ভুয়া airdrop ও phishing চেনার পূর্ণ গাইড: approval phishing, ভুয়া claim পেজ, seed phrase প্রতারণা

Q: approval-এ ফাঁদে পড়ার পর revoke.cash-এ revoke করলে ইতিমধ্যে চুরি যাওয়া কয়েন ফেরত আসে কি?

না। approval revoke করা শুধু 'এখন থেকে' drain হওয়ার পথটা বন্ধ করে; যা সরে গেছে তা ফেরত আসে না, কারণ on-chain transaction অপরিবর্তনীয়। তাই revoke মানে রক্তপাত বন্ধ করা: approval এখনও চালু থাকলে আর কয়েন পুরোটা না-সরলে দ্রুত revoke বাকিটা বাঁচায়; কিন্তু private key বা seed phrase ফাঁস হলে revoke কাজে দেবে না — তখন পুরো wallet বাতিল করে সম্পদ একদম নতুন wallet-এ সরাতে হবে।

Q: আমার wallet-এ হঠাৎ একটা অচেনা token এসে গেছে। কী করব?

হাত দেবেন না, আর বিশেষ করে এর সাথে জোড়া কোনো 'official site' বা 'claim' লিংকে ক্লিক করবেন না। বিনা চাওয়ায় আপনার address-এ এসে পড়া অপরিচিত token বেশিরভাগ ক্ষেত্রেই টোপ: এটা আপনাকে একটা phishing সাইটে টেনে নিয়ে approve বা sign করার অপেক্ষায় থাকে। সঠিক কাজ হলো এটা যেন নেই — interact করবেন না, approve করবেন না, দরকারে wallet-এ লুকিয়ে রাখুন। এটা নিজে থেকে কয়েন চুরি করবে না; ঝামেলা শুরু হয় কেবল তখন, যখন আপনি এর লিংকে হাত দেন বা কিছু সাইন করেন।

আমি এমন অনেককে চিনি, যারা ছয় মাস farming করেও একটাও ভদ্রস্থ airdrop পায়নি, অথচ এক গভীর রাতে হাত ফসকে কয়েক মাসে গড়া পুরোটাই সাইন করে দিয়ে বসেছে। গল্পটা সবসময় একই ছকে চলে: একটা মেসেজ দেখা — "আপনি eligible, এখনই claim করুন, সীমিত সময়", ক্লিক, wallet কানেক্ট, পপআপ, confirm — তিন সেকেন্ডের ব্যাপার। on-chain transaction অপরিবর্তনীয়; ওই একটা ক্লিক সাইন হয়ে গেলে কেউ আর ফেরাতে পারে না। তাই এই কোয়েস্টটাকে আমি বলি "দানব-তালিকা": farming-এর আসল শত্রু মিস করা নয়, phishing-এ ধরা পড়া। নিচের দানবগুলো — দেখতে কেমন, কীভাবে কামড়ায়, কীভাবে এড়াবেন, আর কামড়ালে কীভাবে নিজেকে বাঁচাবেন — একে একে খুলে দিচ্ছি।

প্রথমে একটা কথা মনে রাখুন: সাইট দেখলেই টাকা সরে না

লড়াইয়ের আগে একটা মূল সত্য মাথায় গেঁথে নিন — এটাই আতঙ্কের মুহূর্তে আপনাকে মারাত্মক ভুল থেকে বাঁচাবে: blockchain-এর সম্পদ কেবল আপনার নিজের হাতে সাইন করা একটা transaction বা approval-এর কারণেই সরে। শুধু একটা পেজ খোলা, wallet কানেক্ট করা, বিজ্ঞাপন দেখা, কাউন্টডাউন দেখা — এসব কাজে আপনার এক পয়সাও যায় না। বিপদ সবসময় পরের ধাপে: আপনার wallet একটা বাক্স খুলে "confirm", "sign" বা "approve"-এ ক্লিক করতে বলে, আর আপনি ক্লিক করে ফেলেন।

প্রতারণার রূপের শেষ নেই, কিন্তু এদের গন্তব্য মোটে দুটো: হয় আপনাকে একটা approval বা transfer সাইন করানো, নয়তো আপনাকে সরাসরি seed phrase বা private key হাতে তুলে দেওয়ানো। প্রথমটা কোনো নির্দিষ্ট কয়েন বা সম্পদ চুরি করে; দ্বিতীয়টা পুরো wallet। এই দুই মূল রেখা চিনে নিলে পরের প্রতিটা কৌশল আপনি শ্রেণিবদ্ধ করতে পারবেন। তাই যখনই কোনো "claim", "verify", "sync" বা "unlock" পপআপ আসে, তিন সেকেন্ড থামুন আর নিজেকে একটা প্রশ্ন করুন: ঠিক এই মুহূর্তে আমি কী সাইন করছি? এই একটা থেমে যাওয়াই আপনার বেশিরভাগ সম্পদ বাঁচাতে পারে।

