पता ज़हर का घोटाला: यह कैसे काम करता है और इससे कैसे बचें
कल्पना कीजिए कि आप सामान्य तरीके से क्रिप्टोकरेंसी भेज रहे हैं। आप अपना वॉलेट खोलते हैं, अपने लेन-देन इतिहास पर नज़र डालते हैं, उस पते को कॉपी करते हैं जिसका आपने कई बार उपयोग किया है, उसे पेस्ट करते हैं और भेज देते हैं। कुछ ही सेकंड में ट्रांसफर की पुष्टि हो जाती है। समस्या यह है कि पैसा एक ऐसे अजनबी के पास पहुँच गया है जिसने आपके पते से हूबहू मिलता-जुलता पता बनाने के लिए वास्तविक कंप्यूटिंग शक्ति का उपयोग किया है, और ब्लॉकचेन ने ठीक वही किया है जो आपने उसे करने को कहा था। संक्षेप में, यही एड्रेस पॉइज़निंग है: कोई चोरी की गई कुंजी नहीं, कोई मैलवेयर नहीं, बस आपके अपने रिकॉर्ड में आपका एक नकली संस्करण डाल दिया गया है। यह गाइड बताती है कि यह घोटाला कैसे काम करता है, इसके तीन रूप क्या हैं, लोग वास्तव में कितना नुकसान उठा रहे हैं, और कुछ ऐसी आदतें जो आपको गलत जगह पर पैसे भेजने से पहले एड्रेस पॉइज़निंग घोटालों से बचा सकती हैं।
वास्तव में एड्रेस पॉइज़निंग क्या है?
एड्रेस पॉइज़निंग एक फ़िशिंग हमला है जिसका लक्ष्य आपकी मेमोरी और स्क्रीन होता है, न कि अंतर्निहित क्रिप्टोग्राफी। आपकी निजी कुंजियों को कभी छुआ नहीं जाता। कुछ भी निकाला, डिक्रिप्ट या हैक नहीं किया जाता। इसके बजाय, यह घोटाला एक आलसी मानवीय आदत का फायदा उठाता है: ब्लॉकचेन एड्रेस अक्षरों और संख्याओं का एक लंबा, अपठनीय समूह होता है (जैसे 0x4a3f...c91d), और लगभग कोई भी इसे पूरा नहीं पढ़ता। हम पहले चार अक्षर देखते हैं, आखिरी चार देखते हैं, कंधे उचकाते हैं और आगे बढ़ जाते हैं।
वह उदासीनता ही पूरी कमजोरी है। एक ऐसा पता बनाएं जिसमें वे स्पष्ट विशेषताएं हों, उसे किसी ऐसे व्यक्ति के सामने पेश करें जो पहले से ही उस पर भरोसा करता हो, और आपके अनजाने में भुगतान प्राप्त करने की अच्छी संभावना है। असली मुश्किल तो इसके बाद आती है। ऑन-चेन ट्रांसफर अंतिम होते हैं, इसलिए न तो कोई बैंक होता है जिससे संपर्क किया जा सके और न ही कोई शुल्क वापस लिया जा सके; जैसे ही आप पुष्टि करते हैं, पैसा किसी और का हो जाता है। बीमा और चार्जबैक, जो पारंपरिक वित्त में लोगों को संकट से बचाते हैं, यहां मौजूद नहीं हैं। एड्रेस पॉइज़निंग ब्लॉकचेन को खराब नहीं करती। यह आपका ध्यान भंग करती है, और फिर ब्लॉकचेन को वही करने देती है जो आपका ध्यान चूक गया।
क्रिप्टो में एड्रेस पॉइज़निंग कैसे काम करती है?
