क्रिप्टो ट्रेडर ने एड्रेस पॉइज़निंग स्कैम में $50M USDT गंवाए।

पते को जहर देने की यांत्रिकी

एक क्रिप्टोक्यूरेंसी व्यापारी ने 20 दिसंबर को “पते को जहर देने” हमले का शिकार होकर एक ही लेन-देन में लगभग $50 मिलियन खो दिए। इस घटना में, 49,999,950 USDT सीधे एक स्कैमर के वॉलेट में स्थानांतरित कर दिए गए, जिससे सुरक्षा संकट उजागर हुआ जिसमें अत्यधिक तकनीकी चोर बुनियादी मानव आदतों और उपयोगकर्ता इंटरफेस सीमाओं का शोषण करते हैं।

ऑनचैन अन्वेषक Specter के अनुसार, पीड़ित ने एक एक्सचेंज से निजी वॉलेट में फंड स्थानांतरित करने की कोशिश करते समय पहले अपने वैध पते पर 50 USDT का परीक्षण लेन-देन किया। इसे हमलावर ने देखा, जिसने तुरंत एक “स्पूफ्ड” वैनीटी पता तैयार किया जो पीड़ित के वैध वॉलेट के पहले और अंतिम चार अक्षरों से मेल खाता था।

और पढ़ें: क्रिप्टो स्कैम्स इन 2025: कैसे पहचानें और खुद की सुरक्षा करें

हमलावर ने इस नकली पते से पीड़ित को न्यूनतम मात्रा में क्रिप्टो भेजा, जिससे उपयोगकर्ता के लेन-देन इतिहास को “जहर देना” संभव हो गया। X पर हुई बातचीत में, Specter ने “इतने विशाल नुकसान का कारण बनने वाली सबसे कम संभावित वजह में से एक” का शिकार होने के लिए धन खो चुके व्यापारी पर खेद प्रकट किया। साथी अन्वेषक ZachXBT को जवाब देते हुए, जिन्होंने पीड़ित के लिए खेद जताया, Specter कहा:

“यही कारण है कि मैं निर्विकार था, एक साधारण गलती के कारण इतनी बड़ी राशि खोने के लिए। सही स्रोत से पता कॉपी और पेस्ट करने के लिए कुछ सेकंड ही पर्याप्त होंगे जो इससे सब कुछ बचा सकते थे। क्रिसमस खराब हो गया।”

यूआई खामी: अल्पविराम और मानव त्रुटि

क्योंकि अधिकांश आधुनिक क्रिप्टो वॉलेट और ब्लॉक एक्सप्लोरर लंबे अल्फान्यूमेरिक स्ट्रिंग्स को छोटा कर देते हैं—पते को बीच में अल्पविराम के साथ (उदाहरण के लिए, 0xBAF4…F8B5) दिखाना—स्पूफ्ड पता एक झलक में पीड़ित के अपने पते जैसा दिखाई दिया। इसलिए, जब पीड़ित ने शेष 49,999,950 USDT स्थानांतरित किए, तो उन्होंने एक आम अभ्यास का पालन किया: हाल के लेन-देन इतिहास से प्राप्तकर्ता का पता कॉपी करना बजाय स्रोत के।

जहर देने वाले हमले के 30 मिनट के भीतर, लगभग $50 मिलियन USDT को स्थिर कॉइन DAI में बदल दिया गया और फिर लगभग 16,690 ETH में परिवर्तित कर Tornado Cash के माध्यम से घुमाया गया। यह जानने के बाद कि क्या हुआ, हताश पीड़ित ने हमलावर को एक ऑनचेन संदेश भेजा, 98% फंड की वापसी के लिए $1 मिलियन की सफेद टोपी पुरस्कार की पेशकश की। 21 दिसंबर तक, संपत्ति वापस नहीं मिली थी।

सुरक्षा विशेषज्ञ चेतावनी देते हैं कि जैसे-जैसे क्रिप्टो संपत्तियाँ नई ऊँचाइयाँ छू रही हैं, ये निम्न-तकनीक, उच्च-पुरस्कार “जहर देने” घोटाले तेजी से बढ़ रहे हैं। इसी तरह के भाग्यों से बचने के लिए, धारकों को हमेशा प्राप्त करने वाले पते को सीधे वॉलेट के “Receive” टैब से प्राप्त करने की सलाह दी जाती है।

उपयोगकर्ताओं को अपनी वॉलेट में भरोसेमंद पतों को व्हाइटलिस्ट करना चाहिए ताकि मैन्युअल एंट्री त्रुटियों से बचा जा सके। उन्हें उन उपकरणों का उपयोग करने पर भी विचार करना चाहिए जो पूर्ण गंतव्य पते की भौतिक पुष्टि की आवश्यकता होती है, ताकि गंभीर दूसरी स्तर की जांच प्रदान की जा सके।

FAQ 💡

• 20 दिसंबर के हमले में क्या हुआ? एक व्यापारी ने एक पते को जहर देने वाले घोटाले से लगभग $50M USDT खो दिया।
• घोटाला कैसे काम करता था? हमलावरों ने ऐसे वॉलेट पते की नकल की जो छोटा होने पर समान दिखाई देता था।
• चोरी हुई क्रिप्टो कहाँ स्थानांतरित हुई? फंड DAI के माध्यम से धोया गया, ETH में परिवर्तित और Tornado Cash के माध्यम से घुमाया गया।
• व्यापारी अपनी सुरक्षा कैसे कर सकते हैं? हमेशा वॉलेट के “Receive” टैब से ही पतों की प्रतिलिपि करें और भरोसेमंद खातों को व्हाइटलिस्ट करें।