How can I tell if a smart contract is legitimate before signing?

Always verify the contract address on Etherscan or your chain's block explorer, check that it matches the official project documentation (not just social media), and review the contract source code for suspicious functions. Look for transfers to unknown addresses, infinite approvals, or hidden drain mechanisms. If the code is unverified or you don't understand it, ask in legitimate community channels or use AI contract analysis tools, but never sign without understanding what permissions you're granting.

Can my funds be recovered after I sign a malicious smart contract?

Unfortunately, blockchain transactions are permanent and irreversible once confirmed. However, you should immediately revoke all token approvals using Revoke.cash, move any remaining funds to a secure wallet, and report the scam address to blockchain security platforms and the FBI's IC3. Some advanced recovery services can attempt to intercept pending transactions if you act within minutes, but success is extremely rare. Prevention is far more effective than recovery.

Why do legitimate-looking websites trick me into authorizing malicious contracts?

Scammers create pixel-perfect replicas of real DeFi platforms using stolen code and design assets, making them nearly indistinguishable from the original. They hide malicious smart contract code within seemingly normal transaction requests, exploiting the fact that most users don't read or understand the contract details they're authorizing. MetaMask and other wallets display warnings, but users often click through them without reading because legitimate transactions also generate these warnings.

What should I do immediately if I think I've signed a malicious contract?

First, stop using that wallet for any transactions. Immediately revoke all token approvals by visiting Revoke.cash or Etherscan's token approval page and disconnecting the malicious contract. Move any remaining funds to a secure wallet that has never been connected to the scam dApp. Do not sign any additional transactions from that wallet. Finally, document the scammer's wallet address and contract address, and report the incident to the FBI IC3 website and blockchain security platforms like Etherscan's abuse report feature.

How do I verify if a project announcement is real or a scam?

Treat all unsolicited announcements with extreme skepticism. Visit the official project website directly (type the URL yourself, don't click links) and check their primary verified social media accounts (marked with official blue checkmarks). Legitimate projects announce major updates on their official channels first, never through private messages or obscure links. If you're unsure, ask on the official verified Discord or Telegram, but be cautious of fake support accounts that may try to help you into a scam.

गंभीर औसत हानि: $20,000 सामान्य अवधि: 1-7 days

स्मार्ट कॉन्ट्रैक्ट सोशल इंजीनियरिंग घोटाले

स्मार्ट कॉन्ट्रैक्ट सोशल इंजीनियरिंग एक तेजी से विकसित होती हुई धमकी है जो क्रिप्टोकरेंसी धारकों को लक्षित करती है, खासकर उन लोगों को जिनके पास मध्यम तकनीकी ज्ञान होता है। साधारण फ़िशिंग से अलग, ये घोटाले ब्लॉकचेन लेनदेन की वैध दिखने वाली प्रकृति का फायदा उठाते हैं और उपयोगकर्ताओं को धोखा देकर स्मार्ट कॉन्ट्रैक्ट्स पर हस्ताक्षर करने के लिए प्रेरित करते हैं, जो धोखेबाजों को उनके डिजिटल संपत्तियों तक पहुंच प्रदान करते हैं। यह घोटाला आमतौर पर 1-7 दिनों में होता है, जिसमें पीड़ित औसतन $20,000 खो देते हैं, हालांकि कुछ जटिल लक्ष्यों ने इससे कहीं अधिक नुकसान उठाया है। धोखेबाज AI-जनित सामग्री, नकली प्रोजेक्ट वेबसाइटें, और वैध DeFi प्रोटोकॉल की नकल करके सीमित समय के टोकन एयरड्रॉप, यील्ड फार्मिंग अवसरों, या NFT मिंटिंग इवेंट्स के आसपास झूठी जल्दीबाजी पैदा करते हैं। ब्लॉकचेन सुरक्षा कंपनी Certik के अनुसार, 2023 में स्मार्ट कॉन्ट्रैक्ट शोषण और सोशल इंजीनियरिंग घटनाओं में 156% की वृद्धि हुई, जिसमें DeFi घोटालों की व्यापक श्रेणी में $14 बिलियन से अधिक का नुकसान हुआ। इस खतरे को विशेष रूप से खतरनाक बनाता है कि ब्लॉकचेन लेनदेन एक बार हस्ताक्षरित होने के बाद स्थायी और अपरिवर्तनीय होता है, और पीड़ित अक्सर प्रारंभिक अधिकरण के कई दिन बाद तक यह महसूस नहीं करते कि उनके फंड समझौता हो गए हैं।