▶ মনের প্রস্তুতি

নতুনরা যে ভুলটা সবচেয়ে বেশি করে, তা "উন্নত প্রযুক্তিতে হ্যাক হওয়া" নয় — বরং উদ্বিগ্ন আর উত্তেজিত অবস্থায় খেয়ালহীনভাবে confirm-এ ক্লিক করা। প্রতিটা phishing ফাঁদ আপনাকে তাড়াহুড়ো করাতে দুটো জিনিসের ওপর ভর করে: দুষ্প্রাপ্যতা (সীমিত সময়, সীমিত আসন, ফসকালে শেষ) আর কর্তৃত্ব (official সাজা)। যেই মুহূর্তে মনে হয় "আমাকে তাড়াতাড়ি করতে হবে", সম্ভবত ঠিক সেই মুহূর্তেই থামা দরকার।

দানব #১: ভুয়া airdrop ও ভুয়া claim পেজ

এটাই সবচেয়ে সাধারণ শুরু। এর টোপ সাধারণত এমন দেখায়:

আপনার wallet-এ কোনো কারণ ছাড়াই একটা token এসে যায়, নাম প্রায়ই বেশ চমকদার, কোনো জনপ্রিয় প্রজেক্টের ছায়া বহন করে, আর token বিবরণে গুঁজে দেওয়া থাকে একটা URL — "এখানে গিয়ে আসল পুরস্কার claim করুন"।
Twitter, Telegram বা Discord-এ কেউ আপনাকে @ করে বা DM পাঠায়, বলে যে আপনি কোনো airdrop-এর জন্য eligible, সাথে একটা claim লিংক জুড়ে দেয়।
Google-এ কোনো প্রজেক্ট খুঁজলে ওপরের বিজ্ঞাপনের স্লট-এ থাকে একটা নকল ডোমেইন, যা official সাইটের প্রায় হুবহু — এক-দুই অক্ষরের তফাত, কিংবা .com বদলে .xyz, .app ইত্যাদি করা।

ঢুকে পড়ার পর ভুয়া claim পেজটা বানানো হয় খুবই বিশ্বাসযোগ্য করে: প্রজেক্টের logo, রং, ফন্ট সব নকল করা, পেজে একটা ঝকঝকে "Claim" বাটন, হয়তো একটা টিকটিক করা কাউন্টডাউন আপনাকে তাড়া দিতে। আপনি wallet কানেক্ট করেন, claim-এ ক্লিক করেন, পপআপ আসে — এখানেই মূল কথা — সেই পপআপ যা সাইন করতে বলছে তা মোটেও "কয়েন claim করা" নয়, বরং একটা approval বা transfer। ইন্টারফেসে লেখা "Claim", অথচ নিচে সত্যিকারে যে contract call চলছে তা আপনার সম্পদ প্রতারকের কাছে approve করে দেয়, কিংবা একদম সরিয়ে নেয়।

কীভাবে চিনবেন? কয়েকটা কড়া নিয়ম:

ডোমেইন অক্ষর ধরে ধরে মেলান। সার্চ ফলাফল বিশ্বাস করবেন না, অন্যের পাঠানো লিংক বিশ্বাস করবেন না। কোনো প্রজেক্টের official সাইটে সত্যিই যেতে হলে, এর official Twitter প্রোফাইল বা official docs থেকে ক্লিক করে যান, নয়তো আপনার নিজের যাচাই করা একটা URL টাইপ করুন। নকল ডোমেইন এই প্রতারণার দুর্বল জায়গা — এটা চেপে ধরলে বেশিরভাগই ছেঁকে বেরিয়ে যায়।
বিশ্বাস না-হওয়ার মতো "সীমিত সময়ের claim" আগে থেকেই ভুয়া ধরে নিন। সত্যিকারের airdrop খুব কমই "এখনই claim করো নয়তো হারাবে" চাপের কৌশল খাটায়; বৈধ প্রজেক্ট বরং নিয়মগুলো স্পষ্ট করে লেখে আর যথেষ্ট সময় দেয়। যত বেশি তাড়া দেয়, যত বেশি দুষ্প্রাপ্যতার অনুভূতি চাঙা করে, তত বেশি সন্দেহজনক।
wallet-এ ভেসে আসা অচেনা token — এর দেওয়া লিংকে কখনো হাত দেবেন না। এ ধরনের "airdrop" হলো আপনাকে phishing পেজে আটকানোর টোপ। এটা যেন নেই — তাই ধরে চলুন; নিজে থেকে এটা আপনার কয়েন চুরি করবে না।

প্রসঙ্গক্রমে: সত্যিকারের airdrop কী, প্রজেক্ট কেন token দিতে রাজি হয়, আর বৈধ claim ফ্লো মোটামুটি দেখতে কেমন — এসব airdrop আসলে কী লেখায় আছে। আগে মাথায় "স্বাভাবিকটা দেখতে কেমন" এর একটা ছক রাখুন, তাহলে ভুয়াগুলো সহজে ধরা পড়ে।

⚠ সতর্ক থাকুন

একটা বিশেষ ধূর্ত রূপ আছে: phishing পেজ আপনাকে বলে "পরিচয় যাচাইয়ে একটা ফ্রি মেসেজ sign করুন"। এই signature দেখতে নিরীহ (gas লাগে না, login-এর মতো দেখায়), কিন্তু এর ভেতরের বিষয়বস্তু হতে পারে একটা permit approval (নিচে বিস্তারিত), যেটা sign করলেই একটা দরজা খুলে যায়। মনে রাখুন: আপনাকে sign করতে বলা কোনো কিছু যদি আপনি বুঝতেই না পারেন কী বলছে, তাহলে sign করবেন না।

