रोज़ हज़ारों लोग Telegram / X / WhatsApp ग्रुप में ठगे जा रहे हैं। ठगे जाने वाले सिर्फ़ नए नहीं — दस साल के पुराने भी फँसते हैं। पिछले साल OKX के आंतरिक आँकड़े के मुताबिक़ फ़िशिंग एड्रेस से approve होने से वैश्विक नुक़सान $2.1 अरब था। ये 8 क़िस्में पिछले 7 साल में सबसे ज़्यादा देखी गई हैं — हर केस को खोलकर बताऊँगा कि शुरुआत कैसी होती है, तकनीकी ट्रिक क्या है, और होशियार लोग भी क्यों फँस जाते हैं। हर एक को पहचानना मतलब कम-से-कम एक साल की कमाई बचा लेना।
नक़ली एक्सचेंज कस्टमर सपोर्ट · आपका अकाउंट रिमोट से ख़ाली
आम पटकथा
आपके अकाउंट पर एक छोटी समस्या होती है — मसलन "विदड्रॉल फ़ेल" का SMS या "अकाउंट पर असामान्य लॉगिन" वाली ईमेल। 2024 में नक़ली सपोर्ट इंडस्ट्रियल पैमाने पर है, Telegram पर हफ़्ते में 5-8 "Binance सपोर्ट" प्राइवेट मैसेज भेजते हैं — एक भी असली नहीं। कुछ मिनटों में एक "सपोर्ट" Telegram या फ़ोन पर जुड़ जाता है। नरम आवाज़, आपके असली नाम से अभिवादन, "रिमोट सहायता टूल" (TeamViewer या AnyDesk) डाउनलोड कराते हैं "जाँच के लिए"। आप इंस्टॉल कर लेते हैं।
वो आपकी स्क्रीन पर बैठकर "ठीक करता है"। आप माउस चलते देखते रहते हैं — एक्सचेंज में लॉगिन, API परमिशन बदलना, फंड बाहर भेजना। आप कुछ कहते नहीं क्योंकि "सपोर्ट" हर स्टेप समझा रहा है। जब तक आप समझें, अकाउंट ख़ाली है।
तकनीकी ट्रिक
- ठग एक्सचेंज डेटा लीक (2022 Binance KYC, 2023 OKX ईमेल लीक) से आपकी असली जानकारी पाते हैं।
- SMS spoofing / phishing email बनाते हैं, ताकि लगे सच में समस्या है।
- असली हमला "रिमोट सहायता" स्टेप पर होता है — आपने स्क्रीन कंट्रोल दे दिया, 2FA / Google Authenticator बायपास हो गया (क्योंकि आप ख़ुद ऑपरेट कर रहे हैं)।
बचाव
- कोई भी असली सपोर्ट आपको Telegram / WhatsApp / फ़ोन पर सक्रिय रूप से नहीं आएगा। कोई भी "सक्रिय संपर्क" 100% ठग है। सपोर्ट चाहिए तो आप एक्सचेंज ऐप के अंदर वाले चैट से शुरू करें।
- TeamViewer / AnyDesk / Sunflower किसी अनजान को कभी न दें — चाहे "आधिकारिक टूल" बताया जाए।
- अकाउंट पर समस्या लगे तो पहले एक्सचेंज ऐप में स्वयं लॉगिन करें — SMS / ईमेल लिंक पर भरोसा न करें।
- शक हो तो एक्सचेंज के आधिकारिक Twitter से क्रॉस-चेक करें — कोई भी आधिकारिक स्टाफ़ रिमोट परमिशन नहीं माँगता।
असली घटना · 2023
एक भारतीय यूज़र ने Reddit पर पोस्ट किया: रात 10 बजे "Binance रिस्क डिपार्टमेंट" से फ़ोन आया, बात करने वाले ने उसका नाम, फ़ोन के अंतिम 4 अंक, हाल का ट्रेड वॉल्यूम बताया — फिर कहा "आपके अकाउंट पर यूक्रेन IP से असामान्य लॉगिन है, पहचान सत्यापित कीजिए"। यूज़र ने AnyDesk इंस्टॉल किया, "सत्यापन" असल में API write परमिशन ऑन करना + विदड्रॉल OTP बंद करना था। 18 मिनट में $30,000 USDT 6 अलग एड्रेस पर बँट गए, अंतिम मंज़िल मिक्सर Tornado Cash। आज तक वापस नहीं मिला। पुलिस केस दर्ज करने में 6+ महीने लगते हैं, क्रॉस-बॉर्डर रिकवरी रेट 5% से कम।
"गुरुजी" का सिग्नल ग्रुप · आप उनकी "बलि" हैं
आम पटकथा
