स्पूफ टोकन को समझना और सहलाने से कैसे बचें

समय पढ़ें: 5 मिनट

संपत्ति की सुरक्षा और सुरक्षा से इस बात पर बहुत फर्क पड़ता है कि उपयोगकर्ता अपने निवेश से कितना पैसा कमाते हैं। और इसलिए Web3 में जागरूक और सूचित रहने के लिए यहां एक सुरक्षा ब्लॉग है।

क्रिप्टोकरेंसी को उनकी अस्थिरता के लिए जाना जाता है। यह बताता है कि निवेश निर्णय लेने में संपत्ति की कीमत कितनी प्रभावशाली है। हैकर्स कीमतों के साथ खिलवाड़ कर सकते हैं और अपने लाभ के लिए उपयोगकर्ताओं को बरगला सकते हैं। 

कोई भी जो कट्टर क्रिप्टो निवेशक है, उसे ऐसी स्थिति का सामना करना पड़ेगा जिसमें निराशावाद या आशावाद का भ्रम पैदा करने के लिए क्रिप्टो टोकन की कीमतों में हेरफेर किया जाता है। यह उपयोगकर्ताओं को उन्हें खरीदने के लिए प्रेरित करेगा और बाद में पता चलेगा कि वे स्पूफिंग के लिए गिर गए हैं। 

तो, स्पूफिंग क्या है? अपने पैसे को हवा में गायब होते देखने से बचने के लिए उन्हें कैसे पहचानें और सावधान रहें? हम इस ब्लॉग में यह सब कवर करेंगे। 

'स्पूफिंग' - संक्षेप में

इतने प्रचार के साथ व्यापक रूप से प्रत्याशित टोकन जिसे उपयोगकर्ता खरीदने का इंतजार कर रहा है, अंत में उसी प्रतीक और आधिकारिक लोगो के साथ लॉन्च किया गया है। और बड़े उत्साह के साथ यूजर इन्हें खरीदना चाहता है।

लेकिन उपयोगकर्ता टोकन की प्रामाणिकता के बारे में कैसे आश्वस्त होता है और उनकी थोक खरीदारी करने के लिए आगे बढ़ता है? 

उपयोगकर्ता ब्लॉक एक्सप्लोरर पर पाता है कि टोकन ट्रांसफर से जुड़े पते प्रभावित करने वाले / प्रशंसित व्यक्तित्व हैं। 

यहीं पर हैकर ने प्रेषक के पते में हेरफेर किया टोकन, जिससे यह प्रतीत होता है कि यह एक प्रसिद्ध प्रभावशाली व्यक्ति के पते से जुड़ा हुआ है। इसे देखते हुए, उपयोगकर्ता उन टोकनों को मूल रूप से मानते हुए व्यापार करने में संलग्न होते हैं। 

परदे के पीछे - हैकर ने ऐसा कैसे किया?

स्मार्ट कॉन्ट्रैक्ट्स में ट्रांसफर डेटा को आसानी से संशोधित किया जा सकता है। इसलिए, इसका उपयोग करके, हमलावर किसी अन्य पते से प्रेषक को बदल देगा, हालांकि वह वह है जो लेन-देन शुरू करता है।

स्पूफ टोकन ट्रांसफर की बेहतर स्पष्टता के लिए इथरस्कैन में टोकन ट्रांसफर पर नजर डालते हैं। 

इसमें आप विटालिक का पता देख सकते हैं 0xab5801a7d398351b8be11c439e05c5b3259aec9b को zkSync टोकन प्राप्त हुआ है। 

टोकन किसी से भी विटालिक के पते पर स्थानांतरित किए जा सकते हैं, जो कोई बड़ी बात नहीं है। 

लेकिन, इसमें आप देख सकते हैं कि विटालिक टोकन भेजता है। इसलिए, यह उपयोगकर्ताओं को विटालिक द्वारा भेजे गए इन टोकनों के बारे में सोचने के लिए आकर्षित करेगा जो एक वास्तविक जैकपॉट होगा। 

लेकिन यह सच नहीं है! आइए जानें कि आगे क्या है!

विटालिक ने स्थानांतरण की पहल नहीं की, लेकिन अनुबंध के मालिक जिसने लेनदेन की शुरुआत की, ऐसा प्रतीत होता है कि इसे विटालिक द्वारा भेजा गया है। यह वह जगह है जहां ब्लॉक एक्सप्लोरर को हेरफेर किए गए लेनदेन को प्रदर्शित करने के लिए धोखा दिया जाता है, क्योंकि ब्लॉक एक्सप्लोरर केवल घटनाओं को पढ़ सकता है। 

यह लेन-देन के विवरण को देखकर पाया जा सकता है, जो स्पष्ट रूप से आरंभकर्ता का पता दिखाता है (0x46e7cefdfa7513d19261d1afa7ec04c13e7acefc) लेन-देन के साथ आगे बढ़ने के लिए इसे विटालिक द्वारा किया गया है।  

करीब से देखने पर, आप पा सकते हैं कि इनपुट डेटा को विटालिक के पते के साथ फीड किया गया है। यह अनुबंध में हार्ड कोड भी हो सकता है।

