paint-brush
খাতা: অনিরাপদ সঞ্চয়স্থান এবং মুদ্রা স্থানান্তরের জন্য একটি টুল (বা কীভাবে এটি দিয়ে অর্থ হারাতে হয়)দ্বারা@hackerclqhckc0c0000356yh2xd3ynv
1,587 পড়া
1,587 পড়া

খাতা: অনিরাপদ সঞ্চয়স্থান এবং মুদ্রা স্থানান্তরের জন্য একটি টুল (বা কীভাবে এটি দিয়ে অর্থ হারাতে হয়)

দ্বারা 6m2024/01/05
Read on Terminal Reader

অতিদীর্ঘ; পড়তে

অনন্যভাবে সুরক্ষিত লেজার লাইভ অ্যাপ (অফিসিয়াল মোবাইল অ্যাপ্লিকেশন) এর জন্য আমি কীভাবে 100K USDT হারিয়েছি।
featured image - খাতা: অনিরাপদ সঞ্চয়স্থান এবং মুদ্রা স্থানান্তরের জন্য একটি টুল (বা কীভাবে এটি দিয়ে অর্থ হারাতে হয়)
undefined HackerNoon profile picture
0-item
1-item

পাঠকদের শুভেচ্ছা। আমি মনে করি আপনি যদি এই নিবন্ধটি পড়ছেন, আপনি কোনোভাবে ক্রিপ্টোকারেন্সির সাথে সংযুক্ত আছেন। বা লেজারের কথা শুনেছেন। আমি আশা করি এই নিবন্ধটি আপনাকে নিরাপদ থাকতে সাহায্য করবে। সর্বোপরি, লেজার নিজেই তার ব্যবহারকারীদের ক্রিপ্টো সম্পদের নিরাপত্তার বিষয়ে উদ্বিগ্ন নয়।


আমি আমার পরিস্থিতি বর্ণনা করব, কীভাবে আমি অনন্যভাবে সুরক্ষিত লেজার লাইভ অ্যাপ (অফিসিয়াল মোবাইল অ্যাপ্লিকেশন) এর জন্য 100K USDT হারিয়েছি।


"আপনার ক্রিপ্টো সুরক্ষিত করার সবচেয়ে স্মার্ট উপায়" - তাদের অফিসিয়াল ওয়েবসাইটে স্লোগানটি ঘোষণা করে।


"6 মিলিয়নেরও বেশি গ্রাহকদের দ্বারা বিশ্বস্ত" - এবং ক্রিপ্টো গোলকের জন্য উল্লেখযোগ্য সংখ্যক ব্যবহারকারী।"


মানিব্যাগটি কতটা নিরাপদ তা আমি বিচার করতে পারি না। আমি লেজার ন্যানো এক্স ব্যবহার করি। এবং যদি তাদের ওয়েবসাইট বিশ্বাস করা হয়, এটি তাদের অস্ত্রাগারের সবচেয়ে জনপ্রিয় ওয়ালেট।


হ্যাকারদের সঙ্গী


চল শুরু করা যাক. যেমনটি ঘটেছে, ঘটনাটি তাদের লেজার কিট হ্যাক করার কয়েক দিন পরেই ঘটেছে। আশ্চর্যের কিছু নেই, যেহেতু নিরাপত্তা তাদের শীর্ষ অগ্রাধিকার থেকে অনেক দূরে।


কিন্তু আমার গল্প তাদের লেজার লাইভ সম্পর্কে - "আপনার লেজার ডিভাইসের জন্য সহচর ক্রিপ্টো অ্যাপ"।

একমাত্র প্রশ্ন হল, এটি কি ব্যবহারকারীদের জন্য বা হ্যাকারদের জন্য একটি সহচর?


ব্যাপারটা হল, আমার একটি ঠিকানায় 140K USDT স্থানান্তর করতে হবে। আমি এটি দুটি পর্যায়ে করার সিদ্ধান্ত নিয়েছি: প্রথমে, আমি 40K স্থানান্তর করেছি এবং তারপরে আমি অবশিষ্ট 100K স্থানান্তর করার পরিকল্পনা করেছি। আমার আশ্চর্যের বিষয়, 100K USDT লেনদেন হয়নি এবং অ্যাপে আটকে আছে হলুদ স্ট্যাটাস 'পাঠানো' -100,000 USDT।


স্ক্যাম লেনদেনের স্ট্যাটাস পাঠানো হচ্ছে (স্ক্রীনে রাশিয়ান ভাষার জন্য দুঃখিত)


