ওয়ালেট নিরাপত্তা: seed phrase, প্রাইভেট কী, হার্ডওয়্যার ওয়ালেট ও approval ব্যবস্থাপনা

farming আর সাধারণ trading-এর তফাত এখানেই: এটা আপনাকে বাধ্য করে একটা on-chain ওয়ালেট দীর্ঘদিন, ঘন ঘন ব্যবহার করতে — নানা অ্যাপে কানেক্ট, নানা ট্রানজ্যাকশনে সই, নানা চেইনে ওঠা। যত বেশি ব্যবহার, তত বড় exposure। তাই খুব দ্রুতই টের পাবেন, farming-এর আসল বাধাটা "অপারেশন জানি কিনা" নয়, বরং "নিরাপত্তার এই ধাপটা সামলাতে পারি কিনা"। আমি অনেককে দেখেছি কারিগরি দিকটা দিব্যি রপ্ত করেও শেষে একটা একদম গোড়ার নিরাপত্তা-ভুলে হোঁচট খেতে: seed phrase-এর স্ক্রিনশট গ্যালারিতে রাখা, একটা unlimited approval সই করে ভুলে যাওয়া, কিংবা farming আর গোটা সঞ্চয় একই ওয়ালেটে রাখা। এই লেখায় ওয়ালেট নিরাপত্তার দেয়ালটা আমি এক একটা ইট গেঁথে আপনার জন্য তুলে দেব।

seed phrase আর প্রাইভেট কী: এই আপনার মূল চাবি

আগে সবচেয়ে গোড়ার ধারণাটা পরিষ্কার করে নিই, কারণ পরের সব নিয়ম এখান থেকেই বেরোয়।

একটা on-chain ওয়ালেট তৈরি করার মানে আসলে এক জোড়া কী তৈরি করা। প্রাইভেট কী হলো এমন একটা লম্বা স্ট্রিং যা কেউ আন্দাজও করতে পারবে না; এটা সরাসরি একটা অ্যাকাউন্ট নিয়ন্ত্রণ করে — যার হাতে এই স্ট্রিং, সে-ই ওই অ্যাকাউন্টের পুরো সম্পদ নাড়াচাড়া করতে পারে। seed phrase (recovery phrase / seed phrase নামেও পরিচিত) হলো প্রাইভেট কী-এর "মানুষের ভাষায়" রূপ: সাধারণত ১২ বা ২৪টা ইংরেজি শব্দ, নির্দিষ্ট ক্রমে সাজানো। এটা যেমন-তেমন কয়েকটা শব্দ নয়, বরং এমন একটা বীজ যা নিয়ম মেনে আপনার এই ওয়ালেটের নিচে থাকা পুরো প্রাইভেট কী-এর সেট তৈরি করে দিতে পারে। অন্যভাবে বললে, seed phrase-এর ক্ষমতা প্রায়ই একটা প্রাইভেট কী-এর চেয়েও বেশি — এটা এই ওয়ালেটের সব অ্যাকাউন্ট, সব চেইনের মাস্টার সুইচ।

এখানে নতুনদের সবচেয়ে বড় ভুলটা ভাঙা দরকার: আপনার সেই 0x দিয়ে শুরু হওয়া ওয়ালেট ঠিকানা, আর seed phrase ও প্রাইভেট কী — সম্পূর্ণ আলাদা দুটো জিনিস। ঠিকানা হলো "টাকা পাওয়ার অ্যাকাউন্ট নম্বর", এটা নির্দ্বিধায় কাউকে দিয়ে টাকা নিতে পারেন, ছড়িয়ে দিলেও কিছু হয় না; seed phrase আর প্রাইভেট কী হলো "পাসওয়ার্ড + সিলমোহর", ফাঁস হলে গোটা ভাঁড়ার নিজে হাতে তুলে দেওয়ার সমান। (ঠিকানা, checksum এসব কীভাবে কাজ করে, আলাদা করে দেখুন ওয়ালেট ঠিকানা, ENS ডোমেইন কী লেখাটায়।)

এই একটা কথা মাথায় গেঁথে নিলে বুঝবেন পরের প্রতিটা নিয়ম কেন ঠিক ওরকম — সবই এই মূল চাবিটা আগলে রাখার জন্য।

seed phrase কীভাবে অফলাইনে রাখলে নিরাপদ

seed phrase যেহেতু মূল চাবির সমান, তাই এটা কীভাবে রাখছেন তার ওপরই সরাসরি নির্ভর করে আপনার টাকা নিরাপদ কিনা। এক বাক্যে নীতি: একে নেটওয়ার্ক-যুক্ত ডিভাইস থেকে পুরোপুরি দূরে রাখুন।

