OpenxAI स्टेकिंग घोटाला

हमेशा मान लें कि कोई वेब सामग्री आपको धोखा देने की कोशिश कर रही है। वैध सेवाओं की नकल करने वाले घोटाले तेज़ी से फैलते हैं और ज़्यादा पेशेवर लगते हैं; एक भी लापरवाह क्लिक या कनेक्टेड वॉलेट असली पैसे का नुकसान कर सकता है। नीचे धोखाधड़ी वाली 'OpenxAI स्टेकिंग' साइट, यह कैसे काम करती है, क्रिप्टो प्रोजेक्ट इतने आकर्षक लक्ष्य क्यों हैं, और इन हमलों का पता लगाने और उनका जवाब देने के व्यावहारिक कदमों के बारे में एक केंद्रित, विशेषज्ञ व्याख्या दी गई है।

'ओपनएक्सएआई स्टेकिंग' घोटाला क्या है?

सुरक्षा शोधकर्ताओं ने एक क्लोन, धोखाधड़ी वाले स्टेकिंग पेज का पर्दाफ़ाश किया है जो OpenxAI नेटवर्क का रूप धारण करता है। यह नकली साइट (stake-openxai.com पर देखी गई है और संभवतः अन्य समान दिखने वाले डोमेन पर होस्ट की गई है) OPENX टोकन स्टेक करने पर 20% तक की वार्षिक दर (APR) का आकर्षक लाभ देने का विज्ञापन करती है। हालाँकि, यह किसी भी तरह से वास्तविक OpenxAI प्रोजेक्ट या openxai.org से संबद्ध नहीं है। इस पेज का उद्देश्य आगंतुकों को एक वेब3 वॉलेट से जोड़ना और एक ऐसे लेनदेन पर हस्ताक्षर करवाना है जो एक दुर्भावनापूर्ण स्मार्ट कॉन्ट्रैक्ट को संपत्ति स्थानांतरित करने की अनुमति देता है। अनुमति मिलने के बाद, धनराशि स्वचालित रूप से हमलावर-नियंत्रित पतों पर भेजी जा सकती है।

घोटाला वास्तव में क्रिप्टो कैसे चुराता है

जब कोई वॉलेट कनेक्ट होता है, तो पीड़ितों को एक अनुबंध को मंज़ूरी देने या लेनदेन पर हस्ताक्षर करने के लिए कहा जाता है। यह मंज़ूरी ही महत्वपूर्ण क्षण होता है: यह उपयोगकर्ता के वॉलेट से टोकन स्थानांतरित करने के लिए अनुबंध को अधिकृत कर सकता है। परिष्कृत ड्रेनर निकासी को स्वचालित करते हैं और यह भी मूल्यांकन कर सकते हैं कि कौन सी संपत्तियाँ सबसे मूल्यवान हैं, और पहले उच्च-मूल्य वाले टोकन ले सकते हैं। ये स्थानांतरण ऑन-चेन होते हैं और इसलिए अपरिवर्तनीय होते हैं। एक बार टोकन वॉलेट से निकल जाने के बाद, सामान्य ब्लॉकचेन उन्हें पूर्ववत करने का कोई अंतर्निहित तरीका प्रदान नहीं करते हैं। स्वचालित ड्रेनर के अलावा, हमलावर निजी कुंजियों को प्राप्त करने या पीड़ितों को मैन्युअल रूप से धन भेजने के लिए फ़िशिंग का भी उपयोग करते हैं।

क्रिप्टो सेक्टर एक प्रमुख लक्ष्य क्यों है?

क्रिप्टोकरेंसी पारिस्थितिकी तंत्र में कई संरचनात्मक विशेषताएं हैं जो धोखेबाजों को आकर्षित करती हैं:

