एथरस्कैन के डेटा से पता चलता है कि कुछ क्रिप्टो स्कैमर्स उपयोगकर्ताओं को एक नई चाल के साथ लक्षित कर रहे हैं जो उन्हें पीड़ित के बटुए से लेनदेन की पुष्टि करने की अनुमति देता है, लेकिन पीड़ित की निजी कुंजी के बिना। हमला केवल 0 मान के लेनदेन के लिए किया जा सकता है। हालाँकि, यह कुछ उपयोगकर्ताओं को अपहृत लेनदेन इतिहास से काटने और चिपकाने के परिणामस्वरूप गलती से हमलावर को टोकन भेजने का कारण बन सकता है।
ब्लॉकचैन सुरक्षा फर्म स्लोमिस्ट की खोज दिसंबर में नई तकनीक और एक ब्लॉग पोस्ट में इसका खुलासा किया। तब से, SafePal और Etherscan दोनों ने उपयोगकर्ताओं पर इसके प्रभाव को सीमित करने के लिए शमन तकनीकों को अपनाया है, लेकिन कुछ उपयोगकर्ता अभी भी इसके अस्तित्व से अनजान हो सकते हैं।
हाल ही में हमें समुदाय से एक नए प्रकार के घोटाले की रिपोर्ट मिली है: जीरो ट्रांसफर घोटाला। यदि आप अपने वॉलेट रिकॉर्ड में संदिग्ध 0 स्थानांतरण देखते हैं तो सावधान रहें:
1/10
- वेरोनिका (@V_SafePal) दिसम्बर 14/2022
SlowMist की पोस्ट के अनुसार, यह घोटाला पीड़ित के बटुए से शून्य टोकन के लेन-देन को उस पते पर भेजकर काम करता है जो उस पते के समान दिखता है जिसे पीड़ित ने पहले टोकन भेजा था।
उदाहरण के लिए, यदि पीड़ित ने विनिमय जमा पते पर 100 सिक्के भेजे हैं, तो हमलावर पीड़ित के बटुए से शून्य सिक्के ऐसे पते पर भेज सकता है जो समान दिखता है लेकिन वास्तव में हमलावर के नियंत्रण में है। पीड़ित इस लेन-देन को अपने लेन-देन के इतिहास में देख सकता है और यह निष्कर्ष निकाल सकता है कि दिखाया गया पता सही जमा पता है। नतीजतन, वे अपने सिक्के सीधे हमलावर को भेज सकते हैं।
स्वामी की अनुमति के बिना लेन-देन भेजना
सामान्य परिस्थितियों में, एक हमलावर को पीड़ित के बटुए से लेनदेन भेजने के लिए पीड़ित की निजी कुंजी की आवश्यकता होती है। लेकिन इथरस्कैन की "अनुबंध टैब" सुविधा से पता चलता है कि कुछ टोकन अनुबंधों में एक खामी है जो किसी हमलावर को किसी भी वॉलेट से लेनदेन भेजने की अनुमति दे सकती है।
उदाहरण के लिए, इथरस्कैन पर यूएसडी कॉइन (यूएसडीसी) के लिए कोड पता चलता है कि "ट्रांसफरफ्रॉम" फ़ंक्शन किसी भी व्यक्ति को किसी अन्य व्यक्ति के बटुए से सिक्कों को स्थानांतरित करने की अनुमति देता है जब तक कि वे जो सिक्के भेज रहे हैं वह पते के मालिक द्वारा अनुमत राशि से कम या उसके बराबर है।
आमतौर पर इसका मतलब यह है कि एक हमलावर किसी अन्य व्यक्ति के पते से तब तक लेन-देन नहीं कर सकता जब तक कि मालिक उनके लिए भत्ता स्वीकृत नहीं करता।
हालाँकि, इस प्रतिबंध में एक खामी है। अनुमत राशि को एक संख्या के रूप में परिभाषित किया गया है (जिसे "uint256 प्रकार" कहा जाता है), जिसका अर्थ है कि इसे शून्य के रूप में व्याख्या किया जाता है जब तक कि यह विशेष रूप से किसी अन्य संख्या पर सेट न हो। इसे "भत्ता" समारोह में देखा जा सकता है।
नतीजतन, जब तक हमलावर के लेन-देन का मूल्य शून्य से कम या उसके बराबर है, तब तक वे निजी कुंजी या मालिक से पूर्व अनुमोदन की आवश्यकता के बिना बिल्कुल किसी भी बटुए से लेनदेन भेज सकते हैं।