X / Instagram / YouTube पर "करोड़पति ट्रेडर", फ़ेरारी की तस्वीरें, "स्टूडेंट्स के थैंक यू ट्रांसफ़र" वाले स्क्रीनशॉट। आपको Telegram ग्रुप में जोड़ते हैं, मुफ़्त कुछ कॉल देते हैं — पहले 3 सही निकलते हैं, आप थोड़े पैसे कमाते हैं और सोचते हैं गुरुजी सच में देवता हैं। फिर "गुरुजी" कहते हैं "इस मौक़े पर 10× लीवरेज लगाओ" — आप पूरा डालते हैं, लिक्विडेट हो जाते हैं। ग्रुप पर वापस जाते हैं, बैन कर दिए जाते हैं।
इस पटकथा का राज़ है "पहले मीठा फिर तीखा"। पहले के 3 कॉल असली हो सकते हैं — गुरुजी के पास 1000 नए हैं, आधे को long कहते हैं आधे को short। जो जीते वे रहते हैं, हारे निकाल दिए। अगले राउंड में जीते आधे को फिर दो हिस्सों में बाँटते हैं। 5-6 राउंड बाद बचे "भाग्यशाली" मानते हैं गुरुजी देवता हैं। फिर उनसे आख़िरी रकम लूट लेते हैं।
तकनीकी ट्रिक
- ग्रुप में "पैसे कमाने" वाले स्क्रीनशॉट 95% Photoshop / डेमो अकाउंट के होते हैं। ऑन-चेन से सत्यापित असली अकाउंट दुर्लभ।
- ग्रुप में "मित्र" अधिकांश बॉट हैं, स्क्रिप्ट से इंटरैक्ट करते हैं: "गुरुजी फिर सही!" "मैंने ₹50 लाख कमाए!"
- और गहरा रूप: "हाउस गुरुजी" — गुरुजी ख़ुद प्लेटफ़ॉर्म हाउस है, आप 10× लीवरेज लगाते हैं, प्लेटफ़ॉर्म आपके लिक्विडेशन से कमाता है। ज़्यादातर ऐसे प्लेटफ़ॉर्म असली एक्सचेंज नहीं, विदड्रॉल नहीं होते।
बचाव
- असली हाई-स्किल ट्रेडर सार्वजनिक रूप से सिग्नल नहीं देते — वे ट्रेड से कमाते हैं, "मेंबरशिप फ़ीस" से नहीं।
- कोई भी मेंबरशिप फ़ीस + अनजान एक्सचेंज पर रजिस्टर करवाने वाला "गुरुजी" 100% ठग है।
- "गुरुजी" स्क्रीनशॉट दिखाएँ तो उनसे ऑन-चेन वॉलेट एड्रेस से साबित करवाएँ, एक्सचेंज स्क्रीनशॉट नहीं।
- ग्रुप में "पैसा कमाया" मैसेज का समय वितरण देखें — अधिकांश गुरुजी के सिग्नल के 5 मिनट के अंदर एकत्रित होते हैं, यह बॉट का संकेत है।
Approve फ़िशिंग · एक सिग्नेचर से पूरा वॉलेट ख़ाली
आम पटकथा
आपको एक NFT प्रोजेक्ट का "एयरड्रॉप" दिखता है, या एक DeFi प्रोडक्ट जिसका यील्ड बेहूदा ऊँचा है। आप लिंक पर क्लिक करते हैं (URL आधिकारिक से एक अक्षर अलग), MetaMask कनेक्ट करते हैं, "Claim Airdrop" या "Stake Now" पर क्लिक, MetaMask पॉपअप साइन माँगता है, आप सोचते हैं रूटीन है, कन्फ़र्म दबाते हैं। अगले सेकंड में आपके वॉलेट का USDT, ETH, WBTC सब बाहर।
तकनीकी ट्रिक
- आपने सोचा "एयरड्रॉप क्लेम" साइन किया, असल में
approve(हमलावर एड्रेस, MAX_UINT256)साइन किया — उस टोकन की असीमित ख़र्च परमिशन हमलावर को दे दी। - और गंदा रूप:
setApprovalForAll(हमलावर, true)— आपके वॉलेट के सारे NFT का ट्रांसफ़र अधिकार दे दिया। - नया "Permit2 फ़िशिंग" EIP-2612 साइन का इस्तेमाल करता है, साइन के बाद USDC सीधे ट्रांसफ़र हो जाता है, ऑन-चेन इंटरैक्शन का निशान भी नहीं छूटता।
बचाव
- कोई भी वॉलेट पॉपअप, पहले "Function" क्या है देखें: Transfer = सीधा ट्रांसफ़र (राशि दिखती है); Approve = परमिशन (ख़तरनाक); Sign Message = साधारण साइन (आमतौर पर सुरक्षित पर Permit2 से सावधान)।
- एयरड्रॉप क्लेम / DeFi उपयोग से पहले URL का एक-एक अक्षर मिलाएँ, Twitter / Discord से क्रॉस-चेक।