আগে বলি কোনোভাবেই যা করবেন না:

• স্ক্রিনশট তুলে গ্যালারিতে রাখা — এটাই এক নম্বর মরণফাঁদ। ফোনের গ্যালারি বেশিরভাগ সময় নিজে থেকেই ক্লাউডে sync হয়; ক্লাউড অ্যাকাউন্ট চুরি হলে বা ফোন আক্রান্ত হলে seed phrase সঙ্গে সঙ্গে নগ্ন হয়ে পড়ে; কিছু App আবার গ্যালারির permission চায়, মানে চাবিটা টেবিলে মেলে রাখার সমান।
• নোটস / মেমো App-এ রাখা — একইভাবে ক্লাউডে sync হয়, স্ক্রিনশটের সঙ্গে এক যুক্তি।
• নিজের মেসেজিং / ইমেইল / ক্লাউড ড্রাইভে পাঠানো — এগুলো সবই নেটওয়ার্ক-যুক্ত অ্যাকাউন্টে, যেকোনো একটা ভাঙলেই seed phrase বেরিয়ে যায়।
• copy করে clipboard-এ রেখে দেওয়া — কিছু ম্যালওয়্যার শুধু clipboard-এই নজর রাখে। অস্থায়ীভাবে copy করে কাজ শেষে মুছে ফেলতে ভুলবেন না।

এবার বলি কীভাবে রাখবেন:

• কাগজে হাতে লিখুন। সবচেয়ে সাদামাটা, আবার সবচেয়ে কার্যকর। লেখার পর ক্রম আর বানান একবার মিলিয়ে নিন (একটা শব্দ এদিক-ওদিক হলে গোটা সেট নষ্ট), আর এমন একটা ফিজিক্যাল জায়গায় রাখুন যেটা আপনার নিয়ন্ত্রণে, অন্য কেউ ঘাঁটবে না।
• আরও গুছিয়ে করতে চাইলে ধাতব প্লেট। কাগজ জল-আগুনে নষ্ট হয়; বাজারে seed phrase খোদাই করার ধাতব প্লেট পাওয়া যায় — আগুন, জল, স্যাঁতসেঁতে সহ্য করে, দীর্ঘদিন বড় অঙ্ক cold storage করা মানুষের জন্য উপযুক্ত।
• আলাদা করে রাখা, ব্যাকআপ রাখার কথাও ভাবুন। হারানোর ভয় থাকলে দুই কপি লিখে দুই জায়গায় রাখুন; খুঁতখুঁতে মানুষ ১২টা শব্দকে দুই ভাগে ভেঙে আলাদা রাখেন, এক ভাগ একা দিয়ে কিছু হয় না। তবে "নিরাপত্তা"-কে এমন বানাবেন না যে নিজেই আর খুঁজে পাবেন না — ভারসাম্য রাখুন।

hot wallet vs হার্ডওয়্যার ওয়ালেট: কোনটা কী সামলায়

ওয়ালেট মূলত দুই ভাগে — "প্রাইভেট কী নেটে ওঠে কিনা" তার ওপর। তফাতটা বুঝলে তবেই জানবেন কোন টাকা কোথায় রাখা উচিত।

hot wallet (ফোন App, ব্রাউজার এক্সটেনশন, Binance Web3 Wallet — এই ধরনের), এর বৈশিষ্ট্য হলো প্রাইভেট কী একটা নেটওয়ার্ক-যুক্ত ডিভাইসে থাকে। সুবিধা হলো সহজ — যখন খুশি অ্যাপে কানেক্ট, যখন খুশি সই; farming, দৈনন্দিন ছোট interaction সবই এর ওপর চলে। দাম দিতে হয় বড় exposure দিয়ে: ডিভাইসে ট্রোজান, ক্ষতিকর এক্সটেনশন, ক্ষতিকর approval — যেকোনোটাই প্রাইভেট কী বা সম্পদের বিপদ ডেকে আনতে পারে। এতে রাখা উচিত যে টাকা হারালে আপনার কোমর ভাঙবে না, ততটাই।

