Security ·

5 Seed Phrase स्कैम और खुद को कैसे सुरक्षित रखें

Seed phrase चोरी क्रिप्टोकरेंसी में सबसे प्रभावी हमले का तरीका है। Smart contract bugs का शोषण या 51% हमले करने के विपरीत, seed phrase चुराना सरल, scalable है और हमलावर को पीड़ित के फंड्स पर पूर्ण, अपरिवर्तनीय नियंत्रण देता है। यहाँ वर्णित पाँच स्कैम seed phrase चोरी की अधिकांश घटनाओं के लिए जिम्मेदार हैं। इन्हें समझना और इनसे बचाव जानना क्रिप्टो रखने वाले हर व्यक्ति के लिए अनिवार्य ज्ञान है।

ये सभी स्कैम उपयोगकर्ता की सोच और वास्तविकता के बीच के अंतर का शोषण करते हैं। हर मामले में बचाव सत्यापन है: यह जानना कि आप जिन टूल्स, साइटों और लोगों से इंटरैक्ट करते हैं, वे वही हैं जो होने का दावा करते हैं।

स्कैम 1: नकली Seed Phrase Generators

नकली seed phrase generators ऐसी वेबसाइटें या एप्लिकेशन हैं जो वैध BIP39 टूल्स जैसी दिखती हैं लेकिन गुप्त रूप से हर उत्पन्न seed phrase को रिकॉर्ड करती हैं। हमलावर या तो seed phrases का एक सेट hard-code करता है (ताकि हर उपयोगकर्ता को ऐसा phrase मिले जो हमलावर पहले से जानता है) या उत्पन्न phrase को remote server पर भेजता है।

यह कैसे काम करता है

हमलावर एक पेशेवर दिखने वाली वेबसाइट बनाता है जो random seed phrases उत्पन्न करती प्रतीत होती है। सबसे सरल संस्करण में, साइट हमलावर द्वारा पहले से नियंत्रित phrases की पूर्व-गणित सूची से चुनती है। अधिक परिष्कृत संस्करणों में, टूल Web Crypto API का उपयोग करके वास्तविक दिखने वाला phrase उत्पन्न करता है लेकिन साथ ही entropy या अंतिम phrase को छिपे network request के माध्यम से हमलावर के सर्वर पर भेजता है।

खुद को कैसे सुरक्षित करें

  • सत्यापित करें कि टूल client-side है। पेज लोड करें, इंटरनेट से डिस्कनेक्ट करें, और phrase उत्पन्न करें। यदि टूल कनेक्शन के बिना विफल होता है, तो इसे server communication की आवश्यकता है। विस्तृत सत्यापन चरणों के लिए Is Using an Online Seed Phrase Generator Safe? देखें।
  • Network traffic का निरीक्षण करें। Generate करने से पहले अपने ब्राउज़र के Developer Tools Network tab को खोलें। Generation के दौरान शून्य outgoing requests होनी चाहिए।
  • Open-source टूल्स उपयोग करें। SafeSeed के Bitcoin Seed Phrase Generator और Ethereum Seed Phrase Generator पूरी तरह open-source और client-side हैं।
  • परिणामों को cross-verify करें। Phrase उत्पन्न करें और जांचें कि यह दो या अधिक स्वतंत्र टूल्स में समान address बनाता है।

स्कैम 2: असली Wallets की नकल करने वाली Phishing साइटें

Phishing साइटें MetaMask, Phantom या hardware wallet web interfaces जैसे लोकप्रिय wallets के इंटरफ़ेस की नकल करती हैं ताकि उपयोगकर्ता अपने मौजूदा seed phrases दर्ज करें।

यह कैसे काम करता है

हमलावर एक ऐसा domain पंजीकृत करता है जो वैध wallet साइट से मिलता-जुलता है: metamask.io के बजाय metamask-wallet.io। वे असली साइट के दृश्य डिज़ाइन की नकल करते हैं और उपयोगकर्ताओं से अपना seed phrase दर्ज करके wallet "restore" या "verify" करने को कहते हैं।

ये phishing साइटें इन माध्यमों से वितरित होती हैं:

  • Wallet-संबंधित search queries के लिए Google और social media विज्ञापन
  • Telegram, Discord और X (Twitter) पर नकली support चैनल
  • Wallet "verification" या "security updates" की आवश्यकता का दावा करने वाली ईमेल
  • "recover MetaMask wallet" जैसी queries के लिए SEO-optimized पेज

खुद को कैसे सुरक्षित करें

  • कभी भी किसी वेबसाइट पर अपना seed phrase दर्ज न करें। वैध wallet सॉफ़्टवेयर कभी ब्राउज़र में seed phrase दर्ज करने को नहीं कहेगा।
  • आधिकारिक साइटों को बुकमार्क करें। Wallet interfaces तक केवल अपने बनाए बुकमार्क से पहुँचें।
  • URL को अक्षर दर अक्षर सत्यापित करें। Phishing domains अक्षर प्रतिस्थापन (l बनाम 1, rn बनाम m) का उपयोग करते हैं।
  • Recovery के लिए hardware wallet उपयोग करें। Wallet पुनर्स्थापित करनी हो तो hardware device पर ही करें।

स्कैम 3: पहले से बने Wallet Cards

यह स्कैम क्रिप्टो के नए उपयोगकर्ताओं को लक्षित करता है। हमलावर सुंदर रूप से मुद्रित और पैक किए गए भौतिक कार्ड बेचता या देता है जिनमें पहले से उत्पन्न seed phrase या private key होती है।

यह कैसे काम करता है

हमलावर हजारों seed phrases उत्पन्न करता है, उन सभी को रिकॉर्ड करता है, और उन्हें पेशेवर दिखने वाले कार्डों पर प्रिंट करता है। पीड़ित, यह मानते हुए कि उसके पास सुरक्षित paper wallet है, प्रिंटेड address पर फंड भेजता है। हमलावर, जिसके पास उसी seed phrase की कॉपी है, अपनी सुविधानुसार फंड निकाल लेता है।

खुद को कैसे सुरक्षित करें

  • हमेशा अपनी कुंजियाँ स्वयं उत्पन्न करें। किसी और द्वारा बनाया गया seed phrase या private key कभी उपयोग न करें।
  • समझें कि कुंजियाँ रहस्य हैं। यदि किसी ने कभी आपका seed phrase देखा है, तो मान लें कि उनके पास कॉपी है।
  • ऑफ़लाइन उत्पन्न करें। SafeSeed के client-side टूल्स या air-gapped machine पर अन्य विश्वसनीय generator का उपयोग करें।

स्कैम 4: Clipboard Malware

Clipboard malware, जिसे "clipper" भी कहते हैं, एक प्रकार का दुर्भावनापूर्ण सॉफ़्टवेयर है जो आपके clipboard पर क्रिप्टोकरेंसी-संबंधित डेटा की निगरानी करता है और चुपचाप इसे हमलावर के डेटा से बदल देता है।

यह कैसे काम करता है

सबसे सामान्य variant clipboard पर Bitcoin या Ethereum addresses की निगरानी करता है। जब आप भुगतान भेजने के लिए address कॉपी करते हैं, malware इसे हमलावर के address से बदल देता है। अधिक खतरनाक variant seed phrases को लक्षित करता है।

खुद को कैसे सुरक्षित करें

  • कभी अपना seed phrase clipboard पर कॉपी न करें। इसे हाथ से लिखें।
  • हमेशा पेस्ट किए गए addresses सत्यापित करें। किसी भी लेनदेन की पुष्टि से पहले, पेस्ट किए गए address के पहले और आखिरी कई अक्षरों की तुलना इच्छित address से करें। address validator का उपयोग करें।
  • केवल सत्यापित सॉफ़्टवेयर उपयोग करें। आधिकारिक स्रोतों से ही wallet एप्लिकेशन डाउनलोड करें।
  • अद्यतन antivirus चलाएँ।
  • Clipboard सामग्री जांचें। Address कॉपी करने के बाद, पेस्ट करके plain text editor में पुष्टि करें।

स्कैम 5: Social Engineering हमले

Social engineering चोरी का सबसे पुराना रूप है, क्रिप्टो युग के लिए अनुकूलित। हमलावर आपको स्वेच्छा से अपना seed phrase प्रकट करने या अपनी कुंजियों को समझौता करने वाली कार्रवाई करने में हेरफेर करता है।

