জাল MegaETH বিক্রয় কেলেঙ্কারী
ইন্টারনেট নতুন প্রকল্প আবিষ্কার করা সহজ করে তোলে — এবং আক্রমণকারীদের জন্য বিশ্বাসযোগ্য প্রতারক পৃষ্ঠা তৈরি করাও সমানভাবে সহজ। জাল 'মেগাইটিএইচ বিক্রয়' স্কিমটি আমাদের মনে করিয়ে দেয় যে আকর্ষণীয় অফার, পালিশ করা পৃষ্ঠা বা পরিচিত লোগো বৈধতার গ্যারান্টি দেয় না। নিরাপদে ব্রাউজ করা এবং বিনিয়োগ করা মানে অপ্রত্যাশিত বিক্রয় পৃষ্ঠা, 'ওয়ালেট সংযোগ করার' জন্য জরুরি প্রম্পট, অথবা গভীর সন্দেহের সাথে সত্য বলে মনে হয় এমন অফারগুলিকে বিবেচনা করা।
সুচিপত্র
কেলেঙ্কারী কী করে
এই প্রচারণার তদন্তকারী গবেষকরা ক্লোন করা সাইটগুলি খুঁজে পেয়েছেন যা আসল MegaETH প্রকল্পের চেহারা এবং অনুভূতি অনুকরণ করে। sale-megaeth.com এবং megaeth-live.xyz (এবং সম্ভবত অন্যান্য) এর মতো ডোমেনে হোস্ট করা আক্রমণ পৃষ্ঠাগুলি একটি সময়-সীমিত বিক্রয় অফার করার ভান করে। যখন কোনও দর্শনার্থী টোপ অনুসরণ করে এবং তাদের ক্রিপ্টো ওয়ালেট সংযোগ করে, তখন সাইটটি ওয়ালেটকে একটি চুক্তি অনুমোদন বা স্বাক্ষর করতে বলে। সেই স্বাক্ষরিত অনুমোদন একটি 'ড্রেনার' কার্যকর করতে পারে - একটি স্মার্ট চুক্তি বা স্ক্রিপ্ট যা স্বয়ংক্রিয়ভাবে সংযুক্ত ওয়ালেট থেকে সম্পদগুলি সরিয়ে নেয়।
এই ড্রেনার্সগুলি ক্রমশ উন্নত হচ্ছে। প্রতিটি সম্পদ স্পষ্টভাবে খালি করার পরিবর্তে, কেউ কেউ ওয়ালেটের ব্যালেন্স স্ক্যান করতে পারে, টোকেন মূল্য অনুমান করতে পারে এবং উচ্চ-মূল্যের সম্পদকে অগ্রাধিকার দিতে পারে। এরপর তারা বহির্গামী লেনদেনগুলিকে ট্রিগার করে যা দেখতে স্বাভাবিক ব্লকচেইন কার্যকলাপের মতো, যাতে ব্যালেন্স শেষ না হওয়া পর্যন্ত ভুক্তভোগীরা লক্ষ্য করতে না পারে। যেহেতু ব্লকচেইন লেনদেন চূড়ান্ত, তাই এইভাবে নেওয়া তহবিল কার্যত পুনরুদ্ধারযোগ্য নয়।
কেন ক্রিপ্টো ইকোসিস্টেম এত ঘন ঘন লক্ষ্যবস্তু?