আমার প্রথম চিন্তা ছিল, 'হয়তো লেনদেন ফি প্রদানের জন্য পর্যাপ্ত TRX নেই,' যেহেতু লেজার লাইভে প্রতিটি লেনদেনের সাথে বিরক্তিকর বার্তা রয়েছে 'শক্তি প্রয়োজনের তুলনায় কম। আপনি ফি হিসাবে 50 টিআরএক্স পর্যন্ত দিতে পারেন।' এই তথাকথিত শক্তি TRX স্টেকিং মাধ্যমে অর্জিত হয়. ট্রন নেটওয়ার্কে ফি পেমেন্ট হয় এই শক্তি বা TRX টোকেন ব্যবহার করে করা যেতে পারে। যখন ব্যবহারকারীরা গ্যাস পেমেন্টের জন্য TRX ব্যবহার করার পরিকল্পনা করে তখন কেন তাকে ক্রমাগত শক্তি সম্পর্কে তথ্য দেখতে হবে তা স্পষ্ট নয়। কিন্তু যে বিন্দু পাশে.


এরপরে, আমি আমার TRX টপ আপ করেছি, আবার ঢুকেছি, এবং তারপরে আমি আমার মারাত্মক ভুল করেছি। অবশ্যই, নির্মাতারা যদি সত্যিই সুরক্ষার বিষয়ে যত্নবান হন তবে তারা অ্যাপটিতে বেশ কয়েকটি পরিবর্তন করতেন, যা আমি পরে লিখব।


আমি লেনদেনে ক্লিক করেছি যেটি স্ট্যাটাস 'প্রেরণ' এবং -100,000 USDT-এর সাথে আটকে ছিল৷


কে ভেবেছিল যে আমার ব্যক্তিগত অ্যাকাউন্টে এমন একটি লেনদেন - আসলে আমার ছিল না? স্বাভাবিকভাবেই, আমি ঠিকানার শুরু এবং শেষটি খনি মিলে দেখেছি, কিন্তু আমি ঠিকানার মাঝখানে পরীক্ষা করিনি।


'এটা আমার ব্যক্তিগত অ্যাকাউন্টে, স্ট্যাটাস পাঠানো সহ,' আমি ভাবলাম। এবং একই সময়ে, এটি আমার মনে হয়েছে, 'এমন কোন ভাইরাস নেই যা ক্লিপবোর্ড থেকে ডেটা অদলবদল করে?'


আমি যেটি পেস্ট করেছি তার সাথে কপি করা ঠিকানার তুলনা - সবই ভালো। শুধু, আমি জানতাম না যে আমার ওয়ালেটে স্ক্যাম লেনদেনগুলি আমার ব্যক্তিগত অ্যাকাউন্টে প্রদর্শিত হতে পারে৷ বিশেষ করে 'পাঠানো' স্ট্যাটাস নিয়ে।


এবং আপনি অনুমান করতে পারেন, বন্ধুরা, আমি লেনদেন নিশ্চিত করেছি এবং কিছু হ্যাকারকে 100K USDT উপহার দিয়েছি। সেকেন্ডের মধ্যে, তারা ইতিমধ্যে একটি মিশুক মাধ্যমে চলে গেছে.


USDT এর পথ চুরি করা হয়েছে

"আমাদের ইতিহাসে কি কেলেঙ্কারির লেনদেন প্রায়ই দেখা যায়? তাহলে লোকেদের ঠিকানা কপি করার ক্ষমতা থাকতে দিন।"


আমার কাঙ্খিত প্রত্যাহারের ঠিকানা: TKnjLgWCY5200001tKDZSLREpD1mTdFaaX (শুধুমাত্র ক্ষেত্রে আমি মাঝখানে শূন্য দিয়ে প্রতিস্থাপন করেছি)


স্ক্যামের ঠিকানা: TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX


TX আইডি: 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5


লেজার, এত বিবেচিত হওয়ার কারণে, শুধুমাত্র কেলেঙ্কারী লেনদেনগুলিই প্রদর্শন করে না বরং ইতিহাস থেকে অনায়াসে ঠিকানাগুলি অনুলিপি করতেও সহায়তা করে৷ মাত্র কয়েক ঘন্টা পরে, লেনদেন শিরোনাম 'পাঠানো' এবং -100,000 USDT অদৃশ্য হয়ে গেছে। লেনদেন ডামি হয়ে গেল। একটি খুব আকর্ষণীয় কেস.