यह कैसे काम करता है

नकली tech support। हमलावर wallet provider या exchange के support स्टाफ का रूप धारण करता है। दावा करता है कि समस्या "diagnose" करने या पहचान "verify" करने के लिए आपका seed phrase चाहिए।

"फँसे हुए फंड" चारा। हमलावर सार्वजनिक रूप से seed phrase पोस्ट करता है। संबंधित wallet में दिखने वाले फंड हैं। जब कोई phrase इम्पोर्ट करता है, तो पता चलता है कि tokens ऐसे network पर हैं जिसके लिए gas fees चाहिए। जब वे gas tokens जमा करते हैं, हमलावर का sweeper bot तुरंत उन्हें निकाल लेता है।

निवेश मेंटर। स्कैमर social media या dating apps के माध्यम से संबंध बनाता है, अंततः पीड़ित को "विशेष निवेश अवसर" की ओर ले जाता है।

Airdrop claims। मुफ़्त token airdrop का संदेश जो आपसे दुर्भावनापूर्ण dApp से "connect your wallet" करने को कहता है।

खुद को कैसे सुरक्षित करें

  • अपने seed phrase को nuclear launch code की तरह रखें। कोई भी वैध सेवा, support टीम, मित्र या परिवार का सदस्य आपके seed phrase की आवश्यकता नहीं रखता। कभी भी। किसी भी कारण से।
  • अवांछित सहायता के प्रति संशयी रहें।
  • आधिकारिक चैनलों के माध्यम से पहचान सत्यापित करें।
  • "फँसे हुए फंड" ट्रिक समझें। सार्वजनिक रूप से साझा seed phrase में फंड मिलें तो यह चारा है।
  • Smart contract permissions की समीक्षा करें।

किसी भी टूल को कैसे सत्यापित करें

ऊपर के हर स्कैम के खिलाफ बचाव एक कौशल पर आकर मिलता है: सत्यापन।

Source Code पारदर्शिता

यदि कोई टूल open-source नहीं है, तो आप सत्यापित नहीं कर सकते कि यह क्या करता है। कुंजियों या seed phrases से संबंधित किसी भी ऑपरेशन के लिए open-source टूल्स को प्राथमिकता दें।

Client-Side ऑपरेशन

कुंजी generation टूल्स के लिए, पेज लोड करने के बाद इंटरनेट से डिस्कनेक्ट करके client-side execution सत्यापित करें। यदि टूल ऑफ़लाइन काम करता है, तो इसके cryptographic ऑपरेशन Web Crypto API के माध्यम से आपके ब्राउज़र में चलते हैं। यह SafeSeed और अन्य प्रतिष्ठित generators द्वारा उपयोग किया जाने वाला मानक है। What Is Entropy in Crypto? पढ़ें।

Network व्यवहार

अपने ब्राउज़र के Developer Tools का उपयोग करके सभी network requests की निगरानी करें। संवेदनशील ऑपरेशनों के दौरान शून्य outgoing requests होनी चाहिए।

Domain और Certificate सत्यापन

किसी भी जानकारी दर्ज करने से पहले, सटीक domain name सत्यापित करें और HTTPS सक्रिय सुनिश्चित करें।

सामुदायिक प्रतिष्ठा

जांचें कि टूल की स्वतंत्र सुरक्षा शोधकर्ताओं द्वारा समीक्षा हुई है या नहीं।

परिणामों का Cross-Verification

Seed phrase generator उपयोग करते समय, अलग विश्वसनीय टूल का उपयोग करके समान address derive करके आउटपुट सत्यापित करें। SafeSeed पर Bitcoin Address Generator या Ethereum Address Generator एक संदर्भ बिंदु के रूप में काम कर सकता है।

क्रिप्टो इकोसिस्टम की सबसे बड़ी ताकत, self-custody, इसकी सबसे बड़ी कमज़ोरी भी है। कोई fraud department नहीं है, कोई chargeback नहीं है, और फंड चोरी होने के बाद कोई recovery प्रक्रिया नहीं है। इन पाँच स्कैम को समझना और सत्यापन की आदतें बनाना आपकी क्रिप्टो सुरक्षा में सबसे मूल्यवान निवेश है। आधारभूत कुंजी सुरक्षा अवधारणाओं के लिए, Private Key Security Best Practices और Seed Phrase vs Private Key देखें।