- उच्च जोख़िम क्रिया के लिए अलग वॉलेट रखें — "एयरड्रॉप वॉलेट" में थोड़ा ETH रखें, मुख्य वॉलेट कभी इन साइट से कनेक्ट न करें।
- नियमित रूप से
revoke.cashपर जाकर अपनी सक्रिय परमिशन देखें, अनुपयोगी रद्द करें (हर रद्द में थोड़ा gas)। - हार्डवेयर वॉलेट + सेफ़ मोड का इस्तेमाल — Approve पर पूरा डेटा दिखेगा।
असली केस · Ledger Connect Kit अटैक (दिस. 2023)
Ledger का आधिकारिक Connect Kit JS लाइब्रेरी एक पूर्व-कर्मचारी ने मलिशस बना दिया, सारी DeFi साइट (SushiSwap, Zapper, Revoke.cash ख़ुद भी) जो इसे इस्तेमाल करती थीं, 5 घंटे के लिए संभावित फ़िशिंग साइट बन गईं — यूज़र वॉलेट कनेक्ट करके साइन करते तो approve ट्रिगर होता। कुल नुक़सान ~$60 लाख। सबसे मज़ेदार: revoke.cash ख़ुद भी प्रभावित था। यह बताता है: "विश्वसनीय दिखने वाला टूल" भी पल भर में अटैक वेक्टर बन सकता है। DeFi में नियमित इस्तेमाल का वॉलेट मुख्य वॉलेट से अलग होना चाहिए — इसका कोई दूसरा विकल्प नहीं।
नक़ली एयरड्रॉप · वॉलेट में अचानक कुछ "टोकन" दिखे
आम पटकथा
एक दिन MetaMask खोलते हैं, वॉलेट में नया टोकन है — "Visit Site Claim Reward" या "$25000_USDT_Reward"। मात्रा बहुत, क़ीमत भारी लगती है। ट्रेड करने जाते हैं तो "ऑफ़िशियल साइट पर क्लेम करें", एक पेशेवर दिखती साइट पर पहुँचते हैं, वॉलेट कनेक्ट + साइन। साइन के बाद आपका USDT / ETH चला जाता है।
तकनीकी ट्रिक
- ठग
airdropफ़ंक्शन से लाखों एड्रेस पर बल्क टोकन भेजते हैं — टोकन बनाना लगभग मुफ़्त है (बस थोड़ा gas)। - ये टोकन हनीपॉट हैं: दिखते हैं पर बेच नहीं सकते, कॉन्ट्रैक्ट में लिखा है "सिर्फ़ ख़ास एड्रेस ही transfer कर सकता है"।
- टोकन के नाम में वेबसाइट URL एम्बेड होती है, आपको फ़िशिंग साइट पर ले जाने के लिए।
- साइट पर पहुँचते ही CASE 03 जैसा approve-फ़िशिंग।
बचाव
- वॉलेट में अचानक मिले टोकन 99% ठगी हैं — सीधे hide करें, क्लिक न करें, इंटरैक्ट न करें।
- Etherscan / OKLink पर ऐसे टोकन "Spam" या "Phishing" टैग दिखेंगे, ब्लॉक कर सकते हैं।
- असली प्रोजेक्ट एयरड्रॉप Twitter / Discord पर पहले से घोषित होता है, और सक्रिय रूप से क्लेम करना होता है — "अचानक" कभी नहीं आता।
- लुभावना "एयरड्रॉप" मिले तो 24 घंटे ठंडे दिमाग़ से सोचें — असली एयरड्रॉप 24 घंटे में नहीं ख़त्म होता।
नक़ली एक्सचेंज · हाई-क़्वालिटी डोमेन + क्लोन ऐप
आम पटकथा
आपने Google पर "Binance download" सर्च किया, पहले विज्ञापन पर क्लिक, एक ऐप डाउनलोड किया जो Binance जैसा दिखता है। KYC, डिपॉज़िट, ट्रेड — सब ठीक चलता है। कुछ महीने बाद विदड्रॉल करना चाहते हैं, ऐप कहता है "टैक्स क्लियरेंस के लिए पहले ₹80,000 USDT एक एड्रेस पर भेजें"। आप भेजते हैं, ऐप अभी भी "और चाहिए" कहता है। आप फिर भेजते हैं, फिर शक होता है — पर तब तक अकाउंट बैलेंस दिखना ही बंद हो जाता है।
तकनीकी ट्रिक
- ठग समान डोमेन रजिस्टर करते हैं (binance-india.app जैसा) और सर्च इंजन पर विज्ञापन।
- ऐप हाई-फ़िडेलिटी क्लोन है, फ़्रंट-एंड Binance जैसा, पर बैक-एंड ठग का है — आपका "डिपॉज़िट" सीधे ठग के एड्रेस पर जाता है, ऐप नक़ली बैलेंस दिखाता है।