हालांकि परिणाम जादुई लगता है, लेकिन इसकी प्रक्रिया सामान्य है। एक सफल एड्रेस पॉइज़निंग हमले में तीन चरण होते हैं जिन्हें इस श्रृंखला का अध्ययन करने वाला कोई भी व्यक्ति दोहरा सकता है।
चरण 1: एक समान पता उत्पन्न करना
सबसे पहले हमलावर एक लक्ष्य चुनता है, आमतौर पर एक ऐसा पता जिससे अक्सर पैसे का लेन-देन होता है, फिर वह एक नकली पता जनरेटर चलाता है। सॉफ्टवेयर संभावित कुंजी जोड़ियों की जांच करता है जब तक कि उसे एक ऐसी कुंजी जोड़ी नहीं मिल जाती जिसका पता उसी अक्षर से शुरू और खत्म होता है जिस अक्षर से पीड़ित नियमित रूप से पैसे भेजता है। कुछ अक्षरों का मिलान करना सस्ता है, और यही सबसे चिंताजनक बात है: एथेरियम के फुसाका अपग्रेड के बाद शुल्क कम होने पर, एक विश्लेषण में पाया गया कि हमलावरों ने लगभग 5,175 डॉलर में तीन मिलियन नकली ट्रांसफर किए। इन कीमतों पर, धोखाधड़ी एक फैक्ट्री की तरह चलती है, न कि किसी चोरी की तरह।
चरण 2: अपने लेन-देन इतिहास को दूषित करना
इसके बाद हमलावर आपके रिकॉर्ड में उस मिलते-जुलते पते को डाल देता है, ताकि वह ऐसा लगे जैसे आपने पहले भी उससे लेन-देन किया हो। वे आपको असली टोकन की थोड़ी सी मात्रा भेज सकते हैं, या शून्य मूल्य का हस्तांतरण कर सकते हैं, या आपको नकली टोकन भेज सकते हैं। चाहे जो भी तरीका अपनाया जाए, लक्ष्य एक ही है: नकली पते को आपके इतिहास में असली पते के बगल में, बिल्कुल असली पते के पहले और आखिरी अक्षरों के साथ, दर्ज करना।
चरण 3: कॉपी-पेस्ट का जाल
फिर वे इंतज़ार करते हैं। अगली बार जब आप अपने नियमित प्राप्तकर्ता को भुगतान करने जाते हैं, तो सुविधा के लिए आप अपने हाल के लेन-देन इतिहास से पता सीधे कॉपी कर लेते हैं। दिखने वाले अक्षर मेल खाते हैं, कुछ भी गड़बड़ नहीं लगता, और आप भेज देते हैं। अगर आप इसे बिना सोचे-समझे करते हैं, तो हो सकता है कि आप गलती से टोकन उस पते के बजाय मिलते-जुलते पते पर भेज दें जिसे आप भेजना चाहते थे। ब्लॉकचेन ट्रांसफर को सही ढंग से पूरा कर देता है, बस गलत व्यक्ति को। यही कारण है कि एड्रेस पॉइज़निंग को कभी-कभी कॉपी-पेस्ट ट्रैप भी कहा जाता है, और यही कारण है कि यह अनुभवी उपयोगकर्ताओं के साथ-साथ नौसिखियों पर भी आसानी से काम करता है। इसकी प्रभावशीलता का कारण है समय - पॉइज़निंग अक्सर असली लेन-देन के कुछ ही मिनटों के भीतर डाली जाती है, इसलिए नकली पता ठीक उसी जगह होता है जहाँ आपकी नज़र असली पते पर होती है। आप लापरवाही नहीं कर रहे हैं, बल्कि कुशलता से काम कर रहे हैं, और हमलावर ठीक इसी कुशलता का फायदा उठाता है।
पते को दूषित करने के तीन प्रकार
कार्नेगी मेलन द्वारा 2025 में किए गए एक अकादमिक अध्ययन ने वास्तविक दुनिया के हमलों को तीन रूपों में वर्गीकृत किया। ये तीन रूप इस बात में भिन्न होते हैं कि नकली पता कैसे डाला जाता है, जिससे आपके इतिहास में किन बातों पर अविश्वास करना चाहिए, यह बदल जाता है।
| प्रकार | फर्जी पता कैसे डाला जाता है | बता |
|---|---|---|
| सूक्ष्म (धूल) स्थानांतरण | मिलते-जुलते पते से भेजी गई एक वास्तविक लेकिन नगण्य टोकन राशि। | एक मामूली, अप्रत्याशित आवक राशि |
| शून्य-मूल्य स्थानांतरण | "0" टोकन का एक स्थानांतरण जो फिर भी आपके इतिहास में एक स्थानांतरण घटना को रिकॉर्ड करता है | प्रेषक के रूप में आपका अपना पता दिखाता है, मान 0 |
| नकली टोकन | एक नकली अनुबंध जो असली टोकन की नकल करता है (एक जाली USDT या USDC) | टोकन का नाम सही लग रहा है, लेकिन अनुबंध का पता सही नहीं है। |
इन तीनों में से, शून्य-मूल्य हस्तांतरण एड्रेस पॉइज़निंग का वह प्रकार है जो लोगों को सबसे ज़्यादा भ्रमित करता है, क्योंकि यह आपके अपने पते से आया हुआ प्रतीत हो सकता है। ऐसा इसलिए संभव है क्योंकि कुछ टोकन अनुबंध किसी को भी मालिक की अनुमति के बिना शून्य टोकन के लिए "ट्रांसफर" इवेंट भेजने की अनुमति देते हैं, इसलिए हमलावर एक ऐसी प्रविष्टि तैयार करता है जिसे आपका वॉलेट सही-सही प्रदर्शित करता है। ऐतिहासिक रूप से, कम शुल्क के कारण एथेरियम की तुलना में बीएनबी स्मार्ट चेन पर कहीं अधिक हमले हुए, लेकिन फुसाका शुल्क कटौती ने स्थिति को उलट दिया, जिससे अधिकांश गतिविधि एथेरियम पर स्थानांतरित हो गई।
पते में जहर घोलने से कितनी रकम चोरी होती है?
