर्ड बनाती हैं।
  • "पहले 4 / आखिरी 4" जांचें असली नियंत्रण नहीं हैं क्योंकि वैनिटी पते उन दृश्य खंडों से मेल खाने के लिए उत्पन्न किए जा सकते हैं।
  • आपकी दर्द सीमा से ऊपर के ट्रांसफर के लिए, बिल्कुल उसी सत्यापित पते पर एक छोटा परीक्षण भेजना सस्ता बीमा है, भले ही इसका मतलब होगैस का भुगतान करनादो बार।

कैसे पता जहर देना आपको धोखा देता है

एड्रेस पॉइज़निंग एक प्राइवेट-की समझौता कहानी नहीं है। चेन वही कर रही है जो वह हमेशा करती है, और हमलावर एक कार्यप्रवाह की गलती का फायदा उठा रहा है: एक सार्वजनिक लेनदेन फ़ीड को ऐसे मानना जैसे यह एक विश्वसनीय पता पुस्तक हो। यही कारण है कि यह क्रिप्टो वॉलेट धोखाधड़ी के व्यापक दायरे में आता है और इन्हें कैसे टाला जाए, भले ही कुछ भी "हैक" नहीं करता है।

यांत्रिकी सरल है। एक हमलावर एक वैनीटी पता बनाता है जो पहले से उपयोग किए गए एक वैध गंतव्य के समान दिखता है। फिर वे उस समान दिखने वाले पते को उन स्थानों पर दिखाने के लिए प्राप्त करते हैं जहाँ लोग कॉपी करते हैं, विशेष रूप से एक वॉलेट ऐप में लेनदेन इतिहास दृश्य या पहले से खुला ब्लॉक एक्सप्लोरर टैब। जब उपयोगकर्ता बाद में एक पुनरावृत्ति भुगतान या विनिमय निकासी करता है और इतिहास से कॉपी-पेस्ट करता है, तो हमलावर का पता वहाँ बैठा होता है, इंतज़ार कर रहा होता है।

Trezor का समर्थन मार्गदर्शन खतरे के मॉडल के बारे में स्पष्ट है: चिंता करने की कोई आवश्यकता नहीं हैनिजी कुंजीएक बुनियादी पते के जहर देने के परिदृश्य में लीक होना। हानि तब होती है जब धन गलत प्राप्तकर्ता को भेजा जाता है क्योंकि उपयोगकर्ता ने गलत लाइन आइटम कॉपी किया या वॉलेट पते की बहुत कम पुष्टि की।

धोखाधड़ी इसलिए बढ़ती है क्योंकि हमलावर आपके इतिहास में सस्ते में लिख सकते हैं। ट्रेज़र ने संकेत दिया हैEthereum और अन्य EVM नेटवर्क को सामान्य लक्ष्यों के रूप में, और नोट किया है कि कम शुल्क वाली श्रृंखलाएँ जैसेPolygon, Avalanche, और BNB चेन आकर्षक हैं क्योंकि कई पते पर स्पैम करना सस्ता है। यही मानसिकता में बदलाव है: आपका वॉलेट इतिहास एक अविश्वसनीय टेप है जिस पर कोई भी “प्रिंट” करने की कोशिश कर सकता है।

पहचानने के लिए सामान्य विषाक्तता पैटर्न

दो पैटर्न EVM श्रृंखलाओं पर बार-बार दिखाई देते हैं क्योंकि वे हमलावर द्वारा चाही गई सटीक UI कलाकृति बनाते हैं: एक संभावित रूप से सही दिखने वाली प्रविष्टि जिसे बाद में कॉपी किया जा सकता है।

पैटर्न एक नकली-टोकन मार्ग है। हमलावर एक बेकार टोकन अनुबंध तैनात करता है जो एक परिचित टिकर या नाम का उपयोग करता है, जैसे USDC या USDT, फिर ऐसे हस्तांतरण भेजता है जो वास्तविक गतिविधि के समान होते हैं। Trezor एक सामान्य संकेत का वर्णन करता है: एक वैध हस्तांतरण (उदाहरण के लिए, 5,300 USDC) के बाद, हमलावर एक नकली टोकन हस्तांतरण भेजता है जो वही राशि प्रदर्शित करता है ताकि इतिहास ऐसा दिखे जैसे कि उपयोगकर्ता ने पहले कुछ किया हो। Revoke.cash इसी विचार को इस तरह से प्रस्तुत करता है कि “ऐसा प्रतीत हो कि आपने वास्तव में किसी निश्चित पते पर टोकन भेजे हैं,” इसलिए प्राप्तकर्ता पंक्ति चारा बन जाती है।