ক্রিপ্টো জগতের বেশ কিছু অন্তর্নিহিত বৈশিষ্ট্য রয়েছে যা এটিকে প্রতারকদের কাছে আকর্ষণীয় করে তোলে:
অনুমতিহীন, অপরিবর্তনীয় লেনদেন : ব্লকচেইনগুলি গেটকিপার ছাড়াই চুক্তি এবং স্থানান্তর সম্পাদনের অনুমতি দেয়। যখন কোনও আক্রমণকারী অনুমোদন বা স্বাক্ষর পায়, তখন তারা সম্পদ স্থানান্তর করতে পারে এবং কেন্দ্রীয় কর্তৃপক্ষ এই স্থানান্তরগুলি বিপরীত করতে পারে না।
ওয়ালেট ইউএক্স স্বাক্ষরকে উৎসাহিত করে : অনেক dApp-এর কাজ করার জন্য ওয়ালেট সংযোগ এবং লেনদেন স্বাক্ষর প্রয়োজন। এই বৈধ প্রবাহটি স্ক্যামারদের পক্ষে অপব্যবহার করা সহজ - ব্যবহারকারীদের স্বাক্ষর প্রম্পট গ্রহণ করার জন্য শর্তযুক্ত করা হয়, যা সন্দেহ কমায়।
জটিল চুক্তির ভাষা এবং ইন্টারফেস : লেনদেন এবং অনুমোদনের অনুরোধগুলিতে প্রায়শই এমন প্রযুক্তিগত তথ্য দেখানো হয় যা সাধারণ ব্যবহারকারীরা বুঝতে পারেন না, তাই দূষিত অনুমোদনগুলি দৃশ্যত স্বাভাবিক প্রম্পটের ভিতরে লুকিয়ে থাকতে পারে।
ছদ্মনামে স্থানান্তর এবং ক্রস-চেইন রাউটিং : আক্রমণকারীরা চুরি করা তহবিল দ্রুত ঠিকানা এবং চেইন জুড়ে স্থানান্তর করতে পারে, ট্র্যাকিং এবং পুনরুদ্ধারকে হতাশ করার জন্য একাধিক পরিষেবার মাধ্যমে সেগুলিকে মিশ্রিত করতে পারে।
দ্রুত উদ্ভাবন এবং প্রচারণার চক্র : নতুন প্রকল্প এবং টোকেন লঞ্চ FOMO তৈরি করে। স্ক্যামাররা 'প্রাথমিক অ্যাক্সেস' বা 'এক্সক্লুসিভ বিক্রয়' টোপ দিয়ে সেই তাড়াহুড়োকে কাজে লাগায়।
আক্রমণের বিস্তৃত পরিসর : সামাজিক প্ল্যাটফর্ম, বিজ্ঞাপন নেটওয়ার্ক, ব্রাউজার বিজ্ঞপ্তি এবং ঝুঁকিপূর্ণ ওয়েবসাইটগুলি দ্রুত এবং ব্যাপকভাবে ক্ষতিগ্রস্তদের কাছে পৌঁছানোর জন্য অনেক চ্যানেল সরবরাহ করে।
প্রতারণামূলক অফারের সাধারণ লক্ষণ
- ডোমেনের সাথে অমিল, সূক্ষ্ম টাইপিং ভুল, অথবা অস্বাভাবিক শীর্ষ-স্তরের ডোমেন (যেমন, এমন একটি সাইট যা দৃশ্যত 'MegaETH'-এর সাথে মেলে কিন্তু একটি ভিন্ন ডোমেন ব্যবহার করে)।
- জরুরি ভাষা বা 'সীমিত সময়' আপনাকে অবিলম্বে সংযোগ স্থাপনের জন্য চাপ দেয়।
- টোকেন স্থানান্তরের জন্য বিস্তৃত, সীমাহীন অনুমতি প্রদানকারী অনুমোদনগুলিতে স্বাক্ষর করার অনুরোধ
- সোশ্যাল মিডিয়া প্রচারণার দুর্বল বা অস্বাভাবিক উৎস — নতুন তৈরি অ্যাকাউন্ট থেকে ডিএম বা পোস্ট, অথবা ঝুঁকিপূর্ণ আসল অ্যাকাউন্ট থেকে বার্তা।
- স্পষ্ট, অডিটযোগ্য কারণ ছাড়াই ওয়ালেট সংযোগ বা স্বাক্ষরের জন্য জিজ্ঞাসা করা পপ-আপগুলি।
এই পৃষ্ঠাগুলি কীভাবে ছড়িয়ে পড়ে