सामान्य रणनीतियाँ कैसे पहचानें खुद को कैसे सुरक्षित रखें वास्तविक उदाहरण अक्सर पूछे जाने वाले प्रश्न रिपोर्ट कहाँ करें

सामान्य रणनीतियाँ

• वैध DeFi प्लेटफॉर्म जैसे Uniswap या OpenSea की विश्वसनीय नकल वेबसाइटें बनाना, जिनमें चोरी किए गए ब्रांडिंग और लगभग समान URL (जैसे 'uniswap-swap.net' बजाय 'uniswap.org') शामिल हैं, फिर इंटरफ़ेस में दुर्भावनापूर्ण स्मार्ट कॉन्ट्रैक्ट कोड एम्बेड करना।
• प्रोजेक्ट मॉडरेटरों का नकल करते हुए लक्षित Discord या Telegram संदेश भेजना, जिसमें विशेष टोकन आवंटन या प्रीसेल्स तक जल्दी पहुंच की पेशकश की जाती है, जो एक नकली dApp के माध्यम से वॉलेट कनेक्शन की मांग करता है और स्वचालित रूप से कॉन्ट्रैक्ट अनुमोदन हस्ताक्षर ट्रिगर करता है।
• AI-निर्मित YouTube वीडियो या Twitter स्पेस बनाना, जिनमें क्रिप्टोकरेंसी प्रभावशाली लोगों के डीपफेक संस्करण होते हैं जो नकली यील्ड फार्मिंग रणनीतियों को 500%+ APY रिटर्न के साथ बढ़ावा देते हैं, और दर्शकों को मिनटों में घोटाला कॉन्ट्रैक्ट्स की ओर निर्देशित करते हैं।
• हनीपॉट कॉन्ट्रैक्ट्स का उपयोग करना जो परीक्षण लेनदेन में लाभ दिखाते हैं (छोटे लाभ $10-50), इससे पहले कि पीड़ित वास्तविक draining कॉन्ट्रैक्ट पर हस्ताक्षर करे, जिससे यह मनोवैज्ञानिक विश्वास होता है कि उन्होंने अवसर को मान्य कर लिया है।
• ऐसे NFT मिंटिंग पेजों में दुर्भावनापूर्ण कॉन्ट्रैक्ट कोड एम्बेड करना जो वैध लगते हैं, जहां उपयोगकर्ता टोकन खर्च की सीमा (अक्सर असीमित) अधिकृत करते हैं, यह सोचकर कि वे केवल गैस शुल्क का भुगतान कर रहे हैं, और फिर उनके वॉलेट हफ्तों बाद खाली हो जाते हैं।
• रिवर्स सोशल इंजीनियरिंग करना, वैध प्रोजेक्ट के सोशल मीडिया अकाउंट हैक करके निकासी या टोकन स्वैप घोषणाएं पोस्ट करना जो घोटाला कॉन्ट्रैक्ट्स से लिंक करती हैं, और स्थापित समुदाय के भरोसे का लाभ उठाना।