एड्रेस पॉइज़निंग सुनने में मामूली सी लगती है, लेकिन जब आप इसका पूरा हिसाब लगाते हैं तो समझ में नहीं आता। नीचे दिए गए आंकड़े जानबूझकर दिनांकित किए गए हैं, क्योंकि क्रिप्टो की दुनिया में आंकड़े बहुत तेजी से बदलते हैं और पिछले साल के आंकड़े समस्या की असलियत को बहुत कम करके दिखाते हैं।
| मामला या माप | मात्रा | कब | नतीजा |
|---|---|---|---|
| कार्नेगी मेलन / यूसेनिक्स अध्ययन (ईटीएच + बीएससी) | 270 मिलियन प्रयास, 83.8 मिलियन डॉलर का नुकसान, 17 मिलियन पीड़ित | जुलाई 2022 से जून 2024 तक | अब तक का सबसे बड़ा अध्ययन |
| रैप्ड बिटकॉइन व्हेल | मिलते-जुलते नाम वाली कंपनी को लगभग 68 मिलियन डॉलर भेजे गए | मई 2024 | धनराशि वापस कर दी गई; हमलावर को लगभग 1.49 मिलियन डॉलर मिले। |
| एक अकेला यूएसडीटी पीड़ित | $49.9 मिलियन | दिसंबर 2025 | टॉरनेडो कैश के माध्यम से धन की हेराफेरी की गई |
| एथेरियम में हुए नुकसान (स्कैमस्निफर) | $62 मिलियन | दिसंबर 2025 से जनवरी 2026 तक | कुल दो महीने |
इनमें से कुछ मामलों पर गौर करना ज़रूरी है। मई 2024 में लगभग 68 मिलियन डॉलर गंवाने वाले बिटकॉइन पीड़ित को असल में अपनी रकम वापस मिल गई, क्योंकि हमलावर ने (धन की हेराफेरी और बातचीत के बाद) बड़ी रकम लौटा दी और लगभग 1.49 मिलियन डॉलर लेकर चला गया; जांचकर्ताओं ने बाद में उस एक ही मामले को 82,031 फर्जी पतों से जोड़ा। लगभग हर कोई इतना भाग्यशाली नहीं होता। दिसंबर 2025 में 49.9 मिलियन डॉलर के USDT पीड़ित का पैसा सीधे टॉरनेडो कैश में चला गया, न तो वापस मिला और न ही कोई उपाय।
सबसे चिंताजनक बात तो यह है कि यह प्रवृत्ति वाकई चिंताजनक है। फुसाका अपग्रेड के बाद एथेरियम की फीस कम होने से नेटवर्क पर हर महीने होने वाले धोखाधड़ी के प्रयासों में पांच गुना से भी अधिक की वृद्धि हुई, और जनवरी 2026 में सिटी ने चेतावनी दी कि एथेरियम के प्रतिदिन 28 लाख लेनदेन का रिकॉर्ड वास्तविक आर्थिक उपयोग के बजाय मुख्य रूप से धोखाधड़ी वाले स्पैम के कारण था। 2020 की शुरुआत तक, उद्योग के अनुमानों के अनुसार कुल नुकसान लगभग आधा अरब डॉलर तक पहुंच गया था। मुझे जो बात परेशान करती है, वह इस घोटाले की चालाकी नहीं, बल्कि इसकी कीमत है: कुछ हजार डॉलर की फीस से लाखों प्रयास किए जा सकते हैं, और हमलावर को उनमें से केवल एक के सफल होने की आवश्यकता होती है।
पॉइज़निंग बनाम स्पूफिंग बनाम आईपी पॉइज़निंग