দানব #২: approval phishing (approve / permit / setApprovalForAll)

এটাই সময় দিয়ে বোঝার সবচেয়ে দরকারি দানব, কারণ এটাই সবচেয়ে ছলনাময় আর সবচেয়ে সাধারণ। ঠিকঠাক বোঝাতে হলে আগে পরিষ্কার করতে হবে approval জিনিসটা আসলে কী।

on-chain-এ আপনার token (ধরুন USDT, নানা ERC-20 token) আপনার নিজের address-এ থাকে। যখন আপনি কোনো DeFi অ্যাপ ব্যবহার করতে চান — swap করতে, stake করতে — তখন ওই অ্যাপের contract-কে "আপনার হয়ে ওই কয়েন সরাতে" হয়। কিন্তু সে শূন্য থেকে আপনার টাকা সরাতে পারে না; আপনাকে আগে তাকে approve করতে হয়: আপনি একটা transaction sign করে token contract-কে বলেন "অমুক contract address-কে অনুমতি দাও, যাতে সে আমার এই কয়েন থেকে সর্বোচ্চ X পরিমাণ সরাতে পারে"। এটা একটা স্বাভাবিক ব্যবস্থা, farming-এ এড়ানো যায় না — DeFi ব্যবহার করে থাকলে আপনি একটা approve sign করেছেনই।

সমস্যা দুই জায়গায়। প্রথমত, অনেক approval ডিফল্টভাবে "unlimited amount" — সুবিধার জন্য অ্যাপ প্রায়ই এমন একটা সীমাহীন পরিমাণ চায়, যাতে আপনাকে বারবার approve করতে না হয়। সুবিধা ঠিকই, কিন্তু একবার ওই contract দূষিত হলে, বা পরে hack হলে, এটা ওই কয়েনের পুরোটাই ঝেঁটিয়ে নিতে পারে — শুধু আপনি যেটুকু ব্যবহার করতে চেয়েছিলেন তা নয়। দ্বিতীয়ত, approval ফল দেয় দেরিতে: sign করার মুহূর্তে আপনার কয়েন কমে না আর পপআপও ভীতিকর নয়, তাই আপনি কিছুই টের পান না। প্রতারক একবার unlimited approval পেলে, ওঁৎ পেতে থেকে আপনার balance যেদিন সবচেয়ে বেশি সেদিন একদম পরিষ্কার করে দিতে পারে। যারা "কয়েক দিন পরে আচমকা হ্যাক হয়", তাদের অনেকের শিকড় কোনো এক সময় খেয়ালহীনভাবে sign করা একটা approval-এ।

কয়েকটা সাধারণ approval call — অন্তত নামগুলো আপনার চেনা উচিত:

approve — ERC-20 token-এর জন্য (USDT, নানা কয়েন), একটা contract-কে আপনার কোনো কয়েন সরানোর approval দেয়, amount হয়তো unlimited।
permit / permit2 — "signature দিয়ে approve" করার একটা পদ্ধতি, আলাদা transaction লাগে না, gas লাগে না, আরও কম চোখে পড়ে। phishing পেজ এটা খুব ভালোবাসে, কারণ ভুক্তভোগী ভাবে "আমি তো শুধু একটা কিছু sign করলাম, টাকা খরচ করিনি" আর সবচেয়ে বেশি অসতর্ক হয়ে পড়ে।
setApprovalForAll — NFT-এর জন্য, আর এটা সবচেয়ে নির্মম: একটা signature-এই আপনার পুরো NFT সংগ্রহ অন্য পক্ষকে approve করে দেয়। ভুয়া "NFT claim" আর "free mint" পেজ এটা খুব ব্যবহার করে, এক চালেই আপনার গোটা NFT সেট হাঁকিয়ে নিয়ে যেতে পারে।

✖ লাল রেখা

wallet-এর signature পপআপে যদি approve, permit বা setApprovalForAll-এর মতো শব্দ দেখেন, আর amount দেখায় "unlimited / Unlimited / একটা বিশাল সংখ্যার লম্বা স্ট্রিং", অথচ আপনি স্পষ্ট জানেন না কেন approve করবেন — সঙ্গে সঙ্গে প্রত্যাখ্যান করুন। বৈধ অ্যাপের approval আসে কেবল তখন, যখন আপনি নিজে থেকে swap বা stake শুরু করেন, কোনো "airdrop claim" বা "verify identity" পেজ আচমকা আপনার সামনে ছুঁড়ে দিলে নয়।

approval phishing কীভাবে এড়াবেন?

