वॉलेट ड्रेनर क्या है? क्रिप्टो ड्रेनर कैसे काम करते हैं?
सब कुछ खोने के लिए आपको अपना सीड फ्रेज़ देने की ज़रूरत नहीं है। वॉलेट ड्रेनर में, आप "अप्रूव" पर क्लिक करके ही सब कुछ खो देते हैं। एक आकर्षक वेबसाइट की कल्पना कीजिए जो मुफ़्त एयरड्रॉप का ऑफ़र दे रही है। आप अपना वॉलेट कनेक्ट करते हैं, एक सिग्नेचर बॉक्स खुलता है, आप कन्फर्म पर टैप करते हैं क्योंकि हर dApp यही पूछता है, और कुछ ही सेकंड में आपकी क्रिप्टो और NFT गायब हो जाती हैं। कोई पासवर्ड चोरी नहीं हुआ। कोई डिवाइस हैक नहीं हुआ। आपने खुद चोरी को मंज़ूरी दी, आमतौर पर एक ऐसे सिग्नेचर से जिसमें कोई गैस खर्च नहीं होती और जो पूरी तरह से हानिरहित दिखता है। यही पूरी चाल है, और यह इतनी कारगर साबित हुई कि अकेले 2024 में ही $494 मिलियन की चोरी हो गई।
यह गाइड विस्तार से बताती है कि वॉलेट ड्रेनर क्या होता है, चोरी किस समय होती है, अपराधी इसे एक सशुल्क सेवा में कैसे बदलते हैं, वे कितनी रकम चुराते हैं, और वे दो आदतें जो लगभग सभी तरह की चोरी को रोक सकती हैं।
वॉलेट ड्रेनर क्या है और यह कैसे काम करता है
वॉलेट ड्रेनर कोई मैलवेयर नहीं है जो आपके कंप्यूटर पर चुपचाप बैठा रहता है। यह एक दुर्भावनापूर्ण स्मार्ट कॉन्ट्रैक्ट या स्क्रिप्ट है, जो वेब3 पर मौजूद कई खतरनाक डीऐप्स में से एक है। यह एक मित्रवत ऐप का रूप धारण करके आपको धोखा देता है और जैसे ही आप एक्सेस देते हैं, यह तुरंत आपकी संपत्ति हड़प लेता है। ड्रेनर लगभग पूरी तरह से विकेंद्रीकृत वित्त (डीएफआई) में सक्रिय होते हैं - यानी जहां पैसा लॉगिन के बजाय हस्ताक्षर के आधार पर लेन-देन करता है, और आपकी क्रिप्टोकरेंसी और अन्य क्रिप्टो संपत्तियां ही उनका लक्ष्य होती हैं। ड्रेनर कभी भी आपकी निजी कुंजी का अनुमान नहीं लगाता और न ही किसी क्रिप्टोग्राफी को तोड़ता है। यह बस आपसे एक लेनदेन या अनुमोदन पर हस्ताक्षर करवा लेता है जो किसी अजनबी के स्मार्ट कॉन्ट्रैक्ट को आपकी धनराशि पर नियंत्रण करने की अनुमति देता है।
एक बार अनुमति मिल जाने पर, बाकी सब अपने आप हो जाता है। ड्रेनर आपके वॉलेट को पढ़कर आपके सबसे मूल्यवान टोकन, एनएफटी और अन्य डिजिटल एसेट्स का पता लगाता है, ट्रांसफर तैयार करता है और सब कुछ हमलावर के नियंत्रण वाले पते पर भेज देता है, अक्सर एक ही ब्लॉक के भीतर। क्योंकि अनुरोध एक सामान्य वेब3 कार्रवाई के रूप में आता है, इसलिए अधिकांश पीड़ितों को तब तक पता नहीं चलता कि क्या हुआ है जब तक कि वॉलेट पूरी तरह से खाली नहीं हो जाता। खतरा वायरस नहीं है। यह वह अनुमति है जिसे आप बिना पढ़े ही दे देते हैं।
एक वॉलेट ड्रेनर आपके वॉलेट को कैसे खाली कर देता है
हर तरह की धोखाधड़ी एक ही प्रक्रिया का अनुसरण करती है: लुभाना, हस्ताक्षर करना, और फिर सब कुछ समेट लेना। बीच का चरण ही वह चरण है जहाँ पैसा बर्बाद होता है, और यह वह चरण है जिस पर लगभग कोई ध्यान नहीं देता।
चारा