"पॉइज़निंग" शब्द का इस्तेमाल कई अलग-अलग हमलों के लिए किया जाता है, इसलिए इन्हें अलग-अलग समझना ज़रूरी है। यहाँ जिस एड्रेस पॉइज़निंग की बात हो रही है, वह एक क्रिप्टो घोटाला है जिसमें आपकी हिस्ट्री में मिलता-जुलता एड्रेस डाल दिया जाता है। एड्रेस स्पूफिंग का दायरा व्यापक है और आमतौर पर इसका मतलब किसी संदेश या लेनदेन के प्रेषक को नकली बनाकर किसी और का रूप धारण करना होता है। और "आईपी पॉइज़निंग", जिसे लोग कभी-कभी गलती से खोज लेते हैं, नेटवर्क हमलों जैसे एआरपी या डीएनएस कैश पॉइज़निंग को संदर्भित करता है, जिनका क्रिप्टो वॉलेट से कोई लेना-देना नहीं है। एक ही क्रिया, तीन अलग-अलग शब्द।
पते में होने वाली गड़बड़ी से खुद को कैसे बचाएं
एड्रेस पॉइज़निंग से बचाव के लगभग सभी उपाय एक ही नियम पर आधारित हैं: अपने खुद के ट्रांजैक्शन हिस्ट्री पर कभी भरोसा न करें, और कभी भी सीधे उससे एड्रेस कॉपी न करें। नकली एड्रेस वहीं मौजूद होता है क्योंकि आप वहीं देखते हैं। इस विचार को अपनाकर कुछ आदतें बना लें, तो यह हमला लगभग बेअसर हो जाता है।
पूरे पते की जाँच करें, कभी भी केवल नाम और अंतिम नाम की जाँच न करें।
पूरी स्ट्रिंग की जांच करें, या कम से कम बीच और अंत के बड़े हिस्से की जांच करें। हमलावर पहले और आखिरी कुछ अक्षरों का मिलान आसानी से कर सकता है, लेकिन बीच की लंबी स्ट्रिंग का मिलान करना कहीं अधिक कठिन है। अधिकांश आधुनिक वॉलेट EIP-55 चेकसम मानक का पालन करते हैं, और नए डिस्प्ले कन्वेंशन पते के अधिक हिस्से को हाइलाइट करते हैं, जिससे विसंगतियों को पहचानना आसान हो जाता है।
एड्रेस बुक का इस्तेमाल करें, कभी भी एड्रेस हिस्ट्री से कॉपी न करें।
प्रत्येक प्राप्तकर्ता का पता एक बार सुरक्षित कर लें, किसी विश्वसनीय स्रोत से उसकी पुष्टि करने के बाद, और उसके बाद से हाल के लेन-देनों से पते कॉपी करने के बजाय उसी सुरक्षित संपर्क से भेजें। मेटामास्क जैसे वॉलेट इसे संपर्क कहते हैं; सिद्धांत हर जगह समान है। सुरक्षित प्रविष्टि आने वाले हस्तांतरण से दूषित नहीं हो सकती, और यही इसका मुख्य उद्देश्य है।
लेन-देन, हार्डवेयर स्क्रीन और भुगतान अनुमति सूचियों का परीक्षण करें
बड़ी रकम भेजने से पहले, थोड़ी सी राशि भेजकर जांच लें और बाकी रकम भेजने से पहले प्राप्तकर्ता का पता सही है या नहीं, इसकी पुष्टि कर लें; कुछ सेंट का शुल्क लाखों की गलती से बचने का एक सस्ता उपाय है। हार्डवेयर वॉलेट भी इसमें मददगार होते हैं, क्योंकि वे एक अलग स्क्रीन पर असली गंतव्य दिखाते हैं जिसे आपके कंप्यूटर पर मौजूद मैलवेयर चुपके से नहीं बदल सकता। बार-बार क्रिप्टो भुगतान करने वाले व्यवसाय विशेष रूप से जोखिम में होते हैं, क्योंकि वे दिन भर पते कॉपी-पेस्ट करते रहते हैं और अक्सर यह काम ऐसे कर्मचारियों को सौंप देते हैं जिन्हें शायद कभी भी क्रिप्टो