sign করার আগে পপআপ বুঝে নিন। মূলধারার wallet এখন sign করার আগে একটা পাঠ দেয়: এই transaction কী করছে, কাকে approve করছে, amount কত বড়। অন্ধভাবে confirm-এ ক্লিক করবেন না — ওই লাইনটা পড়তে পাঁচ সেকেন্ড দিন। বুঝতে পারছেন না? sign করবেন না।
পারলে approval amount কমিয়ে নিন। অনেক wallet আপনাকে unlimited বদলে "এবারের জন্য ঠিক যতটুকু দরকার"-এ নামাতে দেয়। একটু বাড়তি ঝামেলা, কিন্তু এতে ঝুঁকি "সবকিছু" থেকে "এইটুকু"-তে নেমে আসে।
নিয়মিত approval পরিষ্কার করুন। revoke.cash-এর মতো টুল দিয়ে wallet কানেক্ট করলে দেখতে পাবেন আপনার address কোন কোন contract-কে কত approval দিয়েছে, তারপর অব্যবহৃত আর সন্দেহজনকগুলো একে একে revoke করুন। এটাকে রোজকার অভ্যাস বানান — কীভাবে আর কত ঘন ঘন করবেন, তা বিশেষভাবে আছে wallet নিরাপত্তা লেখায়।

approval-এর এই ব্যাপারটাই ঠিক সেই কারণ, যে জন্য এই সাইট বারবার জোর দেয় একটা আলাদা farming wallet রাখার, যাতে বড় টাকা থাকবে না: কোনো দিন approval ফাঁদে পড়লেও ক্ষতি এই ছোট পাত্রেই সীমাবদ্ধ থাকে, আর আপনার মূল সম্পদ ও দীর্ঘমেয়াদি holding একটা আলাদা, পরিষ্কার wallet-এ নিরাপদে থাকে, কখনো ছোঁয়াও হয় না।

দানব #৩: drainer স্বয়ংক্রিয় ঝেঁটিয়ে নেওয়া স্ক্রিপ্ট

"drainer" মানে ঠিক তা-ই — wallet খালি করার জন্য বিশেষভাবে বানানো দূষিত স্ক্রিপ্টের একটা পুরো সেট। এটা একক কোনো চাল নয়, বরং ওপরের কৌশলগুলোকে একটা "পণ্যে" প্যাকেজ করা — অপরাধী আন্ডারগ্রাউন্ডে লোকজন এমনকি drainer অন্যকে ভাড়া দেয়, ভাড়াটে টোপ ফেলার কাজ করে (ভুয়া সাইট, বিজ্ঞাপন কেনা, গ্রুপে লিংক ছড়ানো) আর drainer "দক্ষভাবে খালি করার" কাজ সামলায় ও লুটের ভাগ ভাড়াটের সাথে ভাগ করে। তাই বাইরে যত phishing সাইট দেখেন, এদের অনেকগুলোর পেছনে একই drainer চলছে।

এর হুল কোথায়? wallet কানেক্ট করার মুহূর্তেই স্ক্রিপ্ট আপনার address-এর সব সম্পদ স্বয়ংক্রিয়ভাবে স্ক্যান করে — সব chain, প্রতিটা token, NFT — হিসাব করে কোনটা সবচেয়ে মূল্যবান, তারপর যত্ন করে একটা পপআপ বানায় যা "সবচেয়ে দামি approval বা transfer"-কে "claim" বা "verify"-এর মতো নিরীহ সাজিয়ে আপনাকে এক চালে sign করতে প্রলুব্ধ করে। কেউ কেউ আরও এক ধাপ এগিয়ে signing-কে কয়েক ধাপে ভাগ করে, আগে ছোট পুরস্কার দিয়ে সতর্কতা কমায় আর শেষ ধাপে আসল আঘাত হানে। পুরো প্রক্রিয়াটা অত্যন্ত স্বয়ংক্রিয়; wallet কানেক্ট করা থেকে সম্পদ ঝেঁটিয়ে নেওয়া পর্যন্ত কয়েক দশ সেকেন্ডের ব্যাপার হতে পারে।

▶ সম্পাদনা দলের হাতেকলমে পরীক্ষা

এই phishing পেজগুলো ঠিক কী sign করাতে চায়, তা বের করতে আমরা ইচ্ছে করে একটা খালি wallet বানালাম (কয়েক ডলারের gas, কোনো দামি সম্পদ নেই) আর কয়েকটা পরিচিত phishing সাইটে গেলাম, পুরোটা সময় block explorer আর wallet-এর "পাঠ" ইন্টারফেস দেখতে দেখতে। কয়েকটা সাইটের ছক প্রায় এক ছাঁচে ঢালা: পেজজুড়ে "Claim" চিৎকার, অথচ wallet আসলে যা confirm করাল তা হয় একটা approve unlimited approval, নয় একটা permit signature, নয়তো একটা setApprovalForAll। সবচেয়ে ধূর্তটা প্রথমে একটা "gas ছাড়া পরিচয় যাচাইয়ের signature" তুলে আমাদের একটু শিথিল করল, আসল approval এল ঠিক পরের দ্বিতীয় পপআপে। আমরা অবশ্যই সবগুলো প্রত্যাখ্যান করলাম। সবচেয়ে দরকারি কথা যা সঙ্গে নেওয়ার: আতঙ্কিত অবস্থায় পেজের দিকে তাকিয়ে থাকা অর্থহীন — নিচে তাকিয়ে wallet পপআপের সেই এক লাইন আসল উদ্দেশ্যটা পড়ুন, মুখোশ তখনই খসে পড়ে। আরও একটা কথা — এই পরীক্ষা মূল wallet দিয়ে করবেন না; সত্যিকারের ক্ষতির ঝুঁকি আছে, তাই একটা ব্যবহার-করে-ফেলে-দেওয়ার মতো খালি wallet ব্যবহার করুন।

drainer ঠেকানোয় কোনো রহস্য নেই — আগের দুই ভাগের কাজটা শুধু শক্ত করে করা: সন্দেহজনক সাইটে ঢুকবেন না, না-বোঝা জিনিস sign করবেন না, আর একটা আলাদা ছোট wallet দিয়ে ঝুঁকি আলাদা করুন। drainer যত "চালাক"-ই হোক, কাজ করার আগে এটাকে এখনও অপেক্ষা করতে হয় আপনি ওই confirm বাটনটা চাপার জন্য। ওই হাতটা সামলে রাখুন, এটা একটা কাগুজে বাঘ।