सबसे पहले आपको जाल में फंसना होगा। स्कैमर नकली एयरड्रॉप, एनएफटी मिंट और टोकन क्लेम की जानकारी देते हैं और फिर उन्हें ज़बरदस्ती बेचने की कोशिश करते हैं। वे X पर वेरिफाइड अकाउंट हैक कर लेते हैं और चोरी किए गए सोशल मीडिया अकाउंट से लिंक पोस्ट करते हैं, टेलीग्राम और डिस्कॉर्ड पर मैसेज भेजते हैं, और स्पॉन्सर्ड सर्च ऐड खरीदते हैं ताकि नकली साइट असली साइट से ऊपर दिखाई दे। उनका तरीका हमेशा जल्दबाजी, सीमित मिंट या एक्सपायर होने वाले क्लेम का लालच देना होता है, क्योंकि सोशल इंजीनियरिंग तब सबसे अच्छा काम करती है जब आपके पास सोचने का समय नहीं होता। पुराने ज़माने की फ़िशिंग के विपरीत, जिसमें पासवर्ड या लॉगिन क्रेडेंशियल ढूंढे जाते हैं, ड्रेनर को आपकी किसी भी जानकारी की ज़रूरत नहीं होती। उसे बस यूज़र्स को एक काम करने के लिए बहकाना होता है: अपने वॉलेट को नकली साइट से कनेक्ट करना और एक रिक्वेस्ट को मंज़ूरी देना। यही वजह है कि ड्रेनर इतनी तेज़ी से फैलते हैं, और क्यों सावधान लोग भी जल्दबाज़ी में फंस जाते हैं। क्लिक करने पर आप एक ऐसे क्लोन पर पहुंच जाते हैं जो बिल्कुल आपके भरोसेमंद प्रोजेक्ट जैसा दिखता है और आपसे अपना वॉलेट कनेक्ट करने के लिए कहता है।
जाल ही इसकी पहचान है
यही सबसे महत्वपूर्ण हिस्सा है। जब आप मंज़ूरी देते हैं, तो आप "लॉग इन" नहीं कर रहे होते हैं — आप एक विशिष्ट अनुमति पर हस्ताक्षर कर रहे होते हैं, और उनमें से कुछ बेहद खतरनाक हो सकती हैं। एक ERC-20 `approve()` असीमित टोकन आवंटित कर सकता है, जिससे एक कॉन्ट्रैक्ट उस टोकन को हमेशा के लिए खर्च कर सकता है। `setApprovalForAll` एक ही बार में कलेक्शन के सभी NFT को दे देता है। सबसे खतरनाक ऑफ़लाइन परमिट या परमिट2 हस्ताक्षर है। इसमें कोई गैस खर्च नहीं होती। यह एक साधारण संदेश के रूप में दिखाई देता है, लेनदेन के रूप में नहीं। और फिर भी यह एक हस्तांतरण को अधिकृत करता है। यही वह जाल है जिसमें ज़्यादातर लोग सीधे फंस जाते हैं: स्लोमिस्ट के एक विश्लेषण के अनुसार, 2024 में फ़िशिंग स्वीकृतियों में से 56.7% परमिट-शैली के हस्ताक्षर थे, ठीक इसलिए क्योंकि वे देखने में बिल्कुल साधारण लगते हैं। हमलावर भी अपग्रेड का अनुसरण करते हैं, `setOwner` जैसे अस्पष्ट कॉल्स का दुरुपयोग करते हैं और एथेरियम के पेक्ट्रा रिलीज़ के ठीक बाद, एकदम नए EIP-7702 डेलीगेशन का इस्तेमाल करते हैं।
निकास नली
एक बार साइन करने के बाद, वॉलेट ड्रेनर को सब कुछ मिल जाता है, और आपको बचाने के लिए कोई दूसरा कन्फर्मेशन नहीं होता। लक्ष्य सीधा और क्रूर है: आपके प्रतिक्रिया करने से पहले ही फंड चुरा लेना। इसने पहले ही आपकी संपत्ति का मैप बना लिया है, इसलिए यह ट्रांसफर शुरू कर देता है और आपके टोकन एक ही ब्लॉक में निकल जाते हैं। ब्लॉकचेन लेनदेन अंतिम होते हैं। किसी बैंक को कॉल करने की ज़रूरत नहीं, कोई चार्ज वापस लेने की ज़रूरत नहीं। जब तक एयरड्रॉप "लोड होने में विफल" होता है, तब तक अनधिकृत ट्रांसफर ब्लॉकचेन पर सेटल हो चुका होता है।
| आपको किस पर हस्ताक्षर करने के लिए कहा गया है | आपको यह कैसा दिखता है | यह वास्तव में क्या प्रदान करता है |