পয়েন্ট

সুতরাং, এই নিবন্ধের বিন্দু কি? পৃথিবীতে অনেক প্রতারক রয়েছে এবং ক্রিপ্টো গোলকের মধ্যে তাদের সংখ্যা অগণিত। এটি হ্যাকার, স্ক্যামার, চোরদের জন্য একটি স্বর্গ। আমি লেজারকে একটি দায়িত্বহীন কোম্পানি বলে মনে করি। এবং এখন আমি বুঝতে পারছি কেন অনেকেই লেজার ব্যবহার করার পরে এটি ব্যবহার করতে অস্বীকার করে। ইন্টারনেটে প্রচুর ভিডিও আছে যেগুলো ট্র্যাশে ফেলে দিচ্ছে।


এবং আপনি বুঝতে পারেন, এই ধরনের ঘটনা প্রায়ই যথেষ্ট মানুষের ঘটবে। লেজার কি এই নিরাপত্তা ত্রুটিগুলি দূর করতে পদক্ষেপ নিতে পারে? অবশ্যই. কিন্তু কিছু কারণে, তারা না. সম্ভবত এটা তাদের জন্য লাভজনক নয়?


কেন তারা নিম্নলিখিত পদক্ষেপগুলি গ্রহণ করে না:

1. লেনদেনের ইতিহাস থেকে ঠিকানা অনুলিপি করার ক্ষমতা সরান (সবচেয়ে মৌলিক পদ্ধতি)।

2. ঠিকানা ফিল্টারিং যোগ করুন।

3. কেলেঙ্কারির লেনদেন হাইলাইট করুন (যেমন অনেক অনুসন্ধানকারী এবং পরিষেবা করে)।

4. অনুমোদিত ঠিকানাগুলির একটি তালিকা যুক্ত করুন (যেখানে ব্যবহারকারী এক্সচেঞ্জ এবং অন্যান্য প্ল্যাটফর্মের মতো 'সাদা ঠিকানা' যোগ করে। এই তালিকার বাইরে কোনও ঠিকানায় পাঠানোর সময়, একটি নিশ্চিতকরণ উইন্ডো উপস্থিত হওয়া উচিত, যেখানে ঠিকানাটি বড় ফন্টে লেখা আছে, উল্লেখ করে যে 'ঠিকানাটি আপনার অনুমোদিত ঠিকানার তালিকায় নেই', এবং এটি পুঙ্খানুপুঙ্খভাবে পুনরায় পরীক্ষা করার পরামর্শ দেওয়া হচ্ছে।

5. একই ঠিকানার সাথে ঘন ঘন ইন্টারঅ্যাকশনের জন্য - এটি প্রায়শই ব্যবহৃত ঠিকানাগুলির তালিকায় যুক্ত করুন।


পরিবর্তে, তাদের বিভিন্ন স্টেকিং বৈচিত্র, তাদের রেফারেল সিস্টেম এবং আরও অনেক কিছু সম্পর্কে অ্যাপে প্রচুর বিজ্ঞাপন রয়েছে।


লেজার সাপোর্ট একে 'অ্যাড্রেস পয়জনিং' (অ্যাড্রেস পয়জনিং) বলে। এটি একটি খুব জনপ্রিয় জিনিস.


এখানে তাদের নিবন্ধের একটি লিঙ্ক দেওয়া হল , যা শেষবার আগস্ট 2023-এ আপডেট করা হয়েছিল। তারপর থেকে প্রায় 5 মাস কেটে গেছে, এবং কোম্পানি দুর্বলতা দূর করার জন্য কোনো পদক্ষেপ নেয়নি।


এখানে তাদের আরেকটি নিবন্ধ রয়েছে , যেখানে তাদের সফ্টওয়্যার আর্কিটেক্ট ঠিকানা বিষক্রিয়ার প্রক্রিয়া বর্ণনা করেছেন। কিন্তু এটি বলে যে আক্রমণকারীরা লোকেদের ঠিকানা থেকে শূন্য পরিমাণে ট্রান্সফার টোকেন ব্যবহার করে। অনুমিতভাবে, লেজার ক্রমাগত তার পাল্টা ব্যবস্থার ব্যবস্থা উন্নত করছে। কিন্তু আমার ক্ষেত্রে, স্থানান্তর একেবারে শূন্য ছিল না। এটি স্থানান্তরের পরিমাণের সাথে হুবহু মিলে যাচ্ছিল।