पैटर्न दो शून्य मूल्य हस्तांतरण मार्ग है। यह एक “असफल” लेनदेन नहीं है। यह अक्सर एक जानबूझकर वैध घटना होती है जो आपके UI को विषाक्त करने के लिए मौजूद होती है। Revoke.cash बताता है कि यह बिना किसी महत्वपूर्ण चीज़ को मंजूरी दिए सफल क्यों हो सकता है: EVM टोकनों पर transferFrom लॉजिक का उपयोग करते हुए, जांच होती है कि राशि ≤ अनुमति है, और 0 तब भी पास होता है जब अनुमति 0 हो। परिणाम एक साफ-सुथरी “भेजा गया” प्रविष्टि होती है जिसमें एक प्राप्तकर्ता पता होता है जो एक वास्तविक पते के करीब होता है, लेकिन मूल्य शून्य होता है।

ये पैटर्न एक धूल हमले के साथ ओवरलैप कर सकते हैं इस अर्थ में कि दोनों सस्ते स्पैम हैं जो आपके इतिहास में आते हैं। अंतर इरादा है। धूल का उपयोग अक्सर पते को ट्रैक या क्लस्टर करने के लिए किया जाता है, जबकि पता विषाक्तता को गलत गंतव्य को कॉपी-पेस्ट करने के लिए इंजीनियर किया गया है।

वास्तव में काम करने वाले पते की जांच

एक उपयोगी रक्षा को ठीक उसी क्षण जीवित रहना चाहिए जब लोग क्लिप होते हैं: एक नियमित भेजने के दौरान कॉपी पेस्ट पता धोखा। इसका मतलब है कि जांच “पहले और अंतिम कुछ अक्षरों पर एक नज़र डालना” नहीं हो सकती। Revoke.cash स्पष्ट है कि पहले/अंतिम 4 अक्षर पर्याप्त नहीं हैं क्योंकि धोखेबाज उन खंडों से मेल खाने वाले पते उत्पन्न कर सकते हैं। Trezor की मार्गदर्शिका आगे बढ़ती है: सुनिश्चित होने का एकमात्र तरीका यह है कि हर अक्षर की जांच की जाए।

एक व्यावहारिक कार्यप्रवाह एक संचालन चेकलिस्ट की तरह दिखता है, न कि एक वाइब चेक। लक्ष्य एक सत्य का स्रोत पता मजबूर करना है, फिर हस्ताक्षर करने से पहले इसे अंत से अंत तक सत्यापित करना है।

1. पहचानें कि क्या पता इतिहास से आया है। यदि गंतव्य को लेनदेन सूची से कॉपी किया गया था, तो इसे डिफ़ॉल्ट रूप से संदिग्ध मानें और एक साफ स्रोत से प्रवाह को फिर से शुरू करें। 2. सत्य के स्रोत से गंतव्य को खींचें। एक विनिमय जमा के लिए, यह इस भेजने के लिए ताज़ा खोला गया विनिमय का जमा पृष्ठ है। एक व्यक्ति के लिए, यह प्राप्तकर्ता से एक ताज़ा संदेश है या यदि दोनों पक्ष इसका उपयोग करते हैं तो एक ENS नाम है। 3.

पूरे पते की तुलना करें, न कि एक स्निपेट। तुलना एक ऐसी जगह करें जो धोखा देना कठिन हो, आदर्श रूप से यदि एक हार्डवेयर वॉलेट का उपयोग कर रहे हैं तो हार्डवेयर वॉलेट पुष्टि स्क्रीन। 4. भेजने से पहले विषाक्तता कलाकृतियों के लिए हाल के इतिहास को स्कैन करें। विशेष रूप से एक शून्य मूल्य हस्तांतरण “भेजा गया” प्रविष्टि या एक संदिग्ध समान टोकन नाम के साथ टोकन हस्तांतरण की तलाश करें जो आपने उस काउंटरपार्टी को अंतिम बार भुगतान किया था। 5.

एक आकार नियम का उपयोग करें। यदि राशि महत्वपूर्ण है, तो उसी सत्यापित पते पर एक छोटा परीक्षण लेनदेन भेजें, फिर केवल तभी पूरी राशि भेजें जब परीक्षण पहुंच जाए।

यहां “हस्ताक्षर करने से पहले लेनदेन की पुष्टि कैसे करें” भी महत्वपूर्ण है। सत्यापन चरण केवल प्राप्तकर्ता नहीं है। यह नेटवर्क, संपत्ति, और अंतिम पुष्टि स्क्रीन है जो दिखाती है कि धन वास्तव में कहां जाता है।

पते फिर से उपयोग करने के लिए सुरक्षित तरीके

अधिकांश नुकसान उबाऊ ट्रांसफर पर होते हैं, न कि विदेशी पर। उपयोगकर्ता एक एक्सचेंज पर स्थिरकॉइन स्थानांतरित कर रहा है, फिर से उसी प्रतिपक्षी को भुगतान कर रहा है, या वॉलेट के बीच फंड को स्वीप कर रहा है। समाधान यह है कि लेनदेन इतिहास को संपर्क सूची के रूप में न माना जाए।