|---|---|---|
| ERC-20 `अनुमोदन()` | एक नियमित टोकन अनुमोदन | उस टोकन का असीमित उपयोग |
| `setApprovalForAll` | "संग्रह को मंजूरी दें" | इसमें मौजूद प्रत्येक एनएफटी पर नियंत्रण |
| परमिट / परमिट2 | गैस रहित हस्ताक्षर संदेश | उपयोग किए जाने तक ऑन-चेन ट्रेस के बिना हस्तांतरण अधिकार |
| `setOwner` / EIP-7702 | एक अपरिचित संकेत | आपके खाते का स्वामित्व या प्रत्यायोजन |
ड्रेनर-एज़-ए-सर्विस (DaaS): डैशबोर्ड के साथ अपराध
ड्रेनर इसलिए नहीं बढ़े क्योंकि हमलावर ज़्यादा चालाक हो गए थे। वे इसलिए बढ़े क्योंकि किसी ने इस टूल को एक उत्पाद में बदल दिया और इसके साथ ही वॉलेट चोरी को एक संगठित साइबर अपराध में बदल दिया, जिसकी एक प्रकाशित मूल्य सूची भी थी।
DaaS कैसे काम करता है
ड्रेनर-एज़-ए-सर्विस मॉडल में, एक डेवलपर वॉलेट ड्रेनर किट बनाता और उसका रखरखाव करता है और उसे उन लोगों को किराए पर देता है जो क्रिप्टोकरेंसी वॉलेट के खिलाफ अभियान चलाना चाहते हैं। सहयोगी, जो अक्सर कम कुशल हमलावर होता है, फ़िशिंग का काम संभालता है। किट चोरी का काम करती है। वे मुनाफ़ा आपस में बाँट लेते हैं, और यह बंटवारा रैंसमवेयर की रणनीति की लगभग हूबहू नकल होता है: डेवलपर चोरी किए गए मुनाफ़े का लगभग 20% हिस्सा रखते हैं, और सहयोगी बाकी 80% हिस्सा रखते हैं। इस हिस्से के बदले खरीदार को तैयार फ़िशिंग पेज, एक कंट्रोल डैशबोर्ड, गुमनामी के उपकरण और, हाँ, वास्तविक ग्राहक सहायता मिलती है। एक किशोर, जिसे कोड की एक लाइन भी लिखना नहीं आता, दोपहर के भोजन तक एक पेशेवर ऑपरेशन चला सकता है।
इन्फर्नो, पिंक और घूमता हुआ दरवाजा
इन उदाहरणों से ही इसके व्यापक प्रभाव का पता चलता है। इन्फर्नो ड्रेनर 2022 के अंत से 2023 के अंत तक सक्रिय रहा और इसने 137,000 से अधिक पीड़ितों से लगभग 87 मिलियन डॉलर की चोरी की। यह धोखाधड़ी 16,000 से अधिक फ़िशिंग डोमेन में फैली हुई थी, जो कम से कम 100 क्रिप्टो ब्रांडों की नकल कर रहे थे। पिंक ड्रेनर ने अपने संचालकों द्वारा सेवा बंद करने की घोषणा से पहले लगभग 85 मिलियन डॉलर की धोखाधड़ी की। इस पैटर्न पर ध्यान दें। एक समूह सेवानिवृत्त होता है, साइबर अपराधी अगले समूह की ओर रुख करते हैं, और इन्फर्नो स्वयं एक नए रूप में वापस आ गया। एक संचालक को बंद करने से बाज़ार समाप्त नहीं होता - बाज़ार सेवा है, न कि धोखेबाज।
जेब खाली करने वाले कितना चुराते हैं
कुल आंकड़े बहुत बड़े, अस्थिर और आसानी से गलत समझे जा सकते हैं। एक ही क्रिप्टो वॉलेट खाली करने का अभियान एक ही लेनदेन में पूरे एक्सचेंज को हैक करने से भी अधिक राशि ले सकता है, और वार्षिक आंकड़े भी बहुत उतार-चढ़ाव वाले होते हैं।