- iOS पर "एंटरप्राइज़ सर्टिफ़िकेट" के ज़रिए बँटता है (App Store पर नहीं आ सकता), Android पर APK सीधे।
बचाव
- कभी भी Google विज्ञापन से एक्सचेंज ऐप डाउनलोड न करें — सीधे App Store / Google Play / एक्सचेंज की आधिकारिक साइट (बुकमार्क से) से।
- iOS यूज़र: कोई ऐप "एंटरप्राइज़ सर्टिफ़िकेट" माँगे तो 99% नक़ली है। असली एक्सचेंज ऐप App Store पर हैं।
- पहली डिपॉज़िट से पहले एक छोटा विदड्रॉल टेस्ट करें — असली प्लेटफ़ॉर्म से सिक्के बाहर आते हैं।
- "विदड्रॉल के लिए कोई भी सुरक्षा डिपॉज़िट" 100% ठगी है। असली एक्सचेंज विदड्रॉल के लिए और पैसा नहीं माँगता।
हाई-क़्वालिटी डोमेन की चालें
- अक्षर प्रतिस्थापन: binance में blnance (छोटा L से i बदलना), फ़ॉन्ट में लगभग एक जैसा।
- TLD प्रतिस्थापन: binance.com की जगह binance.app, binance.live, binance.io।
- सबडोमेन रैपिंग: binance-india.com, binance-official.com।
- Punycode होमोग्लिफ़: सिरिलिक या अन्य Unicode अक्षरों से a/e/o बदलना।
हमेशा आधिकारिक डोमेन को बुकमार्क करें, सब एक्सेस बुकमार्क से करें, सर्च/लिंक से नहीं — यह सबसे सरल और सबसे प्रभावी बचाव है।
पिग बुचरिंग · विदेशी प्रेम + "गारंटी प्लेटफ़ॉर्म"
आम पटकथा
Tinder / Bumble / Instagram से एक "इन्वेस्टमेंट बैंकर महिला/पुरुष" से बातचीत — सिंगापुर / हांगकांग / सैन फ़्रांसिस्को में काम करते हैं, तस्वीरें सच में सुंदर हैं। कुछ हफ़्ते जीवन, काम, परिवार पर बात होती है, फिर वो धीरे-धीरे बताते हैं उनके अंकल का "इन्साइडर सिस्टम" है जो क्रिप्टो कॉन्ट्रैक्ट पर गारंटी देता है, वो हर हफ़्ते 5-10% कमाते हैं, क्या आप भी छोटी राशि से कोशिश करना चाहेंगे।
आप $1,000 की कोशिश करते हैं, सच में $200 निकलते हैं। वो कहते हैं "देखो", आप $10K, $50K, $1L तक चढ़ते हैं। आख़िर में पूरा निकालने जाएँ, प्लेटफ़ॉर्म कहता है "मार्जिन और भेजें"। नहीं भेजें — अकाउंट फ़्रीज़। भेजें — फिर माँगते हैं। फिर आपके फ़ोन का जवाब नहीं आता। वो WhatsApp / Tinder से ग़ायब। पूरी पहचान शून्य थी।
तकनीकी ट्रिक
- "इन्वेस्टमेंट बैंकर" एक स्क्रिप्टेड वर्चुअल पहचान है। WhatsApp / Tinder की तस्वीरें Instagram इन्फ़्लुएंसर से चुराई जाती हैं।
- "गारंटी प्लेटफ़ॉर्म" ठग का अपना है, फ़्रंट-एंड पेशेवर, बैक-एंड एक वर्चुअल डिजिटल गेम — आपका डिपॉज़िट सीधे ठग की जेब में।
- छोटी राशि की निकासी "विश्वास बनाने का ख़र्च" है, बड़ी राशि कभी नहीं निकलने देंगे।
बचाव
- अनजान से चैट से शुरू हुआ कोई भी क्रिप्टो निवेश = पिग बुचरिंग। यह पिछले 5 साल का सबसे क्रूर घोटाला है। FBI ने 2023 में अकेले $3.5 अरब के नुक़सान दर्ज किए।
- अनजान का सक्रिय रूप से कोई ऐप / प्लेटफ़ॉर्म इंस्टॉल करने को कहना 99% पिग बुचरिंग की शुरुआत है।
- वीडियो कॉल पर चेहरे की एक्सप्रेशन देखें — AI डीपफ़ेक में होंठ सिंक नहीं होते, पलकें असामान्य रहती हैं।
- असली निवेश + असली प्यार में, मिलने के 3 हफ़्ते बाद कोई "इन्साइडर सिस्टम" नहीं सिखाता।
पिग बुचरिंग की पूरी सप्लाई चेन
