কপি-পেস্টেই কয়েন হারানো: Address Poisoning ও Clipboard Hijacking

ঘটনার পুনর্নির্মাণ · চরিত্র কাল্পনিক, কৌশল বাস্তব ও প্রচলিত

রাহেলা মাসের পর মাস তার নিজের অন-চেইন ওয়ালেটে USDT পাঠাচ্ছেন — রুটিন এতটাই চেনা যে চোখ বন্ধ করেও করা যায়। ট্রান্সফার হিস্ট্রি খোলো, শেষবারের ঠিকানাটা খোঁজো, কপি করো, পেস্ট করো, শুরুর চার অক্ষর আর শেষের চার অক্ষর মিলিয়ে দেখো — সব ঠিক আছে — কনফার্ম।

এবারও তাই করলেন। শুরুটা চেনা, শেষটাও চেনা। দুইবার দেখলেন, Send চাপলেন। ব্লকচেইনে সাথে সাথে সাফল্যের বার্তা। কিন্তু ওয়ালেটের ব্যালেন্স শূন্যই থাকল।

হিস্ট্রি ঘেঁটে যা বুঝলেন তা হলো — যে এন্ট্রিটা কপি করেছিলেন সেটা তাঁর নিজের পাঠানো কোনো ট্রান্সফার ছিল না। কয়েকদিন আগে শূন্য মূল্যের একটা আগত ট্রান্সফার। প্রেরকের ঠিকানার শুরু ও শেষ তাঁর নিজের ওয়ালেটের সাথে হুবহু মিলে — শুধু মাঝের লম্বা অংশটা আলাদা। কেউ একটা "যমজ ঠিকানা" আগেই হিস্ট্রিতে বসিয়ে রেখেছিল এবং অপেক্ষা করছিল যেদিন তিনি অবহেলায় সেটা কপি করবেন।

এই কৌশলের নাম address poisoning। আর এর সাথে পুরনো একটা আক্রমণ — clipboard hijacking — দুটোই একই মুহূর্তকে লক্ষ্য করে: কপি আর পেস্টের মাঝখানের ভগ্নাংশ সেকেন্ড। অন-চেইন ট্রান্সফার ফেরত আনা যায় না। এই দুটো ফাঁদের যেকোনো একটা কাজ করলে টাকা ফেরত পাওয়ার সম্ভাবনা প্রায় শূন্য। এই গাইডে দুটোর কৌশল ও প্রতিরোধ একসাথে বলা হলো।

Address Poisoning: নকল ঠিকানা হিস্ট্রিতে কীভাবে ঢোকে

একটা তথ্য মাথায় রাখুন: ব্লকচেইন ঠিকানা তৈরি করা বিনামূল্যে, এবং যত খুশি তৈরি করা যায়। আক্রমণকারীরা স্ক্রিপ্ট চালিয়ে ব্যাচে ঠিকানা তৈরি করে — শুধু খোঁজে এমন ঠিকানা যার শুরু ও শেষ আপনার পরিচিত ঠিকানার সাথে মেলে। যথেষ্ট সময় দিলে মিল পাওয়া সম্ভব।

যমজ ঠিকানা পাওয়ার পর তারা আপনাকে একটা ট্রান্সফার পাঠায় — শূন্য বা কয়েক পয়সার "dust"। এটা আপনার সরাসরি কোনো ক্ষতি করে না। এর একমাত্র উদ্দেশ্য আপনার ওয়ালেট হিস্ট্রি বা এক্সচেঞ্জ ডিপোজিট রেকর্ডে একটা জায়গা দখল করা। সেদিন থেকে আপনার ট্রান্সফার হিস্ট্রিতে পরিচিত দেখতে কিন্তু অপরিচিত একটা ঠিকানা বসে থাকে।