एक्सचेंज जमा और निकासी के लिए, सबसे सुरक्षित आदत दोहराव और थोड़ा परेशान करने वाली है: हर बार एक्सचेंज जमा पृष्ठ खोलें और वहां से पता कॉपी करें, बजाय इसके कि अपने वॉलेट इतिहास से एक पुराना पता फिर से उपयोग करें। Revoke.cash स्पष्ट रूप से इस “कभी भी अपने वॉलेट इतिहास या ब्लॉक एक्सप्लोरर को सत्य के स्रोत के रूप में उपयोग न करें” दृष्टिकोण की सिफारिश करता है।

एक ही व्यक्ति को दोहराने वाले भुगतान के लिए, सबसे साफ कार्यप्रवाह यह है कि पते को कहीं स्टोर करें जो यादृच्छिक तीसरे पक्ष द्वारा लिखने योग्य न हो। कुछ वॉलेट पता पुस्तिकाओं या व्हाइटलिस्ट का समर्थन करते हैं, और कुछ एक्सचेंज निकासी पते की अनुमति सूचियों का समर्थन करते हैं। कुंजी यह है कि रिकॉर्ड आपके द्वारा बनाया गया है, न कि जो कुछ भी ऑन-चेन दिखाई देता है।

अपने स्वयं के वॉलेट के बीच आत्म-स्थानांतरण के लिए, वही नियम लागू होता है। Trezor विशेष रूप से चेतावनी देता है कि केंद्रीकृत एक्सचेंज से Trezor डिवाइस पर फंड स्थानांतरित करते समय अपने लेनदेन इतिहास से अपने स्वयं के पते को कॉपी न करें। गंतव्य वॉलेट के लिए प्राप्त स्क्रीन का उपयोग करें और इसे डिवाइस पर सत्यापित करें।

यहां UI झंडे भी महत्वपूर्ण हैं। Trezor Suite में एक फ़िल्टरिंग तंत्र शामिल है जो इतिहास में संदिग्ध विषाक्त लेनदेन को धुंधला करता है और उन्हें असत्यापित के रूप में चिह्नित करता है। उन लेबलों को एक कठोर रोक के रूप में माना जाना चाहिए, न कि एक सुझाव के रूप में, क्योंकि धोखाधड़ी का पूरा उद्देश्य आपको UI द्वारा दिखाए गए पर भरोसा करने के लिए मजबूर करना है।

नुकसान नियंत्रण और रोकथाम की आदतें

एक विषाक्त इतिहास प्रविष्टि कुंजी चोरी के बारे में घबराने का कारण नहीं है। Trezor की मार्गदर्शिका स्पष्ट है कि पता विषाक्तता के लिए निजी कुंजी लीक की आवश्यकता नहीं होती है। तत्काल कार्य यह है कि अगली भेजने पर कार्यप्रवाह में कोई चूक न हो।

1. इतिहास को पते के स्रोत के रूप में उपयोग करना बंद करें। यदि कोई संदिग्ध प्रविष्टि दिखाई देती है, तो मान लें कि हमलावर आपके अगले कॉपी-पेस्ट को बीजित करने की कोशिश कर रहा है। 2. झंडा लगाए गए या अस्पष्टीकृत ट्रांसफर की अनदेखी करें। Trezor संदिग्ध के रूप में झंडा लगाए गए लेनदेन की अनदेखी करने और उन लेनदेन की अनदेखी करने की सिफारिश करता है जिन्हें आप स्पष्ट नहीं कर सकते। 3.

अपने “ज्ञात अच्छे” गंतव्यों को फिर से बनाएं। एक्सचेंज के लिए, एक्सचेंज UI से जमा पते को फिर से कॉपी करें। लोगों के लिए, पता को बैंड से बाहर फिर से पुष्टि करें। 4. आकार के लिए दो-चरण निष्पादन लागू करें। Trezor एक बड़े राशि से पहले एक छोटे परीक्षण लेनदेन की सिफारिश करता है, स्पष्ट व्यापार-ऑफ के साथ कि आप गैस दो बार चुका सकते हैं। 5.