আক্রমণকারীরা বিভিন্ন মাধ্যমে ভুয়া পৃষ্ঠা ছড়িয়ে দেয়: দুর্বৃত্ত বিজ্ঞাপন নেটওয়ার্ক এবং ম্যালভার্টাইজিং, স্প্যাম ইমেল এবং এসএমএস, টাইপোস্কোয়াড ইউআরএল, অনুপ্রবেশকারী ব্রাউজার বিজ্ঞপ্তি, অ্যাডওয়্যার, হ্যাক করা বৈধ সাইট যা ক্ষতিকারক পপআপ পরিবেশন করে এবং সোশ্যাল মিডিয়া স্প্যাম (চুরি করা বা ছদ্মবেশী অ্যাকাউন্ট থেকে বার্তা সহ)। অনুপ্রবেশকারী পপ-আপগুলিতে কখনও কখনও সম্পূর্ণরূপে কার্যকরী ড্রেনার্স থাকতে পারে।
আপনার ওয়ালেট সংযুক্ত থাকলে তাৎক্ষণিক পদক্ষেপ
অনুমোদন প্রত্যাহার করুন: আপনার ঠিকানার সাথে সম্পর্কিত সাম্প্রতিক সীমাহীন বা সন্দেহজনক অনুমোদনগুলি খুঁজে বের করতে এবং প্রত্যাহার করতে স্বনামধন্য পরিষেবাগুলি (উদাহরণস্বরূপ, একটি অন-চেইন টোকেন অনুমোদন দর্শক) ব্যবহার করুন।
অবশিষ্ট তহবিল স্থানান্তর করুন : যদি সম্ভব হয়, অনুমোদন প্রত্যাহারের পরে অপ্রভাবিত সম্পদগুলিকে একটি নতুন সুরক্ষিত ওয়ালেটে (বিশেষত একটি হার্ডওয়্যার ওয়ালেট) স্থানান্তর করুন।
কাস্টোডিয়াল সার্ভিসের সাথে যোগাযোগ করুন : যদি চুরি করা তহবিল কোনও এক্সচেঞ্জে পাঠানো হয়, তাহলে অবিলম্বে সেই এক্সচেঞ্জকে অবহিত করুন — কিছু প্ল্যাটফর্ম দ্রুত রিপোর্ট করলে সম্পদ জব্দ করতে পারে।
নথি প্রমাণ : লেনদেনের হ্যাশ, স্ক্রিনশট এবং ডোমেন নাম রেকর্ড করুন; এগুলি এক্সচেঞ্জ বা আইন প্রয়োগকারী সংস্থাগুলিকে রিপোর্ট করতে সহায়তা করবে।
লিঙ্ক করা পরিষেবাগুলিতে অ্যাক্সেস পরিবর্তন করুন : আপনি যদি একই ইমেল বা শংসাপত্র অন্য কোথাও ব্যবহার করে থাকেন, তাহলে পাসওয়ার্ড আপডেট করুন এবং MFA সক্ষম করুন।
সেরা প্রতিরোধমূলক অনুশীলন
বিশ্বাস কমানো এবং অভ্যাস কেবল সরঞ্জামের চেয়েও বেশি গুরুত্বপূর্ণ। ভালো প্রতিরক্ষার মধ্যে রয়েছে বেশিরভাগ তহবিল কোল্ড/হার্ডওয়্যার ওয়ালেটে রাখা এবং শুধুমাত্র হট ওয়ালেটগুলিকে বিশ্বস্ত, নিরীক্ষিত dApps-এর সাথে সংযুক্ত করা; প্রতিটি স্বাক্ষর অনুরোধ পরীক্ষা করা (ভাতার পরিমাণ এবং প্রাপকের ঠিকানা সন্ধান করা); সীমাহীন টোকেন অনুমোদন এড়ানো; ক্ষুদ্র, কম মূল্যের লেনদেন সহ নতুন সাইট পরীক্ষা করা; অফিসিয়াল প্রকল্প ডোমেন বুকমার্ক করা এবং প্রকল্প ডকুমেন্টেশন থেকে সামাজিক হ্যান্ডেল যাচাই করা; সম্মানিত বিজ্ঞাপন-ব্লকিং এবং অ্যান্টি-ম্যালওয়্যার এক্সটেনশন ইনস্টল করা; এবং অযাচিত লিঙ্ক বা DM-কে সন্দেহের চোখে দেখা।
চূড়ান্ত নোট
স্ক্যামাররা ক্রমবর্ধমানভাবে উচ্চমানের জাল পৃষ্ঠা তৈরি করছে যা বৈধ সাইট থেকে দৃশ্যত আলাদা করা যায় না। পেশাদার চেহারা কোনও গ্যারান্টি নয়। ডোমেন যাচাই করার, চুক্তি অনুমোদনগুলি দুবার পরীক্ষা করার, ন্যূনতম এবং প্রত্যাহারযোগ্য অনুমতি ব্যবহার করার এবং ওয়েব ইন্টারঅ্যাকশনের জন্য আপনার ব্যবহৃত ওয়ালেট থেকে বড় ব্যালেন্স রাখার অভ্যাস করুন। সতর্কতা - বিশ্বাস নয় - হল একক সেরা সুরক্ষা।