হার্ডওয়্যার ওয়ালেট (একটা আলাদা ফিজিক্যাল ছোট ডিভাইস), মূল বৈশিষ্ট্য হলো প্রাইভেট কী চিরকাল এই ডিভাইসের ভেতরেই থাকে, কখনো নেটে ওঠে না। একটা ট্রানজ্যাকশন সই করতে হলে ট্রানজ্যাকশন ডেটা ডিভাইসে যায়, signing ডিভাইসের ভেতরেই হয়, তারপর সই-করা ফলটা বেরিয়ে আসে — প্রাইভেট কী শুরু থেকে শেষ পর্যন্ত ডিভাইস ছেড়ে বেরোয় না। মানে আপনার যুক্ত কম্পিউটার/ফোন আক্রান্ত হলেও হ্যাকার প্রাইভেট কী পাবে না, বড়জোর আপনাকে ভুলিয়ে ডিভাইসে কোনো একটা ট্রানজ্যাকশন confirm করাতে পারে (তাই স্ক্রিনে কী সই করছেন সেটা দেখে নেওয়া তবু জরুরি)। এটা cold storage-এর জন্য উপযুক্ত: দীর্ঘমেয়াদে রাখা, বড় অঙ্কের, কম নাড়াচাড়ার সম্পদ।

কেউ জিজ্ঞেস করে: টাকা বেশি না, এখনই হার্ডওয়্যার ওয়ালেট কিনব? আমার মত — দরকার অনুযায়ী। শুধু farming, ওয়ালেটে স্থায়ী অঙ্ক ছোট হলে আগে নিচের "ভাগাভাগি" আর "নিয়মিত revoke" দুটো শক্ত করে করুন, তাড়াহুড়ো করে হার্ডওয়্যার ওয়ালেট কেনার চেয়ে সেটা বেশি বাস্তব। দীর্ঘমেয়াদি সম্পদ একটা অঙ্কে পৌঁছালে তখন হার্ডওয়্যার ওয়ালেটে cold storage করুন, তখনই এর দামটা আসলে কাজে আসে।

ভাগাভাগি: farming-এর ওয়ালেটে বড় টাকা নয়

এই লেখা থেকে যদি একটাই কথা মনে রাখতে পারেন, আমি চাই সেটা হোক এটাই: farming-এর জন্য আলাদা ওয়ালেট ব্যবহার করুন, নিজের সঞ্চয় দিয়ে farming করবেন না।

যুক্তিটা একদম সোজা। farming মানে আপনাকে ঘন ঘন নানা অচেনা, সময়ের পরীক্ষায় না-যাওয়া on-chain অ্যাপে কানেক্ট করতে হবে, নানা approval সই করতে হবে, নানা নতুন প্রোটোকলে ঘুরতে হবে। এর প্রতিটাই একটা exposure পয়েন্ট, ফাঁদে পড়ার আশঙ্কা শুধু কয়েন রেখে দেওয়ার চেয়ে অনেক বেশি। farming আর দীর্ঘমেয়াদি সম্পদ একই ওয়ালেটে রাখলে গোটা সঞ্চয় নিয়ে মাইনফিল্ডে হাঁটার সমান — কোনোদিন একটা approval ভুল সই করলে, একটা phishing সাইটে কানেক্ট করলে, খোয়া যাবে সবটা।

সঠিক ভাগ, একটা পরিষ্কার স্তর দিয়ে দিলাম:

• farming-এর আলাদা ওয়ালেট (hot wallet, ছোট ভাঁড়ার)। শুধু অ্যাপে কানেক্ট, interaction, airdrop নেওয়ার জন্য। ভেতরে শুধু এই কদিনের farming-এর gas আর অল্প মূলধন, যতটা লাগবে ততটাই। এর exposure সবচেয়ে বেশি, তাই অঙ্ক একদম কমিয়ে রাখুন — ফাঁদে পড়লেও শুধু এই সামান্যটুকু যাবে।
• টাকার মাঝপথ / এক্সচেঞ্জ। বড় টাকা থাকুক Binance-এর মতো এক্সচেঞ্জে (টাকা ঢোকানো-তোলা, কেনাবেচা সবই এখানে, দেখুন Binance Web3 Wallet গাইড); farming করতে হলে এখান থেকে অল্প তুলে farming ওয়ালেটে নিন, শেষে লাভ আবার তুলে এনে নগদ করুন (কীভাবে ফেরত আনবেন, কীভাবে বেচবেন, দেখুন airdrop-এর কয়েন কীভাবে নগদ করবেন)।
• দীর্ঘমেয়াদি cold ভাঁড়ার (পরিষ্কার ওয়ালেট / হার্ডওয়্যার ওয়ালেট)। যে সম্পদ সত্যিই দীর্ঘদিন ধরে রাখতে চান, তা থাকুক প্রায় কোনো অচেনা অ্যাপ না-ছোঁয়া একটা পরিষ্কার ওয়ালেটে, বা হার্ডওয়্যার ওয়ালেটে। এই ওয়ালেট দিয়ে farming করবেন না, exposure প্রায় শূন্য, সবচেয়ে নিরাপদ।