বাকিটা অভ্যাসের খেলা। বেশিরভাগ মানুষ ক্রিপ্টো পাঠানোর সময় হিস্ট্রি থেকে ঠিকানা তোলে। দুটো এন্ট্রি দেখতে একই — কোনটা তুলবেন সেটা প্রায় লটারির মতো। কিছু চেইনে আক্রমণকারী এমনভাবে এন্ট্রি তৈরি করে যেন মনে হয় সেটা আপনার নিজের ঠিকানা থেকে পাঠানো — আরও বিভ্রান্তিকর।

ভাববেন না ছোট ব্যবহারকারীরা নিরাপদ। এই আক্রমণ বড়জাল ফেলে কাজ করে: স্ক্রিপ্ট সক্রিয় ঠিকানা স্ক্যান করতে থাকে। যে বারবার ট্রান্সফার করেন বা ভালো ব্যালেন্স রাখেন তার জন্য কাস্টম যমজ ঠিকানা তৈরি হয়। আক্রমণের খরচ প্রায় শূন্য, তাই জালটা চওড়া ও ঘন। একদিন অবহেলায় হিস্ট্রি থেকে কপি করলেই বিষাক্ত ঠিকানা পাঠানো হতে পারে।

Clipboard Hijacking: পেস্টের মুহূর্তে চুরি

Address poisoning আপনার "অতীতে" কাজ করে, clipboard hijacking কাজ করে আপনার "বর্তমানে"।

এটা একধরনের ম্যালওয়্যার — চুপচাপ ব্যাকগ্রাউন্ডে চলে, শুধু একটাই কাজ করে: clipboard পর্যবেক্ষণ। আপনি যখন এমন কিছু কপি করেন যেটা ব্লকচেইন ঠিকানার মতো — T দিয়ে শুরু ৩৪ অক্ষর, বা 0x দিয়ে শুরু ৪২ অক্ষর — সঙ্গে সঙ্গে clipboard-এর বিষয়বস্তু আক্রমণকারীর ঠিকানায় বদলে দেয়। আপনি সঠিক ঠিকানা কপি করলেন, ভুল ঠিকানা পেস্ট হলো। কোনো পপআপ নেই, কোনো সতর্কবার্তা নেই।

এই ম্যালওয়্যার কোথা থেকে আসে? পাইরেটেড সফটওয়্যার, ক্র্যাকড টুল, সন্দেহজনক ব্রাউজার এক্সটেনশন, নকল ওয়ালেট অ্যাপ — এগুলো সাধারণ উৎস। আরও ভয়ের বিষয়: কিছু ভ্যারিয়েন্ট বিভিন্ন শুরু-শেষের ঠিকানার পুল রাখে, এবং ইচ্ছাকৃতভাবে আপনার কপি করা ঠিকানার শুরু-শেষের সাথে মেলানো বিকল্প বেছে নেয়। অর্থাৎ, address poisoning-এর মতোই, এটাও "শুধু শুরু-শেষ দেখার" অভ্যাসকে লক্ষ্য করে তৈরি।

একটা দ্রুত পরীক্ষা কাজে আসতে পারে: ঠিকানা কপি করার পর সরাসরি ট্রান্সফার ফর্মে না গিয়ে নোটপ্যাডে পেস্ট করুন। আসল ঠিকানার সাথে মিলিয়ে দেখুন। পার্থক্য পেলে clipboard-এ হাত পড়েছে বুঝতে হবে, সেই ডিভাইস থেকে আর ট্রান্সফার করবেন না। তবে মনে রাখুন: এই পরীক্ষা শুধু ওই মুহূর্তটা ধরে — ম্যালওয়্যার একবার না বদলে পরেরবার বদলাতে পারে। তাই ট্রান্সফার কনফার্মেশন পেজে শেষবার যাচাই করা আবশ্যক।