অবশ্যই, তাদের প্রতিক্রিয়া চিঠিতে, সমর্থন ব্যবহারকারী চুক্তির একটি লিঙ্ক সংযুক্ত করেছে। স্বাভাবিকভাবেই, এতে কোম্পানির পক্ষ থেকে একটি দাবিত্যাগ রয়েছে, সেইসাথে ব্যবহারকারীর কাছে সমস্ত দায়িত্ব স্থানান্তর করা হয়েছে। তাই যদি লেজার লাইভ অ্যাপে আপনি 'তহবিল পাঠানোর জন্য এখানে আপনার ঠিকানা' বলে তাদের উইন্ডো পান, যেখানে কোম্পানি তহবিল পাঠানোর জন্য তার নিজস্ব ঠিকানা সন্নিবেশ করায় - এটি আপনার এবং শুধুমাত্র আপনার দায়িত্ব যে আপনি দুবার চেক করেননি। অ্যাপটিতে যা লেখা থাকুক না কেন।


আমি আমার কেসটিকে একেবারে সাদৃশ্যপূর্ণ বলে মনে করি - অ্যাপে একটি স্ক্যাম লেনদেন চিহ্নিত করা হয়েছে:

  • একটি মুলতুবি অবস্থা সহ,
  • মেলা লেনদেনের পরিমাণ - 100,000 USDT।


বেশিরভাগ ব্যবহারকারী এই লেনদেনটিকে তাদের ঠিকানা থেকে পাঠানো হিসাবে বিবেচনা করবে এবং মনে করবে যে এটি কার্যকর করার জন্য সারিতে রয়েছে (বা কার্যকর করতে ব্যর্থ হয়েছে)।


এবং পরিশেষে. পণ্যের বিস্তৃত বিতরণ সম্পর্কে আমরা কথা বলতে পারি? তাদের মতে, যারা এটি ব্যবহার করেন তাদের প্রত্যেকের ঠিকানা বিষক্রিয়া সম্পর্কে জানা বা জানা উচিত। আমি আশা করি যে আমার নিবন্ধের পরে, আপনি লেজার ব্যবহার বন্ধ করবেন। এবং যদি আপনি কেবল এটি বিবেচনা করেন তবে আপনি এই ধারণাটি ত্যাগ করবেন।


একটি উদাহরণ হিসাবে মোবাইল ব্যাংকিং নিন। আপনি যদি আপনার পরিচিতি তালিকা থেকে কাউকে বেছে নেন এবং তাদের কাছে অর্থ স্থানান্তর করেন - এমন একটি পরিস্থিতি কি হতে পারে যেখানে ব্যাঙ্কের অ্যাপ সেই শংসাপত্রগুলির সাথে অন্য কারও বিবরণ দেখায়? আমি কোম্পানির বিরুদ্ধে মামলা করার এবং নিয়ন্ত্রক কর্তৃপক্ষের কাছে অভিযোগ দায়ের করার পরিকল্পনা করছি৷ এ ধরনের অনাচার থাকা উচিত নয়। হয় তাদের আর্থিক আবেদনের নিরাপত্তার কথা চিন্তা করা উচিত - অথবা তাদের জরিমানা দিতে হবে এবং স্যান্ডবক্সে খেলতে চলে যেতে হবে।


PS: পড়ার জন্য আপনাকে ধন্যবাদ! লেনদেন পাঠানোর সময় সতর্ক ও সতর্ক থাকুন। এবং সেই সমস্ত পরিষেবা এবং সংস্থাগুলির পক্ষে পছন্দ করুন যারা তাদের পরিষেবার সুরক্ষায় আগ্রহী এবং ক্লায়েন্টদের সুবিধার জন্য কাজ করে৷


আমার জন্য, লেজার হল এমন একটি কোম্পানির উদাহরণ যা সম্পূর্ণ দায়িত্বজ্ঞানহীন এবং এই ধরনের সমস্যার প্রতি অন্ধ দৃষ্টি দেয়। তাদের পরিষেবার ক্রমাগত হ্যাকিং এবং ক্লায়েন্টদের ক্ষতি (লেজার কিট)। আমার লক্ষ্য হল এই কেসটি সর্বাধিক সম্ভাব্য দর্শকদের কাছে ছড়িয়ে দেওয়া যাতে প্রত্যেকে তার গ্রাহকদের প্রতি কোম্পানির মনোভাব সম্পর্কে জানতে পারে।