यूएसडीसी एकमात्र ऐसा टोकन नहीं है जो ऐसा करने की अनुमति देता है। अधिकांश टोकन अनुबंधों में समान कोड पाया जा सकता है। यह हो भी सकता है पाया उदाहरण में एथेरियम फाउंडेशन की आधिकारिक वेबसाइट से जुड़े अनुबंध।
जीरो वैल्यू ट्रांसफर घोटाले के उदाहरण
इथरस्कैन दिखाता है कि कुछ वॉलेट पते विभिन्न पीड़ितों के बटुए से उनकी सहमति के बिना प्रति दिन हजारों शून्य-मूल्य लेनदेन भेज रहे हैं।
उदाहरण के लिए, Fake_Phishing7974 लेबल वाले खाते ने एक असत्यापित स्मार्ट अनुबंध का उपयोग किया निष्पादन 80 जनवरी को लेन-देन के 12 से अधिक बंडल, प्रत्येक बंडल के साथ युक्त एक दिन में कुल 50 अनधिकृत लेनदेन के लिए 4,000 शून्य-मूल्य लेनदेन।
भ्रामक पते
प्रत्येक लेन-देन को अधिक बारीकी से देखने से इस स्पैम के लिए एक मकसद का पता चलता है: हमलावर शून्य-मूल्य लेनदेन को उन पतों पर भेज रहा है जो उन पतों के समान दिखते हैं जिन्हें पीड़ितों ने पहले धन भेजा था।
उदाहरण के लिए, इथरस्कैन दिखाता है कि हमलावर द्वारा लक्षित उपयोगकर्ता पतों में से एक निम्नलिखित है:
0x20d7f90d9c40901488a935870e1e80127de11d74.
29 जनवरी को, इस खाते ने 5,000 टीथर (यूएसडीटी) को इस प्राप्तकर्ता पते पर भेजने के लिए अधिकृत किया:
0xa541efe60f274f813a834afd31e896348810bb09.
इसके तुरंत बाद, Fake_Phishing7974 ने पीड़ित के बटुए से इस पते पर एक शून्य-मूल्य का लेनदेन भेजा:
0xA545c8659B0CD5B426A027509E55220FDa10bB09.
इन दो प्राप्त पतों के पहले पांच वर्ण और अंतिम छह वर्ण बिल्कुल समान हैं, लेकिन बीच के वर्ण पूरी तरह से अलग हैं। हमलावर का इरादा हो सकता है कि उपयोगकर्ता असली के बजाय इस दूसरे (नकली) पते पर यूएसडीटी भेजे, हमलावर को अपने सिक्के दे।
इस विशेष मामले में, ऐसा प्रतीत होता है कि घोटाला काम नहीं आया, क्योंकि इथरस्कैन इस पते से घोटालेबाज द्वारा बनाए गए नकली पतों में से कोई भी लेनदेन नहीं दिखाता है। लेकिन इस खाते द्वारा किए गए शून्य-मूल्य के लेन-देन की मात्रा को देखते हुए, योजना अन्य मामलों में काम कर सकती है।
वॉलेट और ब्लॉक एक्सप्लोरर इस बात में काफी भिन्न हो सकते हैं कि कैसे या क्या वे भ्रामक लेनदेन दिखाते हैं।
जेब
हो सकता है कि कुछ वॉलेट स्पैम लेनदेन बिल्कुल न दिखाएं। उदाहरण के लिए, मेटामास्क कोई लेन-देन इतिहास नहीं दिखाता है अगर इसे फिर से स्थापित किया जाता है, भले ही खाते में ब्लॉकचेन पर सैकड़ों लेनदेन हों। इसका तात्पर्य यह है कि यह ब्लॉकचेन से डेटा खींचने के बजाय अपने लेन-देन के इतिहास को संग्रहीत करता है। इससे स्पैम लेन-देन को वॉलेट के लेन-देन इतिहास में दिखने से रोका जाना चाहिए।
दूसरी ओर, यदि बटुआ सीधे ब्लॉकचेन से डेटा खींचता है, तो स्पैम लेनदेन बटुए के प्रदर्शन में दिखाई दे सकते हैं। ट्विटर पर 13 दिसंबर की घोषणा में सेफपाल की सीईओ वेरोनिका वोंग आगाह SafePal उपयोगकर्ता कि इसका वॉलेट लेन-देन प्रदर्शित कर सकता है। इस जोखिम को कम करने के लिए, उसने कहा कि SafePal अपने बटुए के नए संस्करणों में पतों को प्रदर्शित करने के तरीके को बदल रहा था ताकि उपयोगकर्ताओं के लिए पतों का निरीक्षण करना आसान हो सके।
(6/10) इस पर, हमने कार्रवाई की है:
1) नवीनतम V3.7.3 अपडेट में, हमने लेन-देन इतिहास में प्रदर्शित वॉलेट पते की लंबाई को समायोजित किया। पता परीक्षा के लिए वॉलेट पते के पहले और अंतिम 10 अंक डिफ़ॉल्ट रूप से प्रदर्शित किए जाएंगे- वेरोनिका (@V_SafePal) दिसम्बर 14/2022
दिसंबर में, एक उपयोगकर्ता ने यह भी बताया कि उनका ट्रेजर वॉलेट था प्रदर्शित भ्रामक लेनदेन।
टिप्पणी के लिए ट्रेजर डेवलपर सातोशीलैब्स को ईमेल के माध्यम से कॉइन्टेग्राफ पहुंचा। जवाब में, एक प्रतिनिधि ने कहा कि वॉलेट अपने लेन-देन के इतिहास को सीधे ब्लॉकचेन से खींच लेता है "हर बार उपयोगकर्ता अपने ट्रेजर वॉलेट में प्लग इन करते हैं।"
हालांकि, टीम यूजर्स को स्कैम से बचाने के लिए कदम उठा रही है। आने वाले ट्रेजर सूट अपडेट में, सॉफ्टवेयर "संदिग्ध शून्य-मूल्य लेनदेन को चिह्नित करेगा ताकि उपयोगकर्ताओं को सतर्क किया जा सके कि ऐसे लेनदेन संभावित धोखाधड़ी हैं।" कंपनी ने यह भी कहा कि वॉलेट हमेशा हर लेनदेन का पूरा पता प्रदर्शित करता है और वे "दृढ़ता से अनुशंसा करते हैं कि उपयोगकर्ता हमेशा पूरे पते की जांच करें, न कि केवल पहले और अंतिम अक्षर।"
खोजकर्ता ब्लॉक करें
बटुए के अलावा, ब्लॉक एक्सप्लोरर एक अन्य प्रकार के सॉफ़्टवेयर हैं जिनका उपयोग लेन-देन के इतिहास को देखने के लिए किया जा सकता है। कुछ खोजकर्ता इन लेन-देन को इस तरह से प्रदर्शित कर सकते हैं जैसे अनजाने में उपयोगकर्ताओं को गुमराह करते हैं, ठीक वैसे ही जैसे कुछ वॉलेट करते हैं।
इस खतरे को कम करने के लिए, इथरस्कैन ने शून्य-मूल्य वाले टोकन लेनदेन को धूसर करना शुरू कर दिया है जो उपयोगकर्ता द्वारा शुरू नहीं किए गए हैं। यह इन लेन-देन को एक अलर्ट के साथ फ़्लैग भी करता है जो कहता है, "यह एक शून्य-मूल्य टोकन हस्तांतरण है जो किसी अन्य पते से शुरू किया गया है," जैसा कि नीचे दी गई छवि से पता चलता है।
अन्य ब्लॉक खोजकर्ताओं ने इन लेनदेन के बारे में उपयोगकर्ताओं को चेतावनी देने के लिए एथरस्कैन के समान कदम उठाए होंगे, लेकिन कुछ ने अभी तक इन चरणों को लागू नहीं किया होगा।
'जीरो-वैल्यू ट्रांसफरफ्रॉम' ट्रिक से बचने के टिप्स
"जीरो-वैल्यू ट्रांसफरफ्रॉम" ट्रिक के शिकार होने से बचने के तरीके के बारे में सलाह के लिए कॉइनटेग्राफ स्लोमिस्ट के पास पहुंचा।
कंपनी के एक प्रतिनिधि ने कॉइनटेग्राफ को हमले का शिकार बनने से बचने के लिए सुझावों की एक सूची दी:
- "किसी भी लेन-देन को निष्पादित करने से पहले सावधानी बरतें और पते को सत्यापित करें।"
- "गलत पते पर धन भेजने से रोकने के लिए अपने बटुए में श्वेतसूची सुविधा का उपयोग करें।"
- "सतर्क रहें और सूचित रहें। यदि आप किसी भी संदिग्ध स्थानान्तरण का सामना करते हैं, तो स्कैमर्स के शिकार होने से बचने के लिए शांति से मामले की जांच करने के लिए समय निकालें।"
- "संदेह का एक स्वस्थ स्तर बनाए रखें, हमेशा सतर्क और सतर्क रहें।"
इस सलाह को देखते हुए, क्रिप्टो उपयोगकर्ताओं को याद रखने वाली सबसे महत्वपूर्ण बात यह है कि क्रिप्टो भेजने से पहले हमेशा पते की जांच करें। भले ही लेन-देन रिकॉर्ड यह दर्शाता हो कि आपने पहले पते पर क्रिप्टोकरंसी भेजी है, यह दिखावट धोखा देने वाला हो सकता है।
स्रोत: https://cointelegraph.com/news/scammers-are-targeting-crypto-users-with-new-zero-value-transferfrom-trick