आइस फिशिंग: वह 'लॉगिन' बटन जो आपका वॉलेट खाली कर देता है
सारांश (Summary): आइस फिशिंग आपका पासवर्ड नहीं चुराता; यह आपकी अनुमति (Permission) चुराता है। आपको एक दुर्भावनापूर्ण टोकन अप्रूवल (Token Approval) पर साइन करने के लिए धोखा देकर, हैकर्स जब चाहें आपकी संपत्ति को निकाल सकते हैं। यह लेख 'Approve' फ़ंक्शन की व्याख्या करता है और Revoke.cash का उपयोग कैसे करें।
1. अवधारणा: अप्रूवल (Approve) बनाम ट्रांसफर (Transfer)
Ethereum/EVM में, स्मार्ट कॉन्ट्रैक्ट (जैसे Uniswap) आपके टोकन को तब तक नहीं छू सकता जब तक कि आप उसे अनुमति न दें।
इंटरैक्ट करने के दो तरीके हैं:
- ट्रांसफर (Transfer): "Bob को 10 USDT भेजो।" (एक बार की कार्रवाई)।
- अप्रूवल (Approve): "Uniswap को मेरे वॉलेट से 1,000 USDT तक खर्च करने की अनुमति दें।" (स्थायी अनुमति)।
कमजोरी: अधिकांश dApps सुविधा के लिए "अनलिमिटेड अप्रूवल" मांगते हैं, ताकि आपको हर ट्रेड पर साइन न करना पड़े। स्कैमर्स इसका दुरुपयोग करते हैं।
2. हमला: "सुरक्षा अपडेट"
आपको एक ईमेल मिलता है या ट्विटर पर एक लिंक दिखाई देता है: "OpenSea Security Update: Verify your wallet to prevent asset loss."
आप लिंक पर क्लिक करते हैं। यह बिल्कुल OpenSea जैसा दिखता है।
आप "Verify" दबाते हैं।
आपका वॉलेट एक ट्रांजेक्शन अनुरोध पॉप अप करता है।
- यह "Send ETH" नहीं कहता है।
- यह "SetApprovalForAll" या "Approve WETH" कहता है।
- खर्च करने वाला (Spender) एड्रेस हैकर का कॉन्ट्रैक्ट है।
जाल: आपको लगता है कि आप "लॉगिन" कर रहे हैं या "वेरिफाई" कर रहे हैं। वास्तव में, आपने अभी-अभी एक कानूनी दस्तावेज पर हस्ताक्षर किए हैं जो कहता है: "मैं इस हैकर को अपने सभी NFTs और WETH को जब चाहें स्थानांतरित करने की अनुमति देता हूं।"
वे तुरंत चोरी नहीं करते हैं। वे इंतजार करते हैं जब तक आप और जमा न करें, फिर वे सब कुछ एक बार में निकाल लेते हैं।
3. ट्रांजेक्शन कैसे पढ़ें
"Confirm" दबाने से पहले, Data टैब या ट्रांजेक्शन सिमुलेशन को देखें।
लाल झंडे (Red Flags) 🚩
- Function: SetApprovalForAll (यह आपके NFT संग्रह पर 100% नियंत्रण देता है)।
- Function: Approve (एक विशाल संख्या जैसे 1.1579e+59 के साथ)।
- Spender: अज्ञात कॉन्ट्रैक्ट (Etherscan पर चेक करें - क्या यह वेरिफाइड है? क्या इसका नाम "Uniswap Router" है?)।
4. इलाज: Revoke.cash
यदि आपको संदेह है कि आपने किसी खराब अप्रूवल पर हस्ताक्षर किए हैं:
- Revoke.cash पर जाएं।
- अपना वॉलेट कनेक्ट करें (पहले केवल Read-only मोड में)।
- अज्ञात कॉन्ट्रैक्ट्स के लिए "Unlimited Allowances" स्कैन करें।
- उन्हें तुरंत Revoke (रद्द) करें। इसमें थोड़ी गैस फीस लगती है लेकिन यह हैकर का कनेक्शन काट देता है।
और जानें: इन "बैकडोर" को बंद करने के तरीके के बारे में गहराई से जानने के लिए, हमारे हिडन बैकडोर गाइड को पढ़ें। एड्रेस पाइज़निंग से भी सावधान रहें, जो आपको स्वेच्छा से फंड भेजने के लिए धोखा देता है।
निष्कर्ष
आपका रिकवरी फ्रेज़ वॉल्ट की चाबी है। "अप्रूवल्स" अधिकृत हस्ताक्षरकर्ताओं के लिए हैं। आप किसी अजनबी को अपने बैंक खाते का पावर ऑफ अटॉर्नी नहीं देंगे - यादृच्छिक साइटों को SetApprovalForAll न दें।
संबंधित लेख
द लॉन्ग कॉन (Pig Butchering): कैसे वे आपका दिल और वॉलेट चुराते हैं
'गलत नंबर' वाले टेक्स्ट से शुरू होता है। आपकी सेवानिवृत्ति (Retirement) के नुकसान के साथ समाप्त होता है। 'Pig Butchering' घोटाले की मनोवैज्ञानिक स्क्रिप्ट का विश्लेषण।
जहाँ खेलते हो वहाँ ट्रेड मत करो: आपको अलग क्रिप्टो लैपटॉप की आवश्यकता क्यों है
आपका गेमिंग पीसी छिद्रों (holes) से भरा है। आपका फोन ट्रैकर्स से भरा है। क्यों एक अलग 'बैंकिंग डिवाइस' पर $200 खर्च करना सबसे अच्छा बीमा है जो आप खरीद सकते हैं।
हिडन बैकडोर (Hidden Backdoor): आपको अनुमतियां रद्द करने की आवश्यकता क्यों है
आपने अपना वॉलेट डिस्कनेक्ट कर दिया, लेकिन हैकर अभी भी इसे खाली कर सकता है। जानें कि 'अनलिमिटेड अप्रूवल्स' कैसे काम करते हैं और डिजिटल बैकडोर को कैसे लॉक करें।