सबसे विश्वसनीय स्रोत, स्कैम स्निफर , इसका वार्षिक हिसाब रखता है। 2023 में 324,000 पीड़ितों को लगभग 295 मिलियन डॉलर का नुकसान हुआ, जो 2024 में 67% बढ़कर 494 मिलियन डॉलर हो गया, और फिर 2025 में घटकर लगभग 84 मिलियन डॉलर रह गया। यह गिरावट एक जीत की तरह लगती है। लेकिन ऐसा नहीं है। यह मुख्य रूप से ऑन-चेन गतिविधि और किट टर्नओवर में कमी को दर्शाती है, और शुरुआती दौर में ही मासिक वृद्धि देखी गई थी। अब तक की सबसे बड़ी चोरी 2024 में एक पीड़ित से 55.47 मिलियन डॉलर की DAI की हुई। कुल योग चाहे जो भी हो, चोरी की गई क्रिप्टो करेंसी एक ही तरीके से बाहर निकलती है: कुछ ही मिनटों में मिक्सर और विकेंद्रीकृत एक्सचेंजों के माध्यम से, यही कारण है कि इसका लगभग कोई भी हिस्सा वापस नहीं आता है।
| वर्ष | नाली साफ करने वालों द्वारा चुराया गया | पीड़ितों |
|---|---|---|
| 2023 | 295.5 मिलियन डॉलर | 324,000+ |
| 2024 | 494 मिलियन डॉलर | 332,000 |
| 2025 | 83.85 मिलियन डॉलर | 106,106 |
और पीड़ित सभी नौसिखिए नहीं हैं। मार्क क्यूबन ने एक धोखाधड़ी में लगभग 900,000 डॉलर गंवा दिए। यहां तक कि एथेरियम के सह-संस्थापक विटालिक बुटेरिन का एक्स अकाउंट भी हैक कर लिया गया था, जिसका इस्तेमाल एक फर्जी मिंट को बढ़ावा देने के लिए किया गया था, जिसने उनके अनुयायियों से लगभग 700,000 डॉलर निकाल लिए। अगर यह उन तक पहुंच जाता है, तो "मैं कभी इसके झांसे में नहीं आऊंगा" वाली बात उतनी आसान नहीं है जितनी दिखती है।
आपकी जेब खाली करने वाले के चेतावनी संकेत
पैसे हड़पने वाले किसी भी व्यक्ति के लगभग सभी संकेत एक ही मांग के इर्द-गिर्द घूमते हैं: इस पर अभी हस्ताक्षर करें। जब आप उन्हें देखें, तो तुरंत रुक जाएं।
जब आप सिर्फ एक टोकन खरीदना चाहते हों, तब भी असीमित टोकन की मांग करने वाले प्रॉम्प्ट से सावधान रहें। ऐसे सिग्नेचर रिक्वेस्ट से और भी ज़्यादा सतर्क रहें जिसमें कोई गैस चार्ज नहीं होती और एक ऐसा मैसेज दिखता है जिसे आप पूरी तरह पढ़ नहीं सकते। यह गैस खत्म करने का एक क्लासिक तरीका है। "अभी क्लेम करें", "सीमित मिंट" और टिक-टिक करते काउंटडाउन को दबाव बनाने की रणनीति समझें, न कि किस्मत। किसी भी ऐसे लिंक पर भरोसा न करें जो आपको DM या टेलीग्राम ग्रुप में मिले। कभी भी स्पॉन्सर्ड सर्च ऐड के ज़रिए किसी dApp तक न पहुंचें, जहां स्कैमर अक्सर असली प्रोजेक्ट को पछाड़कर टॉप स्लॉट हासिल कर लेते हैं। और हमेशा सही डोमेन की जांच करें, क्योंकि एक अक्षर बदलकर मिलता-जुलता डोमेन बनाना धोखाधड़ी वाली साइटों का सबसे पुराना तरीका है, और आज भी यही कारगर है।
अपने बटुए को खाली करने वालों से कैसे बचाएं
आपको हर नए एक्सप्लॉइट पर नज़र रखने की ज़रूरत नहीं है। दो उबाऊ आदतें अपने आप ही लगभग हर तरह के नुकसान को रोक देती हैं।
हार्डवेयर वॉलेट और बर्नर का उपयोग करें
अपनी ज़्यादातर क्रिप्टोकरेंसी हार्डवेयर वॉलेट में रखें। कुंजी ऑफ़लाइन रहती है, और हर लेन-देन के लिए डिवाइस पर भौतिक रूप से टैप करना ज़रूरी होता है, इसलिए हार्डवेयर आपके हाथ में हुए बिना कोई भी दुर्भावनापूर्ण साइट कुछ भी नहीं कर सकती। फिर, क्रिप्टोकरेंसी जमा करने, एयरड्रॉप करने और किसी भी ऐसे dApp के लिए एक दूसरा, लगभग खाली "बर्नर" वॉलेट बनाएं जिसके बारे में आपको जानकारी नहीं है। अगर यह अस्थायी वॉलेट खाली हो जाता है, तो आपका पैसा बर्बाद होगा, बचत नहीं। अपने मुख्य वॉलेट को किसी भी वेब3 साइट से जोड़ना ही वह आदत है जो इस पूरे अपराध को लाभदायक बनाए रखती है।
