क्रिप्टो वॉलेट का असली मतलब "ऐप जिसमें बैलेंस दिखता है" नहीं — असली मतलब है आपकी प्राइवेट कीज़ कहाँ हैं। एक्सचेंज पर "आपका" बैलेंस सिर्फ़ एक IOU है, FTX 2022 की कहानी ने यह सिखा दिया। यह नोट सेल्फ़-कस्टडी का असली गाइड है।
एक्सचेंज वॉलेट vs सेल्फ़-कस्टडी · असली फ़र्क़
एक्सचेंज पर रखा · आपके पास "IOU" है
आपने Binance पर 0.1 BTC ख़रीदा, स्क्रीन पर "बैलेंस 0.1 BTC" दिखता है — पर यह 0.1 BTC असल में आपके पास नहीं है। नवंबर 2022 के FTX सप्ताह में #notyourkeysnotyourcoins ट्विटर पर छाया हुआ था, किसी ने Ledger पहली बार ऑन करते समय PIN भूलकर 6 बार रीसेट किया — सेल्फ़-कस्टडी सिर्फ़ ऐप इंस्टॉल करना नहीं है। आपका BTC Binance के किसी कोल्ड वॉलेट या हॉट वॉलेट में है, डेटाबेस में एक रिकॉर्ड है: "यह यूज़र 0.1 BTC का हक़दार है"। आपको दिखने वाला बैलेंस Binance का दिया हुआ IOU है।
एक्सचेंज भागे = IOU रद्दी। FTX 2022 में टूटा, लाखों यूज़र्स के IOU रात भर में बेकार काग़ज़ बन गए — खाते में पैसा दिखता है, निकाल नहीं सकते। उस घटना के बाद मैं फिर कभी एक्सचेंज पर 2 हफ़्ते के ट्रेडिंग वॉल्यूम से ज़्यादा नहीं रखता।
सेल्फ़-कस्टडी वॉलेट · आप सिक्कों के असली मालिक
सेल्फ़-कस्टडी वॉलेट वह है जिसमें आप ख़ुद प्राइवेट कीज़ रखते हैं। प्राइवेट की = अंकों की एक स्ट्रिंग, जो सिर्फ़ आपको पता = आपका इन सिक्कों पर एकमात्र नियंत्रण। कोई फ़्रीज़ नहीं कर सकता, कोई withdrawal रिजेक्ट नहीं कर सकता, कोई भाग नहीं सकता।
इसकी क़ीमत है: आपके पास कस्टमर सर्विस भी नहीं। प्राइवेट की खो गई, सिक्के खो गए — कोई आपकी मदद नहीं कर सकता। ग़लत एड्रेस पर भेजा, पैसा वापस नहीं आएगा — ब्लॉकचेन ट्रांज़ैक्शन अपरिवर्तनीय है। सेल्फ़-कस्टडी का मूल मतलब है ज़िम्मेदारी आप अपने हाथ में लेते हैं।
वॉलेट के प्रकार
| प्रकार | उदाहरण | सुरक्षा | सुविधा | किसके लिए |
|---|---|---|---|---|
| एक्सचेंज वॉलेट | Binance / OKX | कम | बेहद ऊँची | रोज़मर्रा ट्रेडिंग, छोटी राशि (2 हफ़्ते के अंदर) |
| सॉफ़्टवेयर हॉट वॉलेट | MetaMask / Phantom / OKX Web3 | मध्यम | ऊँची | DeFi इंटरैक्शन, चेन-ऑन ट्रांसफ़र, मध्यम राशि |
| मोबाइल वॉलेट | Trust / imToken / Bitget | मध्यम | ऊँची | मोबाइल DeFi, सॉफ़्टवेयर वॉलेट जैसा |
| हार्डवेयर कोल्ड वॉलेट | Ledger / Trezor | बहुत ऊँची | मध्यम | मुख्य पोज़िशन लंबे समय, बड़ी राशि |
| पेपर वॉलेट | मैन्युअल कॉपी प्राइवेट की / सीड | आप कितने अच्छे से छिपा सके | कम | विशेष चरम केस |
नए लोगों के लिए सुझाया गया कॉम्बो: एक्सचेंज + MetaMask + Ledger। रोज़मर्रा एक्सचेंज से, DeFi MetaMask से, मुख्य पोज़िशन Ledger पर।