শুধু শুরু-শেষ চার অক্ষর কেন যথেষ্ট নয়

শুরু ও শেষ চার অক্ষর যাচাই করা একসময় যথেষ্ট ছিল — হাতে লেখার যুগে একটু ভুল হলেও ধরা পড়ত। কিন্তু এখন আক্রমণকারীর খরচের কাঠামো বদলে গেছে: একটা সাধারণ কম্পিউটারও যথেষ্ট সময় দিলে প্রথম চার ও শেষ চার অক্ষর মেলানো ঠিকানা তৈরি করতে পারে। প্রতিটা অতিরিক্ত অক্ষর মেলানো কয়েক গুণ কঠিন হয়, কিন্তু আক্রমণকারীর বেশি লাগে না, কারণ সবাই শুধু শুরু-শেষ দেখে। আপনার যাচাই পরিসর তার জাল বোনার পরিসর নির্ধারণ করে।

তাই যাচাইয়ের মানটা উন্নত করতে হবে — বাড়তি কষ্ট নগণ্য:

শুরুর চার + শেষের চার + মাঝখান থেকে এলোমেলো একটা অংশ। মাঝ থেকে চার-ছয়টা অক্ষর মেলালে আক্রমণকারীর জন্য "সম্ভব" থেকে "অসম্ভব" হয়ে যায়।
বড় পরিমাণের ক্ষেত্রে পুরো স্ট্রিং একটু একটু করে দেখুন। কয়েক ডজন অক্ষর, পনেরো সেকেন্ড — টাকার তুলনায় কিছুই না।
যাচাইয়ের রেফারেন্স অবশ্যই বিশ্বস্ত উৎস থেকে নিন: প্রাপক এইমাত্র সরাসরি পাঠিয়েছে বা ওয়ালেটে এই মুহূর্তে দেখাচ্ছে — ট্রান্সফার হিস্ট্রি থেকে নয়, সেটা ইতিমধ্যে বিষাক্ত হয়ে থাকতে পারে।

প্রতিটি ট্রান্সফারের আগে তিন-যাচাই

ট্রান্সফারের আগে তিন-যাচাই, একটাও বাদ দেবেন না: প্রথম, উৎস — এই ঠিকানা কোথা থেকে এলো? শুধু প্রাপকের সরাসরি দেওয়া বা অ্যাড্রেস বুকের ঠিকানা গ্রহণযোগ্য। হিস্ট্রি বা চ্যাট থেকে নয়। দ্বিতীয়, পুরো স্ট্রিং — শুরুর চার, শেষের চার এবং মাঝের একটা অংশ। তিনটাই মিলতে হবে। তৃতীয়, পরিমাণ — বড় ট্রান্সফারের আগে সবসময় একটা ছোট পরীক্ষামূলক ট্রান্সফার পাঠান, প্রাপক পেয়েছে নিশ্চিত হোন, তারপর বাকিটা পাঠান।

তৃতীয় যাচাইটা সবচেয়ে বেশি বাদ দেওয়া হয় — কিন্তু এটাই শেষ রক্ষার ব্যবস্থা। প্রথম দুটো ব্যর্থ হলেও পরীক্ষামূলক ট্রান্সফারের ছোট পরিমাণটা হারালে মূল অংশ বাঁচে। কেন অভিজ্ঞরা এই "বোকার মতো" অভ্যাস মেনে চলেন তা ছোট পরীক্ষামূলক ট্রান্সফার গাইডে বিস্তারিত আছে।

দৈনন্দিন সুরক্ষার অভ্যাস

প্রথম: নিয়মিত ঠিকানা অ্যাড্রেস বুকে সেভ করুন, সবসময় সেখান থেকে পাঠান। ওয়ালেটের অ্যাড্রেস বুক, এক্সচেঞ্জের উইথড্রয়াল হোয়াইটলিস্ট — একই নীতি। একবার যত্ন করে যাচাই করে ঠিকানা যোগ করুন, পরে শুধু তালিকা থেকে বেছে নিন। কপি-পেস্ট আর লাগবে না, তাই poisoning ও hijacking দুটোরই কোনো সুযোগ থাকে না। এক্সচেঞ্জের হোয়াইটলিস্ট আরেকটু সুরক্ষা দেয়: চালু করলে নতুন ঠিকানা যাচাই ছাড়া ব্যবহার করা যাবে না।