इसके अलावा, डिकंपाइलिंग पर, हम एक गैर-मानक ट्रांसफर फ़ंक्शन पा सकते हैं जो इनपुट लेता है इस पते से और स्थानांतरण घटना आरंभ करता है। और यहीं पर अनुबंध के मालिक ने विटालिक के पते में प्रवेश किया है ताकि यह लगे कि वह स्थानांतरण कर रहा है।

टोकन ट्रांसफर में गड़बड़ी

यहां बताया गया है कि कैसे उपयोगकर्ता लेन-देन आरंभकर्ता के पते से पते की गलती करता है। स्पूफिंग ट्रिक ERC-20 टोकन के डिजाइन मानक और ब्लॉक एक्सप्लोरर के पारदर्शी डेटा डिस्प्ले का लाभ उठाकर उपयोगकर्ता पर सफल हमले शुरू करने का काम करती है। 

ERC-20 मानक के स्थानांतरण और हस्तांतरण से कार्य टोकन के प्रेषक के रूप में किसी भी मनमाना पते को जोड़ने की सुविधा प्रदान करते हैं और अनुबंध के आरंभकर्ता पते से प्रेषक पते को बदल दिया जाता है। 

एथरस्कैन जैसे ब्लॉक खोजकर्ता tx आरंभकर्ता पते के बजाय प्रेषक पता प्रदर्शित करते हैं, जिसके परिणामस्वरूप उपयोगकर्ता को बेकार टोकन मिलते हैं। 

स्पूफ टोकन स्पैम की कोई हालिया घटना?

उपयोगकर्ता द्वारा क्रिप्टोक्यूरेंसी दान को पुरस्कृत करने के लिए यूक्रेन के "एयरड्रॉप" की हालिया घोषणा को ट्विटर हैंडल पर पोस्ट किया गया था।

स्रोत: यूक्रेन / यूक्रेन ट्विटर पर: “एयरड्रॉप की पुष्टि हुई। स्नैपशॉट कल, 3 मार्च को कीव समयानुसार शाम 6 बजे (UTC/GMT +2 घंटे) लिया जाएगा। पालन ​​​​करने के लिए इनाम! @FedorovMykhailo” / Twitter पर यूक्रेन के क्रिप्टो दान अभियान के बाद की खबरों का पालन करें

इसके तुरंत बाद, एथेरियम के ब्लॉक एक्सप्लोरर एथरस्कैन ने गुप्त क्रिप्टो एयरड्रॉप के लिए यूक्रेन के आधिकारिक वॉलेट में 7 बिलियन "शांतिपूर्ण दुनिया" टोकन रखे। 

यूक्रेन के आधिकारिक वॉलेट से यूक्रेन के फंड को दान किए गए क्रिप्टो वॉलेट पते पर टोकन भेजने वाली गतिविधियाँ भी थीं। 

लेकिन अधिकारियों से शुरुआती पोस्ट के बाद आधिकारिक एयरड्रॉप इवेंट का कोई विवरण नहीं था (जैसा कि टोकन प्रकार या लॉन्च किए जाने वाले टोकन की संख्या, आदि)

बाद में, ब्लॉकचैन विश्लेषकों ने पुष्टि की कि शांतिपूर्ण दुनिया (वर्ल्ड) टोकन नकली हो सकते हैं, और इथरस्कैन ने उन्हें "भ्रामक" के रूप में टैग किया और उन्हें स्पैम के रूप में चिह्नित किया। 

यह उदाहरण दिखाता है कि कैसे नकली एयरड्रॉप लॉन्च करने के लिए यूक्रेन के वॉलेट पते का इस्तेमाल किया जा रहा है- टोकन स्पूफिंग का एक उदाहरण। 

स्पूफ टोकन खरीदने से कैसे बचें?

सबसे अच्छा तरीका लेन-देन के विवरण में खोदना है और यह देखना है कि टोकन ट्रांसफर का पता और आरंभकर्ता का पता समान है या नहीं।

हालांकि अलग-अलग पतों से शुरू किए गए सभी टोकन ट्रांसफर अनिवार्य रूप से एक स्पूफ नहीं हो सकते हैं, ईथरस्कैन में 'टोकन इग्नोर लिस्ट' फीचर का उपयोग करके जो इस श्रेणी में संदिग्ध टोकन को सूचीबद्ध करता है, उपयोगकर्ता सतर्क रह सकते हैं और उन टोकन के प्रति सतर्क रह सकते हैं जिनके साथ वे बातचीत करते हैं। 

Web3 सुरक्षा में QuillAudits 

क्विलऑडिट्स एक अग्रणी सुरक्षा फर्म है जो वेब3 हैक के खिलाफ सतर्क रहने के लिए स्मार्ट कॉन्ट्रैक्ट ऑडिट और ड्यू डिलिजेंस सेवाएं प्रदान करके स्थापित और बढ़ते उद्यमों को सुरक्षा प्रदान करती है। 

10 मिनट के अंदर मुफ्त परामर्श के लिए हमारे विशेषज्ञों से संपर्क करें: 

https://t.me/quillaudits_official

15 दृश्य