"पिग बुचरिंग" इंडस्ट्री का slang है — पीड़ित को मोटा करना (विश्वास बनाना + ज़्यादा पैसा डलवाना) फिर हलाल करना (कैश आउट + ग़ायब)। यह पिछले 5 साल का सबसे संगठित घोटाला है, पूरी सप्लाई चेन है:
- लीड टीम: Tinder / Bumble / Instagram पर सुंदर तस्वीरों से लीड पकड़ते हैं। एक लीडर रोज़ 200+ टारगेट जोड़ता है।
- स्क्रिप्ट टीम: "इश्क़ + इन्वेस्टमेंट बैंकर" पहचान बनाए रखती है, स्क्रिप्ट से रिश्ता बनाती है। एक स्क्रिप्ट राइटर एक साथ दर्जनों टारगेट संभालता है।
- टेक टीम: नक़ली प्लेटफ़ॉर्म + डैशबोर्ड बनाती है, "अकाउंट बैलेंस महीने-दर-महीने बढ़ रहा" वाला नज़ारा।
- लॉन्ड्री टीम: चुराए USDT को मिक्सर, क्रॉस-चेन ब्रिज, ऑन-चेन P2P से धोती है।
ऐसी सप्लाई चेन का मुख्यालय अक्सर म्यांमार के उत्तरी इलाक़े, कंबोडिया जैसे कमज़ोर क़ानून प्रवर्तन वाले क्षेत्रों में। चुराए गए पैसे का 90%+ वापस नहीं मिलता। FBI ने 2023 में स्पेशल टास्क फ़ोर्स से रिकवरी 12% पर पहुँचाई, फिर भी "मूलतः नहीं मिल पाता" वाली श्रेणी में। सबसे प्रभावी उपाय फँसना ही नहीं है।
एड्रेस पॉइज़निंग · आप समझे ख़ुद का एड्रेस कॉपी किया है
आम पटकथा
आपका एक नियमित रिसीवर एड्रेस है 0xabc123...def456। एक दिन ट्रांसफ़र करते हैं, Etherscan के हाल के लेन-देन से टारगेट एड्रेस कॉपी करते हैं (आदत से सिर्फ़ पहले 4 और बाद 4 अंक देखते हैं)। पेस्ट करते हैं, एक नज़र, सब ठीक, साइन, भेजा। पैसा एक "पॉइज़न एड्रेस" पर गया, जिसके पहले 4 और बाद 4 बिल्कुल आपके टारगेट जैसे हैं — गायब।
तकनीकी ट्रिक
- ठग ऑन-चेन क्रॉलर से बड़े वॉलेट के ट्रांसफ़र रिकॉर्ड देखते हैं।
- आपके हाल के ट्रांसफ़र एड्रेस
0xabc123...def456को देखकर "vanity address generator" से एक फ़िशिंग एड्रेस बनाते हैं जिसका prefix और suffix दोनों मेल खाएँ (ब्रूट फ़ोर्स, कुछ घंटे)। - उस फ़िशिंग एड्रेस से आपके वॉलेट पर 0-वैल्यू transfer करते हैं (0.000001 ETH या कोई नक़ली टोकन) — अगली बार Etherscan पर देखते हैं तो "टारगेट जैसा" एड्रेस हाल का दिखता है।
- एक झपकी में आप ग़लत एड्रेस कॉपी कर लेते हैं — फँसे।
बचाव
- ट्रांसफ़र एड्रेस हमेशा पूरा कॉपी करें, पहले/बाद 4 अंक नहीं — हर समय।
- विश्वसनीय स्रोत (अपना वॉलेट कॉन्टैक्ट / अपना सेव किया txt) से कॉपी, ट्रांज़ैक्शन हिस्ट्री से नहीं।
- बड़ी राशि के पहले छोटी (1 USDT) टेस्ट करें, टारगेट पर पहुँचने की पुष्टि के बाद ही मुख्य राशि।
- वॉलेट का व्हाइटलिस्ट एड्रेस फ़ीचर इस्तेमाल (MetaMask / Coinbase Wallet सपोर्ट करते हैं), सिर्फ़ पहले से जोड़े एड्रेस पर ट्रांसफ़र।
असली केस · व्हेल पॉइज़निंग $6.8 करोड़ का नुक़सान (मई 2023)
मई 2023 में एक अनाम बड़ा वॉलेट ने अपने cold wallet पर $6.8 करोड़ USDT भेजना चाहा, अनजाने में ट्रांज़ैक्शन हिस्ट्री से पॉइज़न एड्रेस कॉपी कर लिया (पहले/बाद 4 अंक एक जैसे)। पैसा सीधे हमलावर एड्रेस पर। कुछ घंटे बाद ऑन-चेन समुदाय की नज़र पड़ी, हमलावर ने (शायद दबाव में) पैसा वापस कर दिया — एड्रेस पॉइज़निंग के इतिहास का सबसे नाटकीय केस। पर 99% पीड़ितों को वापस नहीं मिलता। उसके बाद हार्डवेयर वॉलेट कम्युनिटी ने "ट्रांसफ़र पर पूरा एड्रेस दिखाना" अनिवार्य फ़ीचर बनाया।