এই ভাগাভাগির মূল কথা হলো বিচ্ছিন্নতা দিয়ে ঝুঁকিকে ছোট ঘরে আটকানো: উচ্চ-ঝুঁকির কাজ (farming) আর উচ্চ-মূল্যের সম্পদ (সঞ্চয়) ফিজিক্যালি আলাদা করে দেওয়া, যাতে যেকোনো একটা দুর্ঘটনার সর্বোচ্চ ক্ষতি ওই ছোট ভাঁড়ারেই আটকে থাকে। এ কারণেই এই সাইট বরাবর single-wallet সত্যিকার অংশগ্রহণ-এর কথা বলে, কয়েক ডজন অ্যাকাউন্ট খোলার নয় — একটা ওয়ালেট আপনি সামলাতে পারেন, আগলে রাখতে পারেন; কয়েক ডজন অ্যাকাউন্টের seed phrase-ই গুছিয়ে রাখতে পারবেন না, উল্টো পদে পদে ফুটো (২০২৬ সালে কেন multi-account মৃত্যুপথ, দেখুন sybil attack কী)।

নিয়মিত revoke: ঘুমিয়ে থাকা approval পরিষ্কার করুন

ওয়ালেট খুব পরিষ্কার করে ভাগ করলেও আরেক ধরনের ঝুঁকি ধীরে ধীরে জমতে থাকে — approval। আগে বলেছি (ভুয়া airdrop ও phishing চেনা লেখাটায় approval phishing বিস্তারিত আছে), প্রতিবার DeFi অ্যাপ ব্যবহারের সময় প্রায়ই তাকে approve করতে হয় যে সে "আপনার কোনো একটা কয়েন নাড়াতে পারবে", আর অনেক approval-ই unlimited সীমার। এই approval-গুলো নিজে থেকে expire হয় না: অ্যাপ ব্যবহার বন্ধ করে অনেকদিন কেটে গেছে, approval এখনও সেখানে ঘুমিয়ে। কোনোদিন এই কন্ট্রাক্ট হ্যাক হলে, বা এটা মূলত একটা ফাঁদ হলে, সেই ঘুমন্ত দরজা যখন-তখন খুলে এই কয়েনটা টেনে নিতে পারে।

তাই নিয়মিত এগুলো পরিষ্কার করতে হয়, এই কাজটাকে মহলে revoke (approval বাতিল) বলে। টুল হিসেবে revoke.cash দিয়েই হয়, অপারেশন খুবই সহজ:

• আপনার ওয়ালেট কানেক্ট করুন (এটা শুধু আপনার approval রেকর্ড পড়ে, কিছু দিতে হয় না)।
• এটা এই ঠিকানা কোন কোন কন্ট্রাক্টে approval দিয়েছে, কোন কয়েন, কত সীমা — সব তালিকা করে দেবে।
• যেগুলো আর ব্যবহার করেন না, যাদের উৎস মনে নেই, যেগুলোর সীমা unlimited অথচ দরকার নেই — এক এক করে বাতিল করুন। বাতিল করা মানে একটা on-chain ট্রানজ্যাকশন পাঠানো, একটু gas লাগে, তাই ওয়ালেটে একটু gas রাখুন।

ওয়ালেট approval কীভাবে বাতিল করবেন (revoke.cash কীভাবে চলে)

অনেকে খোঁজে "ওয়ালেট approval কীভাবে বাতিল করব", আসলে তারা আগের অংশে বলা সেই ঘুমন্ত approval-গুলোই এক এক করে ফিরিয়ে নিতে চায়। এখানে revoke.cash-এর ধাপগুলো খুলে দিচ্ছি। প্রথম ধাপ, revoke.cash খুলুন, যে ওয়ালেট ঠিকানা যাচাই করতে চান সেটা পেস্ট করে আগে শুধু পড়ে দেখুন — এই ধাপে ওয়ালেট কানেক্ট করার দরকার নেই, এটাই দেখিয়ে দেবে এই ঠিকানা কোন কোন কন্ট্রাক্টে approval দিয়েছে, কোন টোকেন, কত সীমা। আগে কানেক্ট না করে দেখুন, মনে একটা ধারণা থাকুক।