দানব #৪: seed phrase ও private key প্রতারণা

আগেরগুলো অন্তত আপনাকে কোনো কিছু sign করানোর ফাঁদে ফেলে; এটা সোজা মাস্টার চাবির দিকে যায়: আপনাকে আপনার seed phrase বা private key হাতে তুলে দেওয়ানো। একবার সফল হলে এর আপনার signature-ও লাগে না — আপনার seed phrase নিয়ে এটা যেকোনো ডিভাইসে আপনার পুরো wallet "কপি" করে নিতে পারে, আর আপনার নামের প্রতিটা chain ও সম্পদ এক নিমেষে হাতবদল হয়ে যায়। এটাই সবচেয়ে সম্পূর্ণ ক্ষতি, কারণ এটা কোনো নির্দিষ্ট কয়েন নয়, পুরো wallet-এর মালিকানা চুরি করে।

seed phrase (সাধারণত ১২ বা ২৪টা ইংরেজি শব্দ) আর private key আসলে কী, আর কেন এরা মাস্টার চাবির সমান, তা পুরো ব্যাখ্যা করা আছে wallet নিরাপত্তা লেখায়। এখানে আপনাকে শুধু একটা ব্যতিক্রমহীন লাল রেখা মনে রাখতে হবে:

✖ একটা ব্যতিক্রমহীন লাল রেখা

কোনো সত্যিকারের airdrop, support এজেন্ট, official কার্যক্রম, wallet আপগ্রেড, sync বা unfreeze কখনোই আপনার seed phrase বা private key চায় না। যেই মুহূর্তে কেউ চাইল — কারণ যত যুক্তিসঙ্গত হোক, ভঙ্গি যত official হোক, ইন্টারফেস যত বৈধ দেখাক — সে একশো ভাগ একজন প্রতারক। বন্ধ করে দিন; দ্বিধার দরকার নেই।

এই প্রতারণা যে কয়েকটা চেহারায় আসে:

ভুয়া "wallet sync / import" পেজ। MetaMask বা Binance wallet-এর মতো দেখতে একটা পেজ বানিয়ে দাবি করে আপনার wallet-কে "পুনরায় verify / sync" করতে হবে, আর আপনার seed phrase লিখতে বলে। যেই মুহূর্তে আপনি তা ভরলেন, শব্দগুলো প্রতারকের হাতে।
ভুয়া support "আপনার সমস্যা ঠিক করে দিচ্ছে"। কোনো গ্রুপে আপনি wallet ঠিকমতো কাজ করছে না বলে অভিযোগ করলেন, আর সঙ্গে সঙ্গে একজন "support এজেন্ট" বা "অ্যাডমিন" আপনাকে DM করে, সহৃদয়ভাবে কোনো পেজে নিয়ে যায় বা স্রেফ "ঠিক করতে সাহায্য করার জন্য" আপনার seed phrase পাঠাতে বলে। আসল support কখনো তা চাইবে না।
ভুয়া wallet অ্যাপ / ভুয়া এক্সটেনশন। অ-official উৎস থেকে নামানো wallet নিজেই একটা খোলস; আপনি যখন wallet তৈরি বা import করেন, seed phrase সঙ্গে সঙ্গে ছিনিয়ে নেওয়া হয়। তাই wallet সবসময় official চ্যানেল থেকে ইনস্টল করুন — এই কথাটা বারবার জোর দেওয়া আছে Binance Web3 Wallet গাইড-এ।
"হুবহু নকল" recovery-phrase ইনপুট ফিল্ড। কোনো কোনো phishing পেজ যত্ন করে ১২ / ২৪টা ইনপুট বাক্স পরপর সাজিয়ে রাখে, দেখতে একদম বৈধ import স্ক্রিনের মতো, যাতে আপনার সতর্কতা কমে। ইন্টারফেস যত মিলুক, যুক্তি বদলায় না: আসলটা কখনো আপনার seed phrase চায় না।

সোজা কথায়, seed phrase-এর সারাজীবন কাটানো উচিত অফলাইনে; যেদিন আপনি এটা টুকে রাখলেন, সেদিন থেকে এটা আর কখনোই কোনো ওয়েব পেজে, কোনো চ্যাট বক্সে বা কোনো support কথোপকথনে টাইপ করা উচিত নয়। আপনার বিশ্বাস করা একটা wallet অ্যাপের ভেতরে wallet পুনরুদ্ধার করা — এই একটা ক্ষেত্র ছাড়া, এটা চাওয়া অন্য যেকোনো কিছু আপনার গোটা সম্পদের পেছনে লেগেছে।