कॉन्ट्रैक्ट बैकडोर / Rug Pull · प्रोजेक्ट टीम रातोंरात ग़ायब
आम पटकथा
एक नया DeFi फ़ार्म, APY 5000% दिखा रहा है। KOL रीट्वीट कर रहे हैं, Telegram ग्रुप सक्रिय, प्रोजेक्ट "ऑडिटेड"। आप कुछ हज़ार USDT stake करते हैं, 24 घंटे बाद देखें: लिक्विडिटी पूल 0, टोकन शून्य, प्रोजेक्ट के Twitter खाते डिलीट, सारे संपर्क ग़ायब।
तकनीकी ट्रिक
- Mint फ़ंक्शन की कोई सीमा नहीं: प्रोजेक्ट टीम कभी भी असीमित टोकन बना सकती है, फिर पूरी बेच।
- Owner लिक्विडिटी निकाल सकता है: LP प्रोजेक्ट के हाथ में, एक क्लिक से सारे USDT/ETH निकाल लेते हैं।
- Blacklist फ़ंक्शन: ख़ास एड्रेस की बिक्री रोक सकते हैं (रिटेल ख़रीद सकता है, बेच नहीं)।
- "नक़ली ऑडिट": "CertiK / PeckShield से ऑडिटेड" का दावा, स्क्रीनशॉट Photoshopped या किसी और कॉन्ट्रैक्ट का।
बचाव
- 100% से ज़्यादा APY वाले प्रोजेक्ट 98% पॉन्ज़ी या rug pull हैं। टिकाऊ ऑन-चेन यील्ड आम तौर पर 5-30% APY।
- कॉन्ट्रैक्ट के owner परमिशन देखें — असीमित mint, pause, blacklist वाले कॉन्ट्रैक्ट का मतलब प्रोजेक्ट टीम को पूरा कंट्रोल।
- लिक्विडिटी लॉक है या नहीं। Unicrypt / Team Finance पर 1+ साल लॉक प्रोजेक्ट सुरक्षित, बिना लॉक कभी भी भाग सकते हैं।
- ऑडिट देखें — CertiK, Trail of Bits, OpenZeppelin, Halborn मुख्यधारा हैं। रिपोर्ट certik.com जैसे आधिकारिक चैनल पर सर्च करें, प्रोजेक्ट का PDF स्क्रीनशॉट नहीं।
- छोटी राशि से भागीदारी — नुक़सान भी सीखने का ख़र्च। नए प्रोजेक्ट के पहले हफ़्ते में न जाएँ, पहले महीने में बड़ी राशि न लगाएँ।
हाल के सालों के बड़े rug pull केस
- Squid Game Token (नवं. 2021): स्क्विड गेम की पॉपुलैरिटी पर 5 दिन में 10,000× वृद्धि, फिर प्रोजेक्ट टीम कैश आउट, टोकन शून्य। ~$33 लाख का नुक़सान।
- AnubisDAO (अक्टू. 2021): OlympusDAO क्लोन, कुछ घंटों में $6 करोड़ ETH जमा, प्रोजेक्ट ने सब ट्रांसफ़र किया।
- Snowdog (नवं. 2021): Wonderland क्लोन, लॉन्च के 24 घंटे में owner ने बैकडोर से $1 करोड़ निकाल लिए।
- Mantra (अप्रैल 2025): ऑडिटेड, बड़े CEX पर लिस्टेड, अरबों डॉलर मार्केट कैप वाला "मेनस्ट्रीम" प्रोजेक्ट — एक दिन 90% गिरा, टीम के "योजनाबद्ध इनसाइडर सेलिंग" का संदेह।
नियम: बड़ा मार्केट कैप, लंबी अवधि = rug-proof नहीं। Mantra से पहले सब इसे "कंप्लायंट मेनस्ट्रीम" मानते थे। हमेशा rug pull जोख़िम को ध्यान में रखें।
§ घोटाले के आँकड़े · पूरी इंडस्ट्री एक नज़र में
Chainalysis 2024 रिपोर्ट: वैश्विक क्रिप्टो-संबंधी अपराध का ऑन-चेन प्राप्ति कुल $51 अरब। इसमें घोटाला (scam) ~$9.9 अरब, हैक / चोरी ~$2.2 अरब, रैनसमवेयर ~$1.2 अरब। ये सब ऑन-चेन ट्रेस होने योग्य आँकड़े हैं — ऑफ़-चेन पिग बुचरिंग जैसे, जो ट्रेस नहीं हो सकते, उनका अनुमान $20-30 अरब।
श्रेणी के अनुसार:
- फ़िशिंग / Approve प्रकार ~35%, सबसे आम अटैक वेक्टर।
- पिग बुचरिंग ~25%, पर हर केस का सबसे बड़ा नुक़सान (औसत $5-10 लाख / व्यक्ति)।