कैसे पहचानें

कनेक्टेड वॉलेट में ऐसे लेनदेन दिखना जो आपने कभी शुरू नहीं किए, या आपको ऐसे टोकन अनुमोदन की सूचनाएं मिलना जिन्हें आप याद नहीं करते कि आपने अधिकृत किया हो, जो संकेत देता है कि एक कॉन्ट्रैक्ट जिसमें छिपे हुए draining फ़ंक्शन हैं, निष्पादित हो चुका है।
एक नया 'अवसर' बिना अनुरोध के किसी ऐसे व्यक्ति से आया है जो खुद को प्रोजेक्ट मैनेजर बताता है, जो विशेष पहुंच की पेशकश करता है जो सामान्य सार्वजनिक चैनलों जैसे आधिकारिक वेबसाइटों को बायपास करता है।
वेबसाइट URL में मामूली गलतियां होती हैं या वैध प्रोजेक्ट की आधिकारिक साइट की तुलना में समान लेकिन अलग डोमेन एक्सटेंशन्स (.net बजाय .org, या असामान्य स्थानों पर हाइफ़न) होते हैं।
ब्लॉकचेन एक्सप्लोरर जैसे Etherscan पर कॉन्ट्रैक्ट देखने पर, स्रोत कोड अप्रमाणित होता है, या कॉन्ट्रैक्ट फ़ंक्शन में संदिग्ध अनुमतियां होती हैं जैसे 'transferFrom' जिसमें असीमित अनुमति होती है जबकि दावा किया जाता है कि यह केवल टोकन स्वैप की सुविधा देता है।
अवसर ऐसे रिटर्न का वादा करता है जो गणितीय रूप से असंभव हैं या बाजार दरों से काफी अधिक (400%+ APY यील्ड), साथ ही अत्यधिक समय दबाव के साथ यह कहा जाता है कि ऑफर कुछ घंटों में समाप्त हो जाएगा।
आपके वॉलेट बैलेंस में अप्रत्याशित रूप से कमी आना, ठीक उस समय के बाद जब आपने ऐसा कॉन्ट्रैक्ट अधिकृत किया जिसे आप हानिरहित समझते थे, और ब्लॉकचेन रिकॉर्ड में टोकन ट्रांसफर अज्ञात वॉलेट पतों पर दिखना।

खुद को कैसे सुरक्षित रखें

हमेशा DeFi प्लेटफॉर्म पर सीधे आधिकारिक URL टाइप करके या बुकमार्क से जाएं, सोशल मीडिया, ईमेल या संदेशों से लिंक पर कभी क्लिक न करें, चाहे स्रोत कितना भी विश्वसनीय क्यों न हो।
किसी भी dApp से वॉलेट कनेक्ट करने या किसी भी कॉन्ट्रैक्ट इंटरैक्शन पर हस्ताक्षर करने से पहले, Etherscan या PolygonScan पर कॉन्ट्रैक्ट पता देखें, पुष्टि करें कि यह आधिकारिक प्रोजेक्ट दस्तावेज़ से मेल खाता है, और स्रोत कोड में अज्ञात पतों को ट्रांसफर करने वाले फ़ंक्शन की जांच करें।
Revoke.cash या Etherscan के टोकन अनुमोदन पेज जैसे टूल का उपयोग करके टोकन खर्च की अनुमतियों को सीमित करें, असीमित अनुमोदन देने के बजाय विशिष्ट राशि या लेनदेन संख्या तक सीमित करें।
DeFi इंटरैक्शन के लिए अलग क्रिप्टोकरेंसी वॉलेट बनाएं जिनमें सीमित धनराशि हो, और अधिकांश धनराशि को सुरक्षित हार्डवेयर वॉलेट या ऐसे समर्पित स्टोरेज वॉलेट में रखें जो कभी dApp से कनेक्ट न हों।
MetaMask की सुरक्षा सुविधाओं या Tenderly जैसे स्वतंत्र सेवाओं के माध्यम से उपलब्ध लेनदेन सिमुलेशन टूल सक्षम करें ताकि हस्ताक्षर करने से पहले स्मार्ट कॉन्ट्रैक्ट क्या करेगा, इसका पूर्वावलोकन कर सकें और अनधिकृत टोकन ट्रांसफर पर नजर रख सकें।
किसी भी बड़ी घोषणा को आधिकारिक प्रोजेक्ट चैनलों (प्राथमिक वेबसाइट, सत्यापित ट्विटर अकाउंट्स जिनके पास ब्लू चेक हैं, आधिकारिक Discord/Telegram) के माध्यम से सत्यापित करें, और स्वतंत्र ब्लॉकचेन सुरक्षा साइट्स जैसे CertiK या Trail of Bits पर क्रॉस-रेफरेंस करें।