कम-फीस श्रृंखलाओं को उच्च-शोर वातावरण के रूप में मानें। Trezor नोट करता है कि पॉलीगॉन, एवलांच, और BNB चेन अक्सर लक्षित होते हैं क्योंकि कई पते को बड़े पैमाने पर स्पैम करना सस्ता होता है।

व्यापारी-कोण वास्तविकता यह है कि यह उच्च-आवृत्ति स्पैम है, न कि एक किनारे का मामला। Ledger ने Ethereum और BNB चेन में 270 मिलियन से अधिक शून्य-मूल्य के ट्रांसफर प्रयासों और 83 मिलियन डॉलर के पुष्टि किए गए नुकसान का हवाला दिया। उन संचित आंकड़ों के पीछे की पद्धति प्रदान नहीं की गई है, लेकिन दिशा की बात सही है: हमला चलाना सस्ता है और केवल पीड़ितों के एक छोटे अंश की आवश्यकता होती है ताकि वे गलत भेजें।

किसी भी वॉलेट-सेक्योरिटी चेकलिस्ट के अंत के करीब, वही छतरी विषय वापस आता है: क्रिप्टो वॉलेट धोखाधड़ी और उनसे कैसे बचें। एड्रेस पॉइज़निंग वह संस्करण है जो लापरवाह निष्पादन को दंडित करता है, इसलिए रोकथाम की आदत यह है कि 'पूर्ण पते की पुष्टि करें, फिर आकार के लिए परीक्षण भेजें' को व्यापार से पहले आकार और स्थान की जांच करने के रूप में स्वचालित बनाना।

स्रोत

अक्सर पूछे जाने वाले प्रश्न

एड्रेस पॉइज़निंग स्कैम क्या है?

एड्रेस पॉइज़निंग स्कैम आपके वॉलेट या ब्लॉक एक्सप्लोरर इतिहास में एक समान दिखने वाला एड्रेस डालता है ताकि आप बाद में इसे कॉपी करें और असली फंड्स हमलावर को भेजें। यह आमतौर पर नकली टोकन या शून्य मूल्य के ट्रांसफर का उपयोग करके विश्वसनीय इतिहास प्रविष्टियाँ बनाता है। जबकि ब्लॉकचेन सामान्य रूप से कार्य कर सकता है, उपयोगकर्ता यूआई द्वारा धोखा खा जाता है।

क्या एक शून्य मूल्य का ट्रांसफर अपने आप में मेरे फंड्स चुरा सकता है?

एक शून्य मूल्य का ट्रांसफर मूल्य नहीं हिलाता, लेकिन यह एक 'भेजा गया' रिकॉर्ड बना सकता है जो आपके इतिहास को ज़हरीला करता है और बाद में एक गलत भेजने की स्थिति बनाता है। ईवीएम चेन पर, यह transferFrom लॉजिक के माध्यम से सफल हो सकता है, भले ही अनुमति शून्य हो क्योंकि 0 शून्य से कम या उसके बराबर है। नुकसान तब होता है जब कोई बाद में ज़हरीले प्राप्तकर्ता एड्रेस को कॉपी करता है।

क्या वॉलेट एड्रेस के पहले और आखिरी 4 अक्षरों की जांच करना पर्याप्त है?

नहीं। Revoke.cash चेतावनी देता है कि स्कैमर्स ऐसे वैनिटी एड्रेस उत्पन्न कर सकते हैं जो आपके द्वारा देखे गए कई वॉलेट यूआई में पहले और आखिरी 4 अक्षरों से मेल खाते हैं। पूर्ण एड्रेस सत्यापन, आदर्श रूप से एक हार्डवेयर वॉलेट पुष्टि स्क्रीन पर, वह नियंत्रण है जो वास्तव में अंतर को बंद करता है।

यदि मैं अपने लेनदेन इतिहास में एड्रेस पॉइज़निंग देखता हूँ, तो क्या मेरी प्राइवेट की समझौता हो गई है?

ज़रूरी नहीं। Trezor बताता है कि एक बुनियादी एड्रेस पॉइज़निंग परिदृश्य में प्राइवेट की के लीक होने की चिंता करने की कोई आवश्यकता नहीं है। जोखिम गलत प्राप्तकर्ता को फंड्स भेजने का है क्योंकि कॉपी करने या अपर्याप्त सत्यापन के कारण।

मैं एक्सचेंज को भेजते समय या एक एड्रेस को पुन: उपयोग करते समय एड्रेस पॉइज़निंग से कैसे बच सकता हूँ?

अपने लेनदेन इतिहास या पुराने ब्लॉक एक्सप्लोरर टैब से गंतव्य एड्रेस का स्रोत न बनाएं। हर बार एक्सचेंज के डिपॉजिट पृष्ठ से डिपॉजिट एड्रेस कॉपी करें, या एक सहेजे गए अनुमति सूची/एड्रेस बुक का उपयोग करें जिसे आपने स्वयं बनाया है। बड़े ट्रांसफर्स के लिए, Trezor पहले एक छोटे परीक्षण भेजने की सिफारिश करता है, भले ही इसका मतलब गैस का दो बार भुगतान करना हो।