- Rug pull ~20%, DeFi का गढ़, 2024 में गिरना शुरू।
- नक़ली एक्सचेंज ~12%, मुख्य पीड़ित एशिया में।
- अन्य (एड्रेस पॉइज़निंग, AI डीपफ़ेक, MEV) ~8%, पर वृद्धि सबसे तेज़।
कुल नुक़सान का 5% से कम वापस मिलता है। इसीलिए "बचाव >> रिकवरी" — एक बार फँसे, तो लगभग शून्य।
§ क्रॉस-केस सर्वव्यापी नियम · 5 आत्म-सुरक्षा सूत्र
ऊपर के 8 केस अलग-अलग खोलने पर जटिल लगते हैं, पर मूल तर्क दो मानवीय कमज़ोरियों का इस्तेमाल है: लालच + डर। ऊँचा APY लालच को आकर्षित करता है, "अकाउंट पर समस्या" डर पैदा करता है, "सीमित एयरड्रॉप" FOMO जगाता है। इन 8 के लिए, ये 5 सूत्र किसी भी ख़ास तकनीक से ज़्यादा काम के हैं:
- सक्रिय रूप से आपके पास आया कोई भी "मौक़ा" डिफ़ॉल्ट से ठगी है — सपोर्ट, इन्वेस्टमेंट एक्सपर्ट, एयरड्रॉप, ग्रुप साझाकरण — डिफ़ॉल्ट से सब। पास करने के लिए 2× सबूत ज़रूरी।
- वॉलेट लेयर्ड मैनेजमेंट: मुख्य (कोल्ड), इंटरैक्शन (हॉट, थोड़ा ETH), एयरड्रॉप (अलग, बस अविश्वसनीय कॉन्ट्रैक्ट से कनेक्ट)। तीनों डिस्कनेक्टेड, एक टूटे तो मुख्य सुरक्षित।
- साइन से पहले function देखें — समझ में न आए, बंद कर दें। "जल्दी साइन करो, मौक़ा निकल जाएगा" वाला माहौल 100% ठगी।
- 24 घंटे ठंडे दिमाग़ का नियम: कोई भी "सीमित मौक़ा" 24 घंटे रुकें। असली मौक़ा 24 घंटे में नहीं ख़त्म होगा, नक़ली आपको ठंडा होने नहीं देगा।
- नियमित परमिशन ऑडिट: हर महीने revoke.cash से अनुपयोगी कॉन्ट्रैक्ट परमिशन रद्द; वॉलेट में मिले अजीब टोकन साफ़ करें।
तुरंत: वॉलेट का बचा हुआ बैलेंस नए वॉलेट में भेजें (और नुक़सान रोकें);
तुरंत: revoke.cash से इस टूटे वॉलेट की सारी approve रद्द करें;
रिपोर्ट: भारत में cybercrime.gov.in पर रिपोर्ट + स्थानीय साइबर क्राइम सेल; बैंक खाता संदिग्ध हो तो बैंक को तुरंत सूचना;
ट्रैकिंग: Chainabuse / MistTrack पर ठग एड्रेस फ़्लैग करें (वापस न मिले पर अगला यूज़र बचेगा);
याद रखें: फँसने के बाद कोई "मैं आपका पैसा वापस ला सकता हूँ" बोले (क्रिप्टो वकील / सुरक्षा विशेषज्ञ) — 90% द्वितीयक धोखा, "इन्वेस्टिगेशन फ़ीस" माँगते हैं।
§ क्यों होशियार लोग भी फँसते हैं
एक विपरीत बात: इन घोटालों के शिकार में अच्छे प्रोग्रामर, डॉक्टर, वकील, सीनियर मैनेजर हैं। तीन कारण:
- जितना होशियार, उतना भरोसा अपनी पहचान पर — फिर एक थकी हुई दोपहर, एक "पेशेवर" दिखता पॉपअप, बिना सोचे "Confirm"। अहंकार सबसे बड़ा प्रवेश द्वार है।
- ठगी अपडेट हो रही है, आपकी जानकारी एक बार की — 2020 में Approve फ़िशिंग जानते थे, 2024 का Permit2 नया है। बचाव को नियमित अपडेट करना ज़रूरी।
- भावना तर्क को बायपास करती है — पिग बुचरिंग का "विश्वास", "गुरुजी" का सामूहिक उत्साह, "एयरड्रॉप छूट जाएगा" की जल्दी — सब दिमाग़ को अतर्कसंगत मोड में ले जाती हैं। यह पहचान कर, किसी भी "उच्च भावना" क्रिया से पहले ख़ुद को 24 घंटे ठंडा करना — 80% ठगी से बच जाएँगे।
§ नए हमले · 2024-2026 की सबसे तेज़ बढ़ती 3 क़िस्में
ठगी की तरकीबें हर साल बदलती हैं। 2024-2026 में सबसे तेज़ बढ़ रहीं ये 3 क़िस्में ख़ास ध्यान चाहिए:
1. AI डीपफ़ेक वीडियो + वॉइस क्लोनिंग से रिश्तेदार बनना
ठग आपके सोशल मीडिया से दोस्त / परिवार की तस्वीरें और छोटे वीडियो स्क्रैप करते हैं, AI मॉडल से "मदद" वीडियो बनाते हैं — "मैं अभी पुलिस से जाँच में हूँ, ₹5 लाख USDT तुरंत भेजो, बाद में लौटाऊँगा"। वीडियो कॉल पर एक्सप्रेशन-होंठ लगभग बिना दोष, आवाज़ क्लोन। बचाव: किसी भी "तुरंत पैसा चाहिए" वीडियो/वॉइस अनुरोध पर, आप दोनों के बीच पहले से तय secret code से सत्यापित करें (जैसे "मेरे कुत्ते का नाम क्या है" — ऐसे निजी सवाल जो AI नहीं जान सकता)।
2. ऑन-चेन MEV सैंडविच + फ़िशिंग
Uniswap / PancakeSwap जैसे DEX पर ट्रेड करते वक़्त, बॉट आपके pending ट्रांज़ैक्शन देखते हैं, आपके आगे ख़रीदते हैं (कीमत ऊपर), आपके बाद बेचते हैं (आपका स्लिपेज ले जाते हैं)। यह "ठगी" नहीं "ऑन-चेन शिकार" है, पर असर वही — आपका स्लिपेज MEV बॉट की जेब में। बचाव: MEV प्रोटेक्शन वाला RPC (MEV Blocker / Flashbots Protect) इस्तेमाल करें, या CowSwap, 1inch Fusion जैसे प्राइवेट सेटलमेंट DEX पर ट्रेड।
3. नक़ली "क्रिप्टो वकील" का द्वितीयक धोखा
फँसने के सबसे दर्दनाक पल में, कोई X / Twitter पर DM करता है: "आपकी पोस्ट देखी, हमारी लॉ फ़र्म क्रिप्टो असेट रिकवरी में स्पेशलिस्ट है, 70%+ सक्सेस रेट, बस पहले एक छोटी इन्वेस्टिगेशन फ़ीस $2000 USDT…"। फ़ीस देने के बाद वो ग़ायब, या "ट्रांसलेशन फ़ीस, क्रॉस-बॉर्डर फ़ीस, मार्जिन" माँगते रहते हैं। बचाव: फँसने के बाद कोई भी सक्रिय "एक्सपर्ट" डिफ़ॉल्ट से द्वितीयक धोखा है। असली रिकवरी के लिए आधिकारिक चैनल: Chainalysis / CipherTrace / TRM Labs — ये साधारण यूज़र को DM नहीं करते, सिर्फ़ पुलिस सहयोग के साथ काम करते हैं।
§ यहाँ तक लिखा है
ये 8 क़िस्में पूरी सूची नहीं हैं — हर महीने नई तरकीबें आ रही हैं, AI डीपफ़ेक / वॉइस क्लोनिंग 2024 से बड़े पैमाने पर। पर मूल तर्क ज़्यादा नहीं बदलता: लालच, डर, जल्दी, विश्वास का इस्तेमाल।
क्रिप्टो में जीवित रहना "बुल मार्केट ढूँढने" से नहीं, "ठगाने न देने" से होता है। आपका कमाया हुआ पैसा पहले बचाना ज़रूरी है, तभी कुछ मतलब है। एक बड़ी ठगी का नुक़सान 3 साल के बुल मार्केट से पूरा होता है — अधिकांश को वह मौक़ा नहीं मिलता।
एक बात और: फँसना शर्म की बात नहीं है। मैं ख़ुद 2018 में एक "प्राइवेट सेल इनसाइडर" ठगी में 2 ETH खो चुका हूँ, उस समय ETH कुछ सौ डॉलर था। ज़रूरी है स्वीकार करना + दोबारा न करना, यह सोचना नहीं कि "और थोड़ा डालकर वापस ले आऊँगा" — यही पिग बुचरिंग की आख़िरी कील है। फँसने पर समय रहते स्वीकार, पोज़िशन घटाना, ख़ुद की समीक्षा — दूसरी बार फँसने से 100× बेहतर। हर पाठ अपनी डायरी में लिखें: ठग की भाषा, उस एक सेकंड का blind spot, और क्यों ज़्यादा नहीं जाँचा — यह समीक्षा 100 बचाव-लेख से ज़्यादा कारगर है।
इस लेख को बुकमार्क करें। हर 3 महीने एक बार दोबारा पढ़ें। हर बार "अरे, यह 6 महीने पहले से संकेत था, ध्यान नहीं दिया" वाला आत्म-बोध मिलता है। सुरक्षा एक बार में नहीं बनती, परत-दर-परत बनती है। ज़्यादा पढ़ें, सतर्क रहें — इस इंडस्ट्री में दूसरा रास्ता नहीं है।