MetaMask पहली बार सेटअप · क़दम-दर-क़दम
क़दम 1 · सिर्फ़ ऑफ़िशियल साइट से डाउनलोड
metamask.io खोलें (स्पेलिंग ध्यान से, metamesk / metamaks नहीं)। Phishing साइट्स ऑफ़िशियल जैसी ही दिखती हैं, एक अक्षर अलग, आप डाउनलोड करके सीड फ़्रेज़ इम्पोर्ट करते हैं, सारा पैसा शून्य। डोमेन ख़ुद टाइप करें, सर्च इंजन विज्ञापन क्लिक न करें — Google / Yahoo पर "MetaMask" का पहला विज्ञापन अक्सर phishing होता है।
क़दम 2 · नया वॉलेट बनाएँ
एक्सटेंशन खोलें, "Create a new wallet" पर क्लिक करें (Import नहीं)। पासवर्ड सेट करें — यह पासवर्ड सिर्फ़ इस मशीन पर वॉलेट अनलॉक के लिए है, खोने से सिक्के की सुरक्षा प्रभावित नहीं होती। मज़बूत पासवर्ड (15+ अक्षर, बड़े/छोटे + संख्या + प्रतीक), ब्राउज़र पासवर्ड मैनेजर में रखें।
क़दम 3 · 12 अंग्रेज़ी शब्द देखें (महत्वपूर्ण!)
MetaMask आपको 12 अंग्रेज़ी शब्द कॉपी करने को कहेगा — यह सीड फ़्रेज़ (Seed Phrase / Mnemonic) है। ये 12 शब्द क्रम और स्पेलिंग दोनों ग़लत नहीं होने चाहिए — ये सीधे आपके वॉलेट की प्राइवेट की से जुड़े हैं। जिसके पास ये 12 शब्द हों, वह कहीं भी इम्पोर्ट करके आपके सारे सिक्के ले सकता है।
क़दम 4 · कॉपी करें, क़ाग़ज़-क़लम से
क़ाग़ज़ और क़लम से कॉपी करें। नहीं:
- स्क्रीनशॉट लें — फ़ोन हैक/गैलरी क्लाउड सिंक = सब ख़त्म
- पासवर्ड मैनेजर में रखें — मैनेजर हैक तो ख़त्म
- अपने आप को ईमेल करें — ईमेल हैक तो ख़त्म
- Google Drive / iCloud / OneDrive — इनके leak होने की संभावना आप समझ रहे से कहीं ज़्यादा है
- विश्वासी को रखने को दें — वह बदले तो आप गए
- याद रखें — आप सोचते हैं याद है, असल में 3 महीने में भूल जाते हैं
दो प्रतियाँ कॉपी करें, दो भौतिक रूप से अलग जगहों पर रखें — जैसे घर के अलमारी में एक, बैंक लॉकर में एक।
क़दम 5 · सीड फ़्रेज़ की एडवांस्ड स्टोरेज
क़ाग़ज़ की कॉपी आग, पानी, नमी, कीड़ों से प्रभावित होती है। पाँच अंकों डॉलर से ऊपर की होल्डिंग वालों के लिए मेटल सीड प्लेट ख़रीदें (Cryptosteel / Billfodl) — शब्द धातु पर उकेरें, आग+पानी-प्रूफ़। कुछ डॉलर का ख़र्च, लंबी सुरक्षा, सार्थक है।
और एडवांस्ड: 12 शब्द को 2-3 हिस्सों में बाँटें, अलग-अलग भौतिक स्थानों पर रखें, कोई एक हिस्सा भी निर्यात के लिए पर्याप्त नहीं — पूरा बनाने के लिए कम-से-कम 2 हिस्से चाहिए। इसे Shamir Secret Sharing कहते हैं, Trezor में इन-बिल्ट है।
व्यावहारिक जाल · असली घटनाएँ
घटना 1 · सीड फ़्रेज़ स्क्रीनशॉट क्लाउड सिंक से लीक