• अपरिवर्तनीय लेनदेन और केंद्रीकृत वसूली की कमी का मतलब है कि एक बार धन स्थानांतरित हो जाने पर, पीड़ित कस्टोडियल चार्जबैक पर भरोसा नहीं कर सकते।
• वेब3 उपयोगकर्ता प्रवाह को स्मार्ट अनुबंधों (अनुमोदन, स्टेकिंग, स्वैप) के साथ लगातार बातचीत की आवश्यकता होती है, और एक सौम्य दिखने वाला अनुमोदन टोकन स्थानांतरित करने की व्यापक अनुमति को छिपा सकता है।
• टोकन पारिस्थितिकी तंत्र अत्यधिक खंडित हैं (कई श्रृंखलाएं, ब्रिज, टोकन, डीएप्स), जिससे हमले की संभावना बढ़ जाती है और घोटालेबाजों के लिए विश्वसनीय क्लोन और टाइपोस्क्वैटेड डोमेन बनाना आसान हो जाता है।
• 'स्वयं करो' और स्व-संरक्षण की संस्कृति उपयोगकर्ताओं को स्मार्ट अनुबंधों और ब्राउज़र वॉलेट्स के साथ सीधे बातचीत करने के लिए प्रोत्साहित करती है, जो एक शक्तिशाली सुविधा है, जो उपयोगकर्ता के जोखिम को भी बढ़ाती है।
• तेजी से बदलते टोकन मूल्यांकन और प्रचारात्मक प्रचार (उच्च एपीआर, एयरड्रॉप, प्रीसेलिंग) त्वरित कार्रवाई करने के लिए मजबूत सामाजिक प्रोत्साहन पैदा करते हैं, जिसका हमलावर तत्परता और एफओएमओ रणनीति के साथ फायदा उठाते हैं।

घोटालेबाजों द्वारा उपयोग किए जाने वाले सामान्य वितरण चैनल

• सोशल मीडिया स्पैम और प्रत्यक्ष संदेश - स्टेकिंग लिंक को आगे बढ़ाने वाले समझौता किए गए या नकली प्रभावशाली/प्रोजेक्ट खातों से पोस्ट और डीएम।
• दुष्ट विज्ञापन, मालवेयर विज्ञापन, और ब्राउज़र रीडायरेक्ट - घुसपैठ करने वाले विज्ञापन या समझौता किए गए विज्ञापन नेटवर्क जो धोखाधड़ी वाले पेज को सामने लाते हैं।
• टाइपोस्क्वैटिंग और क्लोन डोमेन - समान दिखने वाले यूआरएल और वैध साइटों की लगभग समान दृश्य प्रतियां।
• स्पैम ईमेल, एसएमएस और पुश नोटिफिकेशन - ऐसे संदेश जो प्राप्तकर्ताओं को वॉलेट से जुड़ने या लेनदेन को मंजूरी देने के लिए लुभाते हैं।

लाल झंडे और चेतावनी संकेत जिन पर ध्यान देना चाहिए

अगर आप ध्यान से देखें, तो अच्छी तरह से तैयार किए गए पेजों में भी कुछ खास संकेत होते हैं। इन पर ध्यान दें: डोमेन नाम जो एक अक्षर से अलग हों, सुरक्षा क्रेडेंशियल गायब हों या गलत हों (असली प्रोजेक्ट से कोई आधिकारिक लिंक न हो), असामान्य रूप से उच्च APR का वादा करने वाली अत्यावश्यक भाषा, 'वॉलेट कनेक्ट' करने के अनुरोध के तुरंत बाद अनुमोदन का संकेत, निजी कुंजी या सीड वाक्यांश मांगने वाले अनपेक्षित पॉपअप, और नए या निम्न-गुणवत्ता वाले खातों से आने वाले सोशल पोस्ट। एक परिष्कृत विज़ुअल डिज़ाइन प्रामाणिकता की गारंटी नहीं देता, क्लोन अक्सर ब्रांडिंग की हूबहू नकल करते हैं।

सतर्कता ही सर्वोत्तम बचाव है

हमलावर अपनी रणनीति में सुधार करते रहेंगे और उनकी नकलें और भी विश्वसनीय लगेंगी। हर अप्रत्याशित यील्ड ऑफर, पॉपअप या वॉलेट से जुड़ने के अनुरोध को तब तक संभावित रूप से प्रतिकूल मानें जब तक आप इसे स्वतंत्र, आधिकारिक माध्यमों से सत्यापित न कर लें। संदेह होने पर, कनेक्ट न करें, हस्ताक्षर न करें और अपना सीड न बताएँ। डोमेन की सावधानीपूर्वक जाँच, अनुमोदनों को सीमित करना और हार्डन वॉलेट का उपयोग जैसी छोटी-छोटी आदतें आपकी क्रिप्टो को सुरक्षित रखने का सबसे विश्वसनीय तरीका हैं।