দ্বিতীয় ধাপ, সত্যিই বাতিল করতে গেলে তখন ওয়ালেট কানেক্ট করুন, উপরে বাঁ দিকে সঠিক চেইনে সুইচ করুন (Ethereum, BNB Chain — প্রতিটার approval আলাদা করে সামলাতে হয়, এক চেইন পরিষ্কার করে সব পরিষ্কার ভাববেন না)। তৃতীয় ধাপ, যেগুলো উৎস মনে নেই, কবেই ছেড়ে দিয়েছেন, সীমা unlimited লেখা — সেই approval বেছে পাশের বাতিল (Revoke) বোতামে চাপুন। প্রতিটা বাতিল মানে একটা on-chain ট্রানজ্যাকশন পাঠানো, ওয়ালেটে confirm করতে হয়, একটু gas লাগে, তাই সেই চেইনের native কয়েন gas দেওয়ার মতো যথেষ্ট রাখুন (gas না থাকলে কী করবেন, পরের অংশ আর gas fee কী দেখুন)। বাতিলের পর refresh করলে সেই approval তালিকা থেকে মুছে যাওয়ার কথা। একটা কথা মনে রাখবেন: approval বাতিল মানে শুধু "ভবিষ্যতে আপনার কয়েন নাড়ানোর" দরজা বন্ধ করা, ইতিমধ্যে যে কয়েন টেনে নেওয়া হয়েছে সেটা ফিরিয়ে দিতে পারে না — তাই এটা প্রতিরোধমূলক কাজ, যত আগে করবেন তত ভালো, ঘটনা ঘটার পর মনে করবেন না।

ওয়ালেট চুরি হলে কী করবেন, ফেরত পাওয়া যায়?

আগে সবচেয়ে তেতো অথচ সবার আগে জানা উচিত কথাটা বলি: on-chain ট্রানজ্যাকশন একবার confirm হলে অপরিবর্তনীয়, বেশিরভাগ চুরি যাওয়া কয়েন ফেরত পাওয়া যায় না। কেউ আপনার জন্য "ট্রানজ্যাকশন undo" করতে পারে না; যে দাবি করে "একটু ফি / জামানত দিলে আপনার চুরি যাওয়া সম্পদ ফেরত এনে দেব", সে প্রায় নিশ্চিতভাবেই দ্বিতীয়বার ঠকাতে এসেছে, আর ফাঁদে পড়বেন না। এটা মেনে নিলে আমরা "ফেরত আনা" নিয়ে কথা বলছি না, বলছি কীভাবে loss থামাবেন, ক্ষতি সবচেয়ে ছোটে আটকাবেন।

ওয়ালেট চুরি ধরা পড়লে এই ক্রমে সামলান। এক, এখনও যা ছিনিয়ে নেওয়া হয়নি সেটা সঙ্গে সঙ্গে সরিয়ে নিন। ওয়ালেটে অন্য কয়েন থাকলে, একটা একদম নতুন, seed phrase কখনো ফাঁস হয়নি এমন নিরাপদ ওয়ালেটে এখনই সরান — তবে খেয়াল রাখুন: হাতে আসা জিনিসটা যদি আপনার seed phrase হয়, তাহলে এই ওয়ালেটের সব ঠিকানা ইতিমধ্যে উন্মুক্ত, সরানোর মুহূর্তেই স্ক্রিপ্ট সেকেন্ডে কেড়ে নিতে পারে (একে "pool-watching" বলে), এই ক্ষেত্রে হয় একদম নতুন ওয়ালেট দিয়ে দামি জিনিসটা দ্রুত সরান, নয়তো এই ওয়ালেটটা ছেড়েই দিন। দুই, সব approval আর connection ছিন্ন করুন, পারলে উপরে বলা revoke দিয়ে এই ঠিকানার সব approval বাতিল করুন (যদি এটা তখনও ব্যবহারযোগ্য থাকে)। তিন, এই ঠিকানা পুরোপুরি ত্যাগ করুন, ফাঁস হওয়া seed phrase / প্রাইভেট কী-তে কখনো আর টাকা পাঠাবেন না। চার, চুরি যাওয়া টাকা যদি কোনো এক্সচেঞ্জে যায়, ট্রানজ্যাকশন হ্যাশ নিয়ে যত দ্রুত সম্ভব সংশ্লিষ্ট এক্সচেঞ্জ (যেমন Binance) আর স্থানীয় পুলিশে জানান — freeze করা যাবে কিনা তা নির্ভর করে প্রতিপক্ষ টাকা তুলে নিয়েছে কিনা আর প্ল্যাটফর্ম সহযোগিতা করে কিনা, সফলতার হার কম, তবু রেকর্ড রাখা কিছুই-না-করার চেয়ে ভালো। গোটা সময় তাড়াহুড়ো করে এলোমেলো কিছু সই করবেন না — অনেকে ঠিক এই হুড়োহুড়িতেই দ্বিতীয় phishing লিঙ্কে চাপ দিয়ে আগুনে ঘি ঢালে।