मेरा एक दोस्त 2022 में DeFi छूना शुरू किया, MetaMask इंस्टॉल करने के बाद 12 शब्द क़ाग़ज़ पर लिखना झंझट लगा, उसने स्क्रीनशॉट लेकर फ़ोन गैलरी में रखा। उसकी गैलरी iCloud पर ऑटो सिंक थी। एक दिन उसकी Apple ID विदेश से credential stuffing से लॉगइन हुई (उसने 10 साल पुराना कमज़ोर पासवर्ड इस्तेमाल किया जो किसी फ़ोरम पर लीक हो चुका था) — अगले दिन सुबह उसके वॉलेट से कई हज़ार डॉलर के USDC और ETH एक बार में ले लिए गए।
चेन पर देख सकते थे कि एसेट कहाँ गए, पर वापस नहीं ले सकते थे। Apple भी मदद नहीं कर सकता था — वे सिर्फ़ अकाउंट के लिए ज़िम्मेदार हैं। उसने उसके बाद DeFi को कभी नहीं छुआ।
घटना 2 · approve phishing
मैं ख़ुद भी एक बार फँसा — 2021 में एक नए NFT mint में हिस्सा लिया, mint के बाद उस वेबसाइट ने "एयरड्रॉप क्लेम" का popup दिखाया, मैंने सहमति दी। साइन का कंटेंट अंग्रेज़ी में था: setApprovalForAll — मतलब इस कॉन्ट्रैक्ट को मेरे सभी same-type token ट्रांसफ़र करने का अधिकार देना।
अगले दिन मेरे वॉलेट से उस सीरीज़ के सारे NFT ले लिए गए। नुक़सान बड़ा नहीं था (वे NFT बहुत क़ीमती नहीं थे), पर मुझे एक बात सिखाई: हर "approve request" popup पर, साइन करने से पहले approve target ध्यान से देखें। समझ न आए, सीधे reject करें।
उसके बाद से मैं हर साइन में दाईं ओर का कॉन्ट्रैक्ट एड्रेस ध्यान से पढ़ता हूँ, अजनबी एड्रेस नहीं, अस्पष्ट फ़ंक्शन नहीं, असीमित राशि नहीं।
Approve क्या है · और क्यों इतना ख़तरनाक
ERC-20 स्टैंडर्ड में, कोई भी आपके token को ट्रांसफ़र करने से पहले, आपको उस कॉन्ट्रैक्ट को अधिकार देना होता है। जैसे Uniswap पर USDC को ETH में बदलते समय, पहली बार आपसे approve माँगेगा — मतलब "Uniswap कॉन्ट्रैक्ट को मेरी USDC को हिलाने की अनुमति"। यह DeFi की स्मूथ चलने की डिज़ाइन है।
समस्या यह: approve की राशि अनंत हो सकती है। Uniswap डिफ़ॉल्ट unlimited approve माँगता है — एक बार अधिकार, उसके बाद सारी USDC यह कॉन्ट्रैक्ट हिला सकता है। Uniswap glitch नहीं करता (कॉन्ट्रैक्ट सिर्फ़ swap करते वक़्त हिला सकता है) — पर अगर आपने किसी phishing कॉन्ट्रैक्ट को approve किया, उसी पल वह आपकी सारी USDC ले लेगा।
Approve डिफ़ेंस · व्यावहारिक
- हर साइन ध्यान से पढ़ें — क्या साइन कर रहे, किसको साइन कर रहे, राशि कितनी। समझ न आए सीधे reject।
- नियमित approves साफ़ करें — revoke.cash इस्तेमाल करें, सारे approved कॉन्ट्रैक्ट चेक करें, अनुपयोगी सब revoke करें।
- Spending limit सेट करें — MetaMask अब unlimited को specific राशि में बदलने देता है, यह आदत बनाएँ।
- बड़ी राशि के लिए अलग एड्रेस — लंबे समय रखे सिक्के एक ऐसे एड्रेस पर रखें जो कभी कोई कॉन्ट्रैक्ट approve नहीं किया, पूरी तरह अलग।
हार्डवेयर वॉलेट · ख़रीदें या नहीं