দানব #৫: ভুয়া support, ভুয়া official অ্যাকাউন্ট, ভুয়া হঠাৎ-ঢোকানো গ্রুপ

এটা ওপরের সব চালের "গ্রাহক জোগানোর চ্যানেল"। আগের কৌশলগুলো কাজে লাগানোর আগে প্রতারককে প্রথমে আপনাকে একটা phishing পেজে আনতে হয়, কিংবা আপনার বিশ্বাস অর্জন করতে হয়। পদ্ধতিগুলো খুবই সামাজিক-প্রকৌশলধর্মী:

ভুয়া official অ্যাকাউন্ট / হুবহু নকল। অ্যাভাটার, নাম আর বায়ো সব আসল প্রজেক্ট থেকে নকল করা, কেউ কেউ ব্লু-চেক পর্যন্ত কিনে নেয়, আসল প্রজেক্টের জনপ্রিয় পোস্টের নিচে "এখানে airdrop claim করুন" বলে রিপ্লাই করে, বা সরাসরি "official airdrop এখন চালু" পোস্ট দেয়। নতুন কেউ আসল-ভুয়া আলাদা করতে পারে না, খেয়ালহীনভাবে ক্লিক করে ফেলে।
মন্তব্য-অংশ আর DM phishing। কোনো crypto-সম্পর্কিত পোস্টের নিচে আপনি মন্তব্য করলেন, বা কেবল একটা প্রজেক্ট ফলো করলেন, আর শিগগিরই একজন "official সহকারী" বা "airdrop বিশেষজ্ঞ" আপনাকে DM করে। মনে রাখুন: একটা বৈধ প্রজেক্ট প্রায় কখনোই বিনা চাওয়ায় আপনাকে লিংকসহ DM করে না। যে নিজে থেকে আপনার কাছে আসে, ডিফল্টে তাকে প্রতারক ধরে নিন।
ভুয়া গ্রুপ / "হঠাৎ-ঢোকানো" গ্রুপ। আপনাকে কোনো কারণ ছাড়াই দেখতে-জমজমাট একটা গ্রুপে ঢোকানো হয়, যেখানে "দালালরা" নিজেদের লাভ জাহির করে আর অ্যাডমিন "একচেটিয়া claim চ্যানেল" পোস্ট করে। গ্রুপ যত জমজমাট, জাহির যত বাড়াবাড়ি, তাড়া যত বেশি — তত বেশি সতর্ক হওয়া উচিত।
ভুয়া "wallet পপআপ" নোটিফিকেশন। কোনো NFT বা token "নোটিফিকেশন"-এর রূপে আপনার address-এ airdrop হয়; খুললে লেখা থাকে "অভিনন্দন, আপনি জিতেছেন, claim করতে এখানে ক্লিক করুন", আসলে এটা শুধু আপনাকে একটা phishing সাইটে চালান করছে।

⚠ সতর্ক থাকুন

কোনো তথ্য-উৎস আসল কি না বিচার করতে "এটা কতটা official দেখায়" তা দেখবেন না — দেখুন এটা আপনাকে কোনো উচ্চ-ঝুঁকির কাজের দিকে ঠেলছে কি না। একটা আসল official ঘোষণা সাধারণত শুধু বলে official সাইটে গিয়ে দেখতে; একজন প্রতারক সব উপায়ে চাইবে আপনি যেন এখনই wallet কানেক্ট করেন, এখনই sign করেন, এখনই seed phrase তুলে দেন। যতক্ষণ এটা আপনাকে এই তিনটার একটা করতে তাড়া দেয়, যত official-ই দেখাক না কেন, প্রথমে প্রতারক হিসেবেই ধরুন।

দানবগুলো চিনতে পারলে আরও আত্মবিশ্বাসের সাথে মাঠে নামতে পারবেন। সত্যিই হাত পাকাতে চাইলে অজানা উৎসের কোনো "airdrop" দিয়ে শুরু করবেন না — বৈধ চ্যানেলের মধ্য দিয়ে আপনার on/off-ramp আর wallet গুছিয়ে নিন, তাতে অনেক বেশি স্থির লাগবে।

Binance রেফারেল কোড BNB3469

▶ Binance-এ রেজিস্টার করুন ⚒ একটা Web3 Wallet খুলুনএকই কোড BNB3469

* আমাদের কোড দিয়ে রেজিস্টার করলে ট্রেডিং ফি-তে ২০% ছাড়* প্রকৃত হার Binance পেজ অনুযায়ী, পরিবর্তিত হতে পারে। crypto-র দাম প্রচণ্ড ওঠানামা করে — দায়িত্বশীলভাবে অংশ নিন।

ধরা পড়লে নিজেকে কীভাবে বাঁচাবেন: কাটুন, revoke করুন, সরান, লিপিবদ্ধ করুন

সত্যিই কিছু ভুল হয়ে গেলে জমে যাবেন না। on-chain transaction অপরিবর্তনীয়, কিন্তু ঘড়ির সাথে দৌড়ে প্রায়ই একটা অংশ এখনও বাঁচানো যায়, বিশেষ করে যদি প্রতারক এখনও সব কয়েন ঝেঁটিয়ে না নিয়ে থাকে, বা আপনি seed phrase ফাঁস না করে শুধু একটা approval-এ ফাঁদে পড়ে থাকেন। চারটে শব্দ মনে রাখুন: কাটুন, revoke করুন, সরান, লিপিবদ্ধ করুন।