seed phrase ভুলে গেলে / হারিয়ে গেলে কী করবেন

এই জিনিসটা দুই রকম পরিস্থিতিতে ভাগ করতে হবে, ফলাফল একদম আলাদা। প্রথম: seed phrase হারিয়েছে, কিন্তু ওয়ালেট App এখনও আছে, log in করা যায়, স্বাভাবিক চলছে। এই ক্ষেত্রে কয়েন হারায়নি — এখনই একটা কাজ করুন: App-এর ভেতর থেকে সম্পদটা এমন একটা নতুন ওয়ালেটে সরান যার seed phrase আপনি ঠিকভাবে ব্যাকআপ রেখেছেন, তারপর এই ব্যাকআপ-না-করা পুরনো ওয়ালেটটা ছেড়ে দিন। কারণ যেদিন ফোন বদলাবেন, App-এ সমস্যা হবে, বা ডিভাইস নষ্ট হবে — seed phrase ছাড়া আর কখনোই recover করতে পারবেন না, তাই এখনও যখন ব্যবহার করা যাচ্ছে তখনই সরে যান।

দ্বিতীয়: seed phrase একেবারে হারিয়েছে, ওয়ালেটেও আর log in করা যাচ্ছে না। এই ক্ষেত্রে তেতো কথাটা সাফ বলে দিই — seed phrase হলো ওয়ালেট recover করার একমাত্র প্রমাণ, এটা ছাড়া কেউ (ওয়ালেট official-ও সহ, যেকোনো "recovery service"-ও সহ) আপনাকে recover করতে পারবে না, এটাই ডিসেন্ট্রালাইজড ওয়ালেটের ডিজাইন: কোনো support backend নেই যে আপনার পাসওয়ার্ড reset করবে। তাই এই ক্ষেত্রে কার্যত সম্পদ চিরতরে তালাবন্ধ, ফেরত মেলে না। আর ঠিক এ কারণেই উপরের দ্বিতীয় অংশে বারবার বলেছি seed phrase অফলাইনে রাখুন, মিলিয়ে নিন, ব্যাকআপ রাখুন — এটা ঝামেলা নয়, আপনার একমাত্র বীমা। আপনার ওয়ালেট এখনও দিব্যি আছে অথচ seed phrase মন দিয়ে ব্যাকআপ করেননি — লেখা শেষ করে চলে যাবেন না, আগে Binance Web3 Wallet গাইড-এ ফিরে ব্যাকআপ ধাপটা শক্ত করে সেরে নিন। শেষবার আবার প্রতারণা সম্পর্কে সতর্ক করি: যে পেজ বা support আপনাকে "recover / restore / upgrade করতে seed phrase টাইপ করতে" বলে, সেটাই প্রতারক, আসল recovery-তে কারও হাত আপনার seed phrase ছোঁয়ার দরকারই হয় না।

সবচেয়ে সাধারণ কয়েকটা চুরির পরিস্থিতি

উপরের যুক্তিগুলো নির্দিষ্ট পরিস্থিতিতে নামিয়ে আনলে আরও ভালো ধরবেন। নিচের কয়েকটা নতুনরা সবচেয়ে বেশি ঠোক্কর খায়:

• seed phrase একটা নেটওয়ার্ক-যুক্ত ডিভাইসে ঢুকেছে। স্ক্রিনশট গ্যালারিতে, নোটস-এ, নিজেকে পাঠানো — ডিভাইস বা ক্লাউড অ্যাকাউন্ট একবার ভাঙলেই গোটা ওয়ালেট খালি। প্রতিকার: seed phrase পুরোটা অফলাইন, উপরের দ্বিতীয় অংশ দেখুন।
• unlimited approval সই করে কদিন পরে কেড়ে নেওয়া হয়েছে। কোনো (সম্ভবত phishing) পেজে unlimited approve / permit সই করেছেন, তখন কিছু হয়নি, পরে প্রতারক সময় বুঝে একবারে খালি করেছে। প্রতিকার: pop-up বুঝে সই করুন, সীমা ছোট রাখুন, নিয়মিত revoke করুন।
• নকল ওয়ালেট / নকল এক্সটেনশন ইনস্টল করেছেন। non-official উৎস থেকে নামানো ওয়ালেট একটা খোলস, তৈরি বা import করার সময় seed phrase ছিনিয়ে নেওয়া হয়েছে। প্রতিকার: ওয়ালেট শুধু official চ্যানেল থেকে।
• নকল support-কে seed phrase দিয়েছেন। ওয়ালেটে ছোট সমস্যা, "support" নিজে থেকে DM করে দরদ দেখিয়ে seed phrase টাইপ করিয়ে "recover" করতে চেয়েছে। প্রতিকার: আসল support seed phrase কখনো চায় না, নিজে এগিয়ে আসা সবাইকে প্রতারক ধরুন।
• farming আর সঞ্চয় আলাদা ওয়ালেটে রাখেননি। মূল ওয়ালেট দিয়ে farming করেছেন, এক দুর্ঘটনায় সবটা গেছে। প্রতিকার: farming-এর আলাদা ছোট ভাঁড়ার, বড় টাকা আলাদা।
• একই seed phrase দিয়ে কয়েক ডজন অ্যাকাউন্ট সামলানো। multi-account খুললে sybil হিসেবে ধরা পড়ে বাতিল হওয়া তো সহজই, নিরাপত্তার দিকেও দুঃস্বপ্ন — সামলানো যায় না, একটা phish হলে বাকিগুলোও উন্মুক্ত হতে পারে। প্রতিকার: single-wallet সত্যিকার অংশগ্রহণ।

লক্ষ্য করবেন, এই সব পরিস্থিতির পেছনে আসলে হাতে গোনা কয়েকটা নীতিই বারবার কাজ করছে: মূল চাবি অফলাইন, সই বুঝে করা, ঝুঁকি বিচ্ছিন্ন রাখা, নিয়মিত পরিষ্কার। নিরাপত্তা কোনো গভীর প্রযুক্তি নয়, এই কয়েকটা অভ্যাস রোজ একে অন্যের ওপর সাজিয়ে করা। এগুলো muscle memory বানিয়ে ফেললে farming-এর সবচেয়ে বিপজ্জনক ধাপটা আপনি পেরিয়ে গেছেন।

পরের ধাপে ভুয়া airdrop ও phishing চেনা লেখাটাও পড়ে ফেলুন — এটায় বলেছি কীভাবে ওয়ালেট আগলাবেন, ওটায় বলেছি দানব দেখতে কেমন আর ফাঁদে পড়লে কীভাবে নিজেকে বাঁচাবেন; দুটো একসঙ্গে পড়লেই ছবিটা পূর্ণ হয়। এখনও সামগ্রিক ধারণা না হলে Binance Web3 Wallet গাইড-এ ফিরে প্রথম সরঞ্জামটা গুছিয়ে নিন, তারপর নতুন farmer-রা সবচেয়ে বেশি যে ১০টা ভুল করে মিলিয়ে নিজের জন্য মাইন সরিয়ে নিন। ওয়ালেট আগলালে তবেই farming দীর্ঘস্থায়ী হয়।

সচরাচর জিজ্ঞাসা

seed phrase আর প্রাইভেট কী কি একই জিনিস?

মোটামুটি একই জিনিস, শুধু চেহারাটা আলাদা। প্রাইভেট কী হলো একটা লম্বা অক্ষরের স্ট্রিং, যা সরাসরি একটা অ্যাকাউন্ট নিয়ন্ত্রণ করে; seed phrase হলো এক গুচ্ছ (সাধারণত ১২ বা ২৪টা) শব্দ, যা নিয়ম মেনে আপনার এই ওয়ালেটের পুরো প্রাইভেট কী-এর সেট তৈরি করতে পারে, তাই seed phrase-এর ক্ষমতা প্রায়ই একটা প্রাইভেট কী-এর চেয়েও বেশি। আপনার কাছে দুটোই হলো সেই মূল চাবি — যার হাতে থাকবে সে-ই ওয়ালেটের মালিক, আর সুরক্ষার মাত্রাও দুটোর একদম এক: কখনো অনলাইনে নয়, কখনো কাউকে বলবেন না, কখনো কোনো ওয়েবপেজ বা চ্যাটবক্সে টাইপ করবেন না।

seed phrase ফোনের নোটস-এ রাখা বা ছবি তুলে গ্যালারিতে রাখা কি নিরাপদ?