Binance-এর উইথড্রয়াল হোয়াইটলিস্ট অ্যাকাউন্ট সিকিউরিটি সেটিংসে পাওয়া যায়। অ্যাকাউন্ট না থাকলে রেফারেল কোড BN3233 দিয়ে Binance-এ নিবন্ধন করুন (আমরা রেফারেল ফি পাই, আপনার কোনো অতিরিক্ত খরচ নেই)।

দ্বিতীয়: চ্যাট বা ট্রান্সফার হিস্ট্রি থেকে অবহেলায় ঠিকানা কপি করবেন না। হিস্ট্রি বিষাক্ত হতে পারে, চ্যাট লগও নিরাপদ নয় — কেউ প্রাপক সেজে "নতুন ঠিকানা" পোস্ট করতে পারে, বা প্রতিপক্ষের অ্যাকাউন্ট হ্যাক হতে পারে। ঠিকানা লাগলে প্রাপকের কাছ থেকে নতুন করে চাইবেন। পাওয়ার পর আলাদা চ্যানেলে শুরু-শেষ যাচাই করুন।

তৃতীয়: ডিভাইস পরিষ্কার রাখুন। Clipboard hijacking-এর পূর্বশর্ত ম্যালওয়্যার। পাইরেটেড সফটওয়্যার ইনস্টল করবেন না। ওয়ালেট অ্যাপ শুধু অফিশিয়াল উৎস থেকে নামাবেন। ব্রাউজার এক্সটেনশন যত কম সম্ভব। বড় ট্রান্সফারের জন্য ডিভাইস যত "পরিষ্কার" রাখবেন তত ভালো।

ওয়েবিল লগ · সম্পাদকদের অনুসন্ধান

এই গাইড লেখার সময় আমরা নিজেদের কয়েকটা ঠিকানার আগত ট্রান্সফার রেকর্ড ঘেঁটে দেখলাম: বেশ কয়েকটা শূন্য-মূল্য ও dust ডিপোজিট অজানা উৎস থেকে বসে আছে — একটার শুরুর অংশ আমাদের নিজেদের ঠিকানার সাথে হুবহু মিলে, শুধু মাঝখানের লম্বা অংশটা আলাদা। এই dust আপনার কয়েন নিতে পারে না; আমরাও কিছু করিনি। এগুলোর একমাত্র উদ্দেশ্য হিস্ট্রিতে একটা লাইন দখল করা, অপেক্ষায় সেদিনের যেদিন অবহেলায় তুলে নেওয়া হবে।

আপনিও নিজের রেকর্ড একবার দেখুন। নিজের লেজারে বিষাক্ত ঠিকানা বসে থাকতে দেখলে "তিন-যাচাই" পরামর্শ থেকে অভ্যাসে পরিণত হবে।

ফাঁদে পড়লে কী করবেন

সত্যি কথা: আক্রমণকারীর ঠিকানায় টাকা চলে গেলে ফেরত পাওয়ার সম্ভাবনা খুবই কম। অন-চেইন ট্রান্সফার ফেরত আনা যায় না। কোনো প্রতিষ্ঠান জোর করে সেই কয়েন ফিরিয়ে দিতে পারবে না — এটা ভুল ঠিকানায় পাঠানোর মতোই পরিস্থিতি। তবুও কিছু কাজ করার মতো আছে, এই ক্রমে:

আক্রান্ত ডিভাইস থেকে ট্রান্সফার বন্ধ করুন। clipboard hijack হলে ডিভাইসে ম্যালওয়্যার আছে। ভালোভাবে স্ক্যান করুন বা OS পুনরায় ইনস্টল করুন, পরিষ্কার ডিভাইসে সরে যান, সংশ্লিষ্ট অ্যাকাউন্টের পাসওয়ার্ড ও 2FA বদলান।
প্রমাণ সংরক্ষণ করুন এবং পুলিশে রিপোর্ট করুন। TxID, দুই পক্ষের ঠিকানা, স্ক্রিনশট, ঘটনার বিবরণ — সব গুছিয়ে রাখুন। আনুষ্ঠানিক রিপোর্ট সব পরবর্তী পদক্ষেপের পূর্বশর্ত।
আক্রমণকারীর ঠিকানা এক্সচেঞ্জ ও ব্লক এক্সপ্লোরারে রিপোর্ট করুন। আপনার টাকা ফিরবে না, কিন্তু পরের মানুষ বাঁচতে পারে।