কাটুন — সঙ্গে সঙ্গে disconnect করুন। প্রথম কাজ, ওই সাইট থেকে wallet-এর সংযোগ কেটে দিন (wallet-এর "connected sites" তালিকা থেকে হাতে কাটা যায়), phishing পেজ বন্ধ করুন, দরকারে অফলাইনে যান। চলমান interaction-টা আগে কেটে দিন, যাতে এটা আপনাকে পরের signature-এ টানতে না পারে।
revoke করুন — approval প্রত্যাহার করুন। approval sign করেছেন বলে সন্দেহ হলে, সঙ্গে সঙ্গে ওই wallet-কে revoke.cash-এ কানেক্ট করুন, approval রেকর্ডগুলো একে একে দেখুন, আর ওই সন্দেহজনক contract-এর approval revoke করুন। খেয়াল রাখুন: revoke করতেও একটা transaction লাগে আর gas খরচ হয়, তাই wallet-এ একটু gas রাখুন। যত দ্রুত তত ভালো — এটা "এখন থেকে চলতে থাকা drain"-এর পথ কেটে দেয়। তবে স্পষ্ট থাকুন: এটা ইতিমধ্যে ঝেঁটিয়ে নেওয়া কয়েন ফেরাতে পারে না, কেবল পরের রক্তপাত থামায়।
সরান — বাকি সম্পদ সরিয়ে নিন। আপনি যদি seed phrase বা private key ফাঁস করে থাকেন, তাহলে approval revoke করা অর্থহীন, কারণ প্রতারকের কাছে মাস্টার চাবি আছে। সেক্ষেত্রে wallet-টা কার্যত বাতিল: এতে এখনও থাকা মূল্যবান সম্পদ সঙ্গে সঙ্গে একদম নতুন, পরিষ্কার একটা wallet-এ সরান (নতুন ডিভাইসে নতুন seed phrase দিয়ে তৈরি — ফাঁস হওয়া সেটটা কখনোই আবার ব্যবহার করবেন না)। আপনি প্রতারকের সাথে সময়ের দৌড়ে আছেন; যার স্ক্রিপ্ট/হাত দ্রুত সে-ই নিয়ে যায়, তাই দ্রুত সরান আর সবচেয়ে দামিটা আগে সরান।
লিপিবদ্ধ করুন — রেকর্ড করুন আর তদন্ত করুন। এরপর একটা block explorer (Etherscan, BscScan) দিয়ে এই address-এর transaction ইতিহাস ঘেঁটে দেখুন ঠিক কী sign হয়েছিল, কোন transaction থেকে কয়েন বেরিয়েছে, আর কোন address-এ গেছে — আর তা লিপিবদ্ধ করুন। প্রথমত, ক্ষতির সীমা বুঝতে আর কোনো approval এখনও un-revoke আছে কি না নিশ্চিত হতে; দ্বিতীয়ত, বড় অঙ্ক জড়িত থেকে রিপোর্ট করতে বা কোনো প্ল্যাটফর্মে জানাতে হলে এই on-chain প্রমাণ কাজে লাগে।

✖ মূল সিদ্ধান্ত

নিজেকে বাঁচানোর প্রথম দ্বিধাবিভক্তি হলো নিজেকে জিজ্ঞেস করা: আমি কি একটা "approval" ফাঁস করেছি, নাকি একটা "seed phrase / private key"? শুধু একটা approval-এ ফাঁদে পড়লে — wallet এখনও রাখা যায়; approval revoke করুন আর সম্পদ সরান। seed phrase বা private key ফাঁস হলে — এই wallet পুরোপুরি বাতিল করুন আর সব সম্পদ একটা নতুন wallet-এ সরান, আর কখনো এটা আবার ব্যবহার করবেন না। দিক ভুল করলে উদ্ধারের জানালাটাই নষ্ট করবেন।

অবশ্যই, সবচেয়ে ভালো উদ্ধার হলো কখনো এই পর্যন্ত পৌঁছতে না দেওয়া। farming wallet আপনার বড় টাকা থেকে আলাদা রাখুন, নিয়মিত revoke করুন, sign করার আগে পপআপ বুঝে নিন, অজানা উৎসের লিংকে হাত দেবেন না — এই দৈনন্দিন অভ্যাসগুলো ঘটনার পরে হাঁকপাঁক করার চেয়ে শতগুণ বেশি কাজে দেয়। এই প্রতিরক্ষা রেখা কীভাবে গড়বেন, তার জন্য পুরোটা পড়ুন wallet নিরাপত্তা: seed phrase, private key, hardware wallet আর approval ব্যবস্থাপনা আর গোটা সুরক্ষা কিট গুছিয়ে নিন; এখনও সামগ্রিক ছবিটা না থাকলে আগে ফিরে যান airdrop আসলে কী-তে আর farming-এর গোটা প্রেক্ষাপট একবার ঝালিয়ে নিন, তারপর নিজেকে মিলিয়ে দেখুন নতুন farmer-রা সবচেয়ে বেশি যে ১০টা ভুল করে-র সাথে আর নিজের মাইনফিল্ড পরিষ্কার করুন। প্রতারণার এই কোয়েস্টে দানবগুলো চিনতে পারলে অর্ধেক যুদ্ধ জেতা; বাকি অর্ধেক আপনার গড়ে তোলা অভ্যাসে।

সচরাচর জিজ্ঞাসিত প্রশ্ন

আমি একটা phishing লিংকে ঢুকেছিলাম, কিন্তু কিছুতেই সাইন করিনি। কয়েন হারাবো কি?