पॉइज़निंग के बारे में जानकारी न हो। इसलिए, भुगतान को पहले से स्वीकृत सूची (जांचे-परखे गंतव्यों का एक निश्चित सेट जिससे सिस्टम विचलित नहीं होगा) तक सीमित करने से मानवीय त्रुटि की संभावना पूरी तरह खत्म हो जाती है। यदि आप किसी क्रिप्टो भुगतान गेटवे के माध्यम से भुगतान स्वीकार करते हैं, तो जांच लें कि क्या वह इसी कारण से निकासी पतों को पिन करता है।
वॉलेट और एक्सचेंज क्या कर रहे हैं
हालांकि, टूलिंग में सुधार हो रहा है, लेकिन इनमें से कोई भी ऊपर बताई गई आदतों की जगह नहीं ले सकता। Etherscan जैसे ब्लॉक एक्सप्लोरर अब शून्य-मूल्य वाले ट्रांसफर को छिपा देते हैं या चिह्नित कर देते हैं ताकि वे आपके इतिहास में अनावश्यक रूप से दिखाई न दें। Ledger Live और Trezor Suite संदिग्ध प्रविष्टियों को फ़िल्टर करते हैं, और मार्च 2026 में Trust Wallet ने 32 चेन में स्वचालित एड्रेस-पॉइज़निंग सुरक्षा शुरू की । केंद्रीकृत एक्सचेंजों में भी जोखिम का अपना एक रूप होता है, क्योंकि उपयोगकर्ता एक ही डिपॉजिट एड्रेस का बार-बार उपयोग करते हैं, इसलिए वहां एक संदिग्ध प्रविष्टि भी उतनी ही महंगी साबित हो सकती है। इनमें से कोई भी पूरी तरह सुरक्षित नहीं है - एक शातिर हमलावर अभी भी एक नए मिलते-जुलते एड्रेस को ऐसे फ़िल्टर से बचा सकता है जिसने अभी तक उसका सामना नहीं किया है - इसलिए टूलिंग आपको सुरक्षा की गारंटी नहीं देती, बल्कि कुछ अतिरिक्त सुरक्षा प्रदान करती है। इन सभी सुविधाओं को अपनी सावधानी के तहत एक सुरक्षा कवच के रूप में मानें, कभी भी इसके विकल्प के रूप में नहीं।
किसे निशाना बनाया जाता है, और इससे क्या निष्कर्ष निकलता है?
यह मान लेना आसान है कि केवल लापरवाह नए लोग ही इसके झांसे में आते हैं, लेकिन आंकड़े इसके विपरीत कहते हैं। सबसे ज़्यादा नुकसान सक्रिय, अनुभवी भेजने वालों और व्यवसायों को होता है, ठीक उन्हीं लोगों को जो अक्सर पैसे भेजते हैं और बिना सोचे-समझे तेज़ी से पैसे भेजने में माहिर होते हैं। एड्रेस पॉइज़निंग को अंजाम देना सस्ता है, और जब यह सफल हो जाता है तो यह पूरी तरह से हम सभी की एक आदत पर आधारित है, यही कारण है कि यह घोटाला इतना टिकाऊ है। असल में, जागरूकता ही इसका सबसे बड़ा उपाय है, क्योंकि एक बार जब आपको पता चल जाता है कि यह जाल मौजूद है, तो पूरे पते की जाँच करने मात्र से ही यह जाल खुल जाता है। असली सवाल यह नहीं है कि आप घोटाले को समझते हैं या नहीं। सवाल यह है कि क्या आप फिर भी रात के दो बजे, अपने फोन पर, किसी ऐसे व्यक्ति को भुगतान करते समय इसके झांसे में आ जाएँगे जिसे आप पहले भी सौ बार भुगतान कर चुके हैं।
