22 اگست 2025 کو، ایک حیران کن کرپٹو کرنسی فراڈ نے DeFi اسپیس میں موجود خطرات کی واضح یاد دہانی کرائی۔ سیکورٹی پلیٹ فارم ScamSniffer کے مطابق، ایک صارف تقریباً $1 ملین کے ٹوکن اور NFTs اس وقت کھو بیٹھا جب انہوں نے ایک دھوکہ دہی پر مبنی ٹرانزیکشن پر دستخط کیے جسے Uniswap سویپ کے طور پر دکھایا گیا تھا۔
یہ واقعہ ایک عام فشنگ اور سگنیچر فراڈ کی بہترین مثال ہے جو ڈی سینٹرلائزڈ ٹریڈنگ کی آسانی اور صارف کی عدم توجہ کا فائدہ اٹھاتا ہے۔
فشنگ اسکیم کیسے کام کرتی ہے: جعلی سگنیچر کا دھوکہ
یہ فراڈ اپنی چالاک منصوبہ بندی کے باعث انتہائی دھوکہ دہ ہے، جو چند اہم مراحل میں سامنے آتا ہے:
-
جعلی انٹرفیس، اصلی دھوکہ: حملہ آور ایک جعلی ویب سائٹ بناتے ہیں جو باضابطہ Uniswap انٹرفیس کی تقریباً مکمل نقل ہوتی ہے۔ یہ سائٹ عام طور پر فشنگ لنکس کے ذریعے پھیلائی جاتی ہے، جو جعلی اشتہارات، بدنیتی پر مبنی سوشل میڈیا پوسٹس، یا یہاں تک کہ بظاہر جائز ذاتی پیغامات میں پائے جا سکتے ہیں۔ صارفین اکثر اس دھوکہ دہی والی سائٹ پر بغیر جانے پہنچ جاتے ہیں۔
-
آپ کو دھوکہ دہی پر مبنی ٹرانزیکشن پر دستخط کرنے پر مجبور کرنا: جب کوئی صارف جعلی سائٹ پر ٹرانزیکشن شروع کرتا ہے (جیسے کہ ٹوکن سویپ)، تو سائٹ ایک دھوکہ دہی پر مبنی ٹرانزیکشن درخواست پیدا کرتی ہے جو صارف کو اس پر دستخط کرنے کی دعوت دیتی ہے۔ یہ Uniswap کے عام ٹرانزیکشن سگنیچر نہیں ہوتا؛ بلکہ یہ ایک دھوکہ دہی پر مبنی معاہدہ کا سگنیچر ہوتا ہے جس میں "بیچ ٹرانزیکشن اپروول" یا دیگر چھپے ہوئے اجازت نامے شامل ہوتے ہیں۔
-
اثاثوں کی خاموش منتقلی: جب صارف اس دھوکہ دہی پر مبنی درخواست پر دستخط کرتا ہے، تو وہ حملہ آور کو اپنے والٹ اثاثوں کو بڑی تعداد میں چلانے کی اجازت دے دیتا ہے۔ پھر حملہ آور اس اجازت کا استعمال کرتے ہوئے متاثرہ شخص کے والٹ سے قیمتی اثاثے، بشمول ٹوکن اور NFTs، کو نکال لیتا ہے، اور صارف سے مزید اجازت درکار نہیں ہوتی۔
اس کیس میں متاثرہ شخص نے ایک دھوکہ دہی "بیچ سیٹلمنٹ" درخواست پر دستخط کیے جسے ایک سادہ سویپ کے طور پر پیش کیا گیا تھا، جس کے نتیجے میں ان کے والٹ کو مکمل طور پر خالی کر دیا گیا۔ اس قسم کا حملہ اس لیے خطرناک ہے کیونکہ یہ ایک عام DeFi عمل کی طرح دکھائی دیتا ہے، لیکن بنیادی کوڈ صرف فنڈز چوری کرنے کے لیے تیار کیا گیا ہے۔
کریپٹو کی حفاظت کیسے کریں: دستخطی دھوکہ دہی سے بچنے کے کلیدی اقدامات
دستخطی دھوکہ دہیکریپٹودنیا میں عام ہیں، لیکن ان آسان احتیاطی تدابیر پر عمل کرکے آپ اپنے خطرے کو نمایاں طور پر کم کرسکتے ہیں:
-
ہمیشہڈومین کی تصدیق کریں:صرف سرکاری چینلز یا اپنے بُک مارکس کے ذریعے غیرمرکزی ایکسچینجز تک رسائی حاصل کریں۔ کسی بھی اقدام سے پہلے، اپنے براؤزر کے ایڈریس بار میں یو آر ایل کو چیک کریں تاکہ یہ یقینی بنایا جا سکے کہ یہ بالکل سرکاری ڈومین ہے۔ ہر دستخطی درخواست کو احتیاط سے دیکھیں:
-
جب آپ کے بٹوے میں دستخطی درخواست نمودار ہو تو "کنفرم" پر جلدی نہ کریں۔ درخواست کو غور سے پڑھیں۔ اگر آپ EVM بٹوہ استعمال کر رہے ہیں جیسے MetaMask، تو یہ عموماً لین دین کی تفصیلات دکھاتا ہے۔ اگر کوئی چیز مشکوک لگے یا آپ اُس اسمارٹ کانٹریکٹ کو نہ پہچانیں جو اجازت طلب کر رہا ہے، تو فوراً درخواست کو منسوخ کر دیں۔ لین دین کی نقل بنانے والے اوزار استعمال کریں:
-
بہت سے بٹوے اور تھرڈ پارٹی سیکیورٹی کے اوزار (جیسے ScamSniffer) لین دین کی نقل بنانے کی خصوصیاتفراہم کرتے ہیں۔ دستخط کرنے سے پہلے لین دین کے نتیجے کی نقل بنا کر دیکھیں۔ اگر نقل یہ ظاہر کرے کہ آپ کے اثاثے کسی نامعلوم پتے پر منتقل ہو جائیں گے، تو یہ دھوکہ دہی کی صاف و واضح تنبیہ ہے۔
-
والٹ کی اجازتوں کا باقاعدگی سے جائزہ لیں:بہت سی دھوکہ دہی طویل مدتی اجازتوں پر انحصار کرتی ہیں۔ غیر ضروری یا مشکوک اجازت ناموں کا باقاعدگی سے جائزہ لینے اور منسوخ کرنے کی عادت ڈالیں۔ آپ Etherscan یا دیگر بٹوے کی سیکیورٹی خدمات جیسے اوزار استعمال کر کے اپنے کانٹریکٹ کی منظوریوں کا انتظام کر سکتے ہیں۔
-
الگ الگ بٹوے استعمال کریں:اپنے تمام قیمتی اثاثے ایک بٹوے میں محفوظ نہ کریں۔ dApps سے جڑنے اور لین دین پر دستخط کرنے کے لیے ایک مخصوص "ہوٹ بٹوہ" استعمال کریں، اور اپنے زیادہ تر اثاثوں کو ایک زیادہ محفوظ، کم استعمال ہونے والے بٹوے میں محفوظ رکھیں، ترجیحاً ایک کولڈ بٹوہ۔
ویب 3 کی دنیا میں، آپ کا دستخطی اختیار آپ کی شناخت ہے، اور آپ کی اجازت آپ کا حکم ہے۔ اپنے دستخط کی حفاظت کرنا آپ کے اثاثوں کی حفاظت کرنے کا بہترین طریقہ ہے۔ ہوشیار رہیں، اور ایک غلط کلک کو کئی ملین ڈالر کے نقصان کی شروعات نہ بننے دیں۔