শুধু পেজ খোলা আর wallet কানেক্ট করায় সাধারণত কয়েন হারায় না। আসল বিপদ তখন, যখন আপনি এরপর wallet-এর "confirm", "sign" বা "approve"-এর মতো কোনো পপআপে ক্লিক করেন। blockchain-এ টাকা সরে না শুধু একটা সাইট দেখলেন বলে; এটা সরে কেবল আপনার নিজের হাতে সাইন করা একটা transaction বা approval-এর কারণে। তাই wallet কানেক্ট করলেও কিছু সাইন না করে থাকলে আতঙ্কিত হবেন না — disconnect করুন, পেজ বন্ধ করুন, আর revoke.cash-এ চেক করুন ওই সাইট কোনো approval ফাঁদে ফেলেছে কি না।

approve approval আর সরাসরি transfer-এর পার্থক্য কী, আর approval বেশি ছলনাময় কেন?

transfer কয়েন সরাসরি সরিয়ে দেয় — যা পাঠান তা-ই বেরিয়ে যায়, তখনই চোখে পড়ে। approval (approve) হলো আপনি একটা contract-কে অনুমতি দিচ্ছেন "এখন থেকে আপনার এই token সরাতে পারবে", amount হয়তো unlimited। এর ছলনা হলো — সাইন করার মুহূর্তে আপনার কয়েন কমে না, পপআপও ভয় দেখায় না; বিপদটা পরে ফল দেয়: একবার প্রতারক unlimited approval পেলে, আপনার balance যখন সবচেয়ে বেশি তখন সব ঝেঁটিয়ে নিতে পারে। এজন্যই অনেকে "কয়েক দিন পরে হ্যাক হয়"।

approval-এ ফাঁদে পড়ার পর revoke.cash-এ revoke করলে ইতিমধ্যে চুরি যাওয়া কয়েন ফেরত আসে কি?

না। approval revoke করা শুধু "এখন থেকে" drain হওয়ার পথটা বন্ধ করে; যা সরে গেছে তা ফেরত আসে না, কারণ on-chain transaction অপরিবর্তনীয়। তাই revoke মানে রক্তপাত বন্ধ করা: approval এখনও চালু থাকলে আর কয়েন পুরোটা না-সরলে দ্রুত revoke বাকিটা বাঁচায়; কিন্তু private key বা seed phrase ফাঁস হলে revoke কাজে দেবে না — তখন পুরো wallet বাতিল করে সম্পদ একদম নতুন wallet-এ সরাতে হবে।

সব প্রতারণা শেষমেশ আমার seed phrase বা private key কেন চায়?

কারণ seed phrase আর private key হলো wallet-এর মাস্টার চাবি; এটা পেলেই ওই wallet-এর অধীনে সব chain-এর সমস্ত সম্পদ পাওয়া হয়ে যায়, আপনাকে আর কিছু সাইন করতে হয় না। কোনো সত্যিকারের airdrop, support এজেন্ট বা official কার্যক্রম কখনোই আপনার seed phrase বা private key চায় না। তাই এটা কোনো ব্যতিক্রমহীন লাল রেখা: কারণ যত যুক্তিসঙ্গত শোনাক না কেন, যেই মুহূর্তে কেউ আপনার seed phrase বা private key চাইল — সে প্রতারক, বন্ধ করে দিন।

আমার wallet-এ হঠাৎ একটা অচেনা token এসে গেছে। কী করব?

হাত দেবেন না, আর বিশেষ করে এর সাথে জোড়া কোনো "official site" বা "claim" লিংকে ক্লিক করবেন না। বিনা চাওয়ায় আপনার address-এ এসে পড়া অপরিচিত token বেশিরভাগ ক্ষেত্রেই টোপ: এটা আপনাকে একটা phishing সাইটে টেনে নিয়ে approve বা sign করার অপেক্ষায় থাকে। সঠিক কাজ হলো এটা যেন নেই — interact করবেন না, approve করবেন না, দরকারে wallet-এ লুকিয়ে রাখুন। এটা নিজে থেকে কয়েন চুরি করবে না; ঝামেলা শুরু হয় কেবল তখন, যখন আপনি এর লিংকে হাত দেন বা কিছু সাইন করেন।

approval নিজে যাচাই ও revoke করতে টুল হিসেবে ব্যবহার করুন revoke.cash; কোনো wallet-এর official নিরাপত্তা নির্দেশনার জন্য দেখুন MetaMask Help Center; on-chain transaction ও তহবিলের গতিবিধি নিজে চেক করা যায় block explorer Etherscan ও BscScan-এ; approve-এর মতো ব্যবস্থার ধারণাগত ব্যাখ্যার জন্য দেখুন Binance Academy আর ethereum.org।