একদম নিরাপদ নয় — এটাই নতুনদের কয়েন হারানোর সবচেয়ে সাধারণ কারণগুলোর একটা। নোটস আর গ্যালারি প্রায়ই নিজে থেকেই ক্লাউডে sync হয়; ফোন একবার আক্রান্ত হলে বা ক্লাউড অ্যাকাউন্ট চুরি হলে seed phrase-ও সঙ্গে ফাঁস হয়; গ্যালারির ছবি আবার কিছু App-ও পড়ে নিতে পারে। সঠিক পথ হলো অফলাইনে রাখা: কাগজে হাতে লিখুন, ধাতব প্লেটে খোদাই করুন, এমন একটা ফিজিক্যাল জায়গায় রাখুন যেটা আপনার নিয়ন্ত্রণে — কোনো নেটওয়ার্ক-যুক্ত ডিভাইসে একদমই নয়।

আমার টাকা বেশি না, হার্ডওয়্যার ওয়ালেট কেনা কি দরকার?

নির্ভর করে দীর্ঘমেয়াদে কত আর কতদিন রাখবেন তার ওপর। শুধু farming করছেন, ওয়ালেটে স্থায়ীভাবে বড় অঙ্ক নেই — তাহলে একটা পরিষ্কার hot wallet-কে farming-এর ছোট ভাঁড়ার হিসেবে রাখা, আর বড় টাকা এক্সচেঞ্জ বা হার্ডওয়্যার ওয়ালেটে রাখা — এই ভাগাভাগির চিন্তাই যথেষ্ট। যখন দীর্ঘমেয়াদে রাখা সম্পদ এমন একটা অঙ্কে পৌঁছাবে যেটা হারালে আপনার অনেকদিন কষ্ট হবে, তখন হার্ডওয়্যার ওয়ালেটে cold storage করা খুব মূল্যবান। হার্ডওয়্যার ওয়ালেটের আসল দাম হলো প্রাইভেট কী কখনোই নেটে ওঠে না, signing ডিভাইসের ভেতরেই হয়, ফলে দূর থেকে চুরির ঝুঁকি অনেক কমে।

farming-এর জন্য আলাদা ওয়ালেট কেন, মূল ওয়ালেট কেন নয়?

কারণ farming মানে ঘন ঘন নানা অচেনা on-chain অ্যাপে কানেক্ট করা, নানা approval সই করা — exposure বড়, ফাঁদে পড়ার আশঙ্কাও বেশি। এই কাজগুলো একটা আলাদা ছোট ওয়ালেট দিয়ে করলে, কোনোদিন approval-এ ফাঁদে পড়লেও বা আক্রান্ত হলেও ক্ষতি ওই ছোট ভাঁড়ারেই সীমিত থাকে; আপনার মূল ভাঁড়ার আর দীর্ঘমেয়াদি সম্পদ অন্য একটা পরিষ্কার, প্রায় অচেনা-অ্যাপ-না-ছোঁয়া ওয়ালেটে অক্ষত থাকে। এটাই বিচ্ছিন্নতা দিয়ে ঝুঁকিকে একটা ছোট ঘরে আটকে রাখা।

কত দিন পরপর approval পরিষ্কার (revoke) করা উচিত?

কোনো বাঁধাধরা নিয়ম নেই, তবে অভ্যাস গড়ে নেওয়া ভালো: কিছুদিন পরপর, কিংবা একসঙ্গে কয়েকটা on-chain interaction সেরে নেওয়ার পরে, revoke.cash-এ ওয়ালেট কানেক্ট করে একবার চোখ বুলিয়ে নিন, আর যেগুলো আর ব্যবহার করেন না, যাদের উৎস মনে নেই, যেগুলোর সীমা unlimited — সেই approval-গুলো বাতিল করে দিন। বাতিল করতে একটু gas লাগে, কিন্তু এতে লুকিয়ে থাকা approval পরে কাজে লাগানোর পথটা বন্ধ হয়ে যায় — খরচের তুলনায় এটা দারুণ লাভজনক একটা দৈনিক সুরক্ষা।

approval পরিষ্কার করতে ব্যবহার করুন revoke.cash; ওয়ালেট official-এর নিরাপত্তা ও ব্যাকআপ নির্দেশনা দেখুন MetaMask হেল্প সেন্টার-এ; seed phrase, প্রাইভেট কী, hot/cold ওয়ালেট — এসব ধারণার সহজ ব্যাখ্যার জন্য দেখুন Binance Academy; নিজের ঠিকানার on-chain রেকর্ড মিলিয়ে দেখতে ব্লক এক্সপ্লোরার Etherscan ব্যবহার করুন।