प्रत्येक हस्ताक्षर को पढ़ें और पुराने हस्ताक्षरों को रद्द करें।
दूसरी आदत है हस्ताक्षर करते समय ध्यान से पढ़ना। आधुनिक वॉलेट और सिमुलेशन टूल पुष्टि करने से पहले ही स्पष्ट कर देते हैं कि हस्ताक्षर करने से आपको क्या अधिकार मिलते हैं। इनका उपयोग करें और कभी भी ऐसे संदेश पर हस्ताक्षर न करें जिसे आप समझ न सकें। फिर, उन स्वीकृतियों को रद्द करें जिनकी अब आपको आवश्यकता नहीं है। एक निरस्तीकरण टूल उन सभी अनुबंधों को दिखाता है जो अभी भी आपके टोकन खर्च कर सकते हैं और आपको उन अनुबंधों को रद्द करने की सुविधा देता है जिन्हें आप भूल गए थे, जिससे हमलावर के लिए महीनों बाद आने वाले रास्ते बंद हो जाते हैं। यदि कोई साइट अपरिचित लगती है, तो पहले ब्लॉक एक्सप्लोरर पर उसके अनुबंध पर एक नज़र डालें, क्योंकि शून्य इतिहास वाला एक नया अनुबंध एक क्लासिक जालसाजी है। वह असीमित स्वीकृति जिस पर आपने 2021 में क्लिक किया था? जब तक आप इसे रद्द नहीं करते, तब तक यह सक्रिय रहेगी।
अगर आपके बटुए खाली हो जाएं तो क्या करें?
अगर ऐसा होता है, तो तेज़ी ही सबसे ज़रूरी है। क्रमबद्ध तरीके से काम करें। हमलावर ने जो भी पैसा अभी तक नहीं लिया है, उसे तुरंत एक नए, सुरक्षित वॉलेट में ट्रांसफर कर दें, क्योंकि वे अक्सर बाकी पैसे के लिए वापस आते हैं। फिर, प्रभावित पते पर सभी स्वीकृतियाँ रद्द कर दें ताकि कोई भी बची हुई अनुमति दोबारा इस्तेमाल न हो सके। उस वॉलेट को पूरी तरह से नष्ट मान लें और उसका इस्तेमाल हमेशा के लिए बंद कर दें। लेन-देन के हैश नोट कर लें और Chainabuse या Scam Sniffer जैसी सेवाओं को पते की जानकारी दें, जो इस पूरे सिस्टम का मैप तैयार करती हैं। और रिकवरी के बारे में खुद से ईमानदार रहें। ऑन-चेन ट्रांसफर अंतिम होते हैं और चोरी हुआ पैसा शायद ही कभी वापस आता है, इसलिए असली जीत नुकसान को जल्द से जल्द रोकना है।
आपके पैसे हड़पने वाले को आपकी चाबियों की नहीं, आपके हस्ताक्षर की आवश्यकता होती है।
डैशबोर्ड और किट के नाम हटा दें तो वॉलेट खाली करने वाले के पास सिर्फ एक ही हथियार होता है: आपका स्वीकृत हस्ताक्षर। यह आपकी निजी कुंजी नहीं ले सकता, यह श्रृंखला को तोड़ नहीं सकता, और जब तक आप पुष्टि पर क्लिक नहीं करते, यह एक पैसा भी नहीं निकाल सकता। अच्छी खबर यही है कि काउंटर भी उतना ही सरल है। बड़ी मात्रा में लेनदेन को ठंडे बस्ते में रखें, हर "वॉलेट कनेक्ट करें" प्रॉम्प्ट को ऐसे समझें जैसे कोई अजनबी आपकी कुंजी मांग रहा हो, और हस्ताक्षर करने से पहले अनुमति पढ़ें। ऐसा करने पर अरबों डॉलर का उद्योग आपकी स्क्रीन पर आकर दीवार से टकरा जाएगा। इसलिए अगली बार जब कोई मुफ्त मिंट आपसे हस्ताक्षर करने को कहे, तो खुद से सिर्फ एक ही सवाल पूछें: मैं वास्तव में किस बात की अनुमति दे रहा हूँ?