एसेट $10,000+ के स्तर पर, एक ख़रीदने की सलाह। मैं Ledger Nano X इस्तेमाल करता हूँ (2020 में ख़रीदा, अभी भी चल रहा)। दूसरे विकल्प: Trezor, Lattice, SafePal जैसे स्क्रीन वाले हार्डवेयर डिवाइस।
हार्डवेयर वॉलेट का मूल मूल्य: प्राइवेट की कभी डिवाइस से बाहर नहीं जाती। ट्रांज़ैक्शन साइन भी डिवाइस के अंदर होता है, आपका कंप्यूटर सिर्फ़ साइन हुआ रिज़ल्ट देखता है, हैकर ने आपका कंप्यूटर भी नियंत्रित किया हो तब भी प्राइवेट की नहीं ले सकता।
इस्तेमाल का तरीक़ा: Ledger MetaMask से कनेक्ट करें, हर साइन पर Ledger पर बटन दबाकर पुष्टि करनी होगी — यह आपको देखने पर मजबूर करता है कि क्या साइन कर रहे, बजाय बेधड़क confirm दबाने के। यह छोटा-सा क़दम 99% phishing अटैक फ़िल्टर करता है।
Amazon पर Ledger / Trezor ख़रीदना: संभव है किसी ने डिवाइस खोलकर malware लगाकर वापस पैक किया हो। Ledger के CEO का ख़ुद का बयान: "हमारे ऑफ़िशियल साइट shop.ledger.com से ख़रीदें, या Amazon पर सिर्फ़ Ledger SAS sold by यह verified seller से"।
ख़रीदने पर अगर डिवाइस के साथ कोई "तैयार सीड फ़्रेज़ कार्ड" है — यह स्कैम है, फेंक दें। ओरिजिनल डिवाइस को सीड फ़्रेज़ ख़ुद generate करनी होती है, पहले से नहीं आती।
नए लोगों के लिए वॉलेट सेटअप का रोडमैप
- हफ़्ता 1 — एक्सचेंज पर $50-100 BTC/ETH ख़रीदें, MetaMask इंस्टॉल करें, क़ाग़ज़ पर सीड फ़्रेज़ कॉपी करें (अभी कोई पैसा MetaMask में मत डालें)।
- हफ़्ता 2 — एक्सचेंज से छोटा-सा ($10-20) MetaMask में भेजकर देखें, यह ट्रांज़ैक्शन कैसे confirm होता है, गैस कैसे काम करती है। फिर वापस एक्सचेंज पर भेजें।
- हफ़्ता 3-4 — Polygon पर Uniswap swap एक बार करें ($20-30 USDC), approve प्रोसेस का अनुभव लें। revoke.cash से approve रिवोक करें।
- हफ़्ता 5-8 — मुख्य पोज़िशन ($1,000+) MetaMask में रखें, ट्रेडिंग के लिए सिर्फ़ छोटा हिस्सा एक्सचेंज पर।
- 2 महीने बाद — होल्डिंग $10,000+ है, Ledger Nano S Plus / Nano X ख़रीदें, MetaMask को Ledger से कनेक्ट करें, बड़ी राशि वहाँ ट्रांसफ़र करें।
यहाँ तक लिखा है
क्रिप्टो वॉलेट का असली मतलब "ऐप" नहीं, "ज़िम्मेदारी" है। एक्सचेंज पर रखना सुविधाजनक है पर वह "आपके सिक्के" नहीं हैं — वह "एक्सचेंज का आपको IOU" है। सेल्फ़-कस्टडी का मतलब सच में मालिक होना — और सच में मालिक होने का मतलब सच में ज़िम्मेदारी।
नए लोगों के लिए सलाह: छोटी राशि से शुरू करें, गलती करने का मौक़ा रखें, सीड फ़्रेज़ की सुरक्षा को जीवन में सबसे ज़्यादा गंभीरता से लें। एक बार सीड खो दी, सिक्के हमेशा के लिए गए।
अगर आपने अभी तक एक्सचेंज से बाहर निकलकर वॉलेट में पैसा नहीं डाला, यह सबसे पहला क़दम है। DeFi, NFT, यील्ड फ़ार्मिंग — सब कुछ वॉलेट से शुरू होता है।