ঘটনা এক্সচেঞ্জ পাশে ঘটলে — যেমন অ্যাকাউন্ট হ্যাক হয়ে অজানা ঠিকানায় উইথড্রয়াল গেলে — সাথে সাথে অ্যাকাউন্ট ফ্রিজ করুন, পাসওয়ার্ড ও 2FA রিসেট করুন এবং প্ল্যাটফর্মের সিকিউরিটি টিমকে বিস্তারিত জানান।

আর অবশ্যই মাথায় রাখুন: অনলাইনে প্রতারণার কাহিনি বললেই "ব্লকচেইন রিকভারি বিশেষজ্ঞ", "হ্যাকার টিম", "আইনি বিশেষজ্ঞ" আসবে। আগাম ফি বা ডিপোজিট চাইলে তারা সবাই প্রতারক — ব্যতিক্রম নেই। একবার প্রতারিত হওয়া যথেষ্ট বেদনার — দ্বিতীয়বার শেখার জন্য আর টাকা খরচ করবেন না।

রাহেলার গল্পে ফিরে: চারটা গেট, একটা বন্ধ থাকলেই যথেষ্ট

রাহেলার গল্পে ফিরে দেখলে, এই ফাঁদ কাজ করতে চারটা গেট পার হতে হয়েছে: dust ইন্ট্রি আসে — খেয়াল করেননি; হিস্ট্রি থেকে কপি করেন — প্রথম গেট ভাঙে; শুধু শুরু-শেষ চার অক্ষর দেখেন — দ্বিতীয় গেট ভাঙে; পরীক্ষামূলক ট্রান্সফার ছাড়া পুরোটা পাঠান — শেষ গেটও ভাঙে। চারটা গেট। যেকোনো একটা বন্ধ রাখলে টাকা থাকত।

ভালো খবর হলো এই গেটগুলো বন্ধ রাখতে সর্বক্ষণ সতর্ক থাকতে হয় না — শুধু কয়েকটা ডিফল্ট অভ্যাস দরকার: ঠিকানা অ্যাড্রেস বুকে রাখুন, শুধু সরাসরি বিশ্বস্ত উৎস থেকে কপি করুন, মাঝখানের অংশও যাচাই করুন, বড় পরিমাণে সবসময় আগে একটু পরীক্ষা করুন। এই সবই আমরা ট্রান্সফার চেকলিস্টে রেখেছি — প্রতিটা ট্রান্সফারের আগে এক মিনিট চেকলিস্ট পার করলে অভ্যাস হয়ে যাবে, সতর্কতার উপর নির্ভর করতে হবে না।

তিন-যাচাই স্থায়ী রুটিনে পরিণত করুন

হোয়াইটলিস্ট, অ্যাড্রেস বুক, পরীক্ষামূলক ট্রান্সফার — কোনোটাই কঠিন নয়। কঠিন হলো ধারাবাহিকতা। BN3233 কোড দিয়ে Binance-এ নিবন্ধন করলে ট্রেডিং ফি ছাড় পাওয়া যেতে পারে (নিবন্ধন পেজে বর্তমান শর্ত দেখুন)। অ্যাকাউন্ট খোলার পর প্রথম কাজ: উইথড্রয়াল হোয়াইটলিস্ট চালু করুন।

BN3233 দিয়ে Binance-এ নিবন্ধন ট্রান্সফার চেকলিস্ট খুলুন

এটি একটি স্বাধীন তৃতীয় পক্ষের সাইট, Binance-এর অফিশিয়াল ওয়েবসাইট নয়। অন-চেইন ট্রান্সফার ফেরত আনা যায় না — সতর্কতার সাথে পরিচালনা করুন এবং ফলাফলের দায়িত্ব নিজে নিন।