वास्तविक उदाहरण

एक उपयोगकर्ता को Discord पर OpenSea मॉडरेटर बैज दिखाने वाले एक खाते से संदेश मिला (जो Discord के पेड वेरिफिकेशन फीचर के माध्यम से खरीदा गया था), जिसमें एक बड़े NFT ड्रॉप के लिए विशेष प्रारंभिक पहुंच की पेशकश की गई। संदेश में एक वेबसाइट का लिंक था जो OpenSea के समान दिखती थी, जहां उपयोगकर्ता ने अपनी MetaMask वॉलेट को 'पात्रता की पुष्टि' के लिए कनेक्ट किया। कनेक्शन पेज पर 'गैस शुल्क प्रबंधन' के लिए टोकन अनुमोदन अनुरोध दिखाया गया, जिसे उपयोगकर्ता ने कॉन्ट्रैक्ट विवरण पढ़े बिना साइन कर दिया। छह घंटे के भीतर, उपयोगकर्ता का वॉलेट 15 ETH (उस समय लगभग ₹20,00,000) से खाली हो गया क्योंकि कॉन्ट्रैक्ट में एक अनंत अनुमोदन क्लॉज था जिसने धोखेबाज को सभी ERC-20 टोकन निकालने की अनुमति दी।

एक क्रिप्टोकरेंसी ट्रेडर ने एक YouTube वीडियो देखा जिसमें एक प्रसिद्ध DeFi प्रभावशाली (वास्तव में जनरेटिव AI से निर्मित डीपफेक) एक अज्ञात प्रोटोकॉल पर नई यील्ड फार्मिंग रणनीति दिखा रहा था। वीडियो में 30 मिनट में 8 ETH के रिटर्न दिखाए गए। धोखेबाज ने एक शॉर्ट URL दिया जो कॉन्ट्रैक्ट इंटरफ़ेस की ओर निर्देशित करता था। पीड़ित ने 2 ETH जमा किए और वादा किए गए 8 ETH अपने वॉलेट में प्राप्त किए (जो धोखेबाज द्वारा भरोसा बनाने के लिए फंड किए गए थे), फिर 'निकासी शुल्क' के लिए एक दूसरे कॉन्ट्रैक्ट अधिकरण पर हस्ताक्षर किया। उस कॉन्ट्रैक्ट में एक draining फ़ंक्शन था जिसने तुरंत सभी 10 ETH और कई अन्य टोकन धोखेबाज के वॉलेट में ट्रांसफर कर दिए, कुल $32,000 का नुकसान हुआ।

एक Telegram समूह सदस्य ने एक नए DeFi गवर्नेंस टोकन के लिए सीमित समय का एयरड्रॉप घोषित किया, जिसमें दावा किया गया कि पहले 100 समुदाय सदस्यों को 10,000 टोकन मिलेंगे जो अपने वॉलेट कनेक्ट करके और अपनी पहचान सत्यापित करके पात्र होंगे। प्रक्रिया में दो घंटे के भीतर कॉन्ट्रैक्ट इंटरैक्शन पर हस्ताक्षर करना आवश्यक था। पीड़ित ने दी गई वेबसाइट पर जाकर अपना वॉलेट कनेक्ट किया और एक सामान्य टोकन दावा कॉन्ट्रैक्ट पर हस्ताक्षर किया। पीड़ित को पता नहीं था कि कॉन्ट्रैक्ट में छिपा हुआ कोड था जो वॉलेट में अनुमोदित टोकन की निगरानी करता था और उन्हें स्वचालित रूप से धोखेबाज के पते पर ट्रांसफर कर देता था। अगले तीन दिनों में, जब पीड़ित सामान्य DeFi गतिविधि करता रहा और वैध प्रोटोकॉल के साथ इंटरैक्ट करता रहा, कई अनधिकृत ट्रांसफर हुए, जिससे विभिन्न टोकनों में कुल $18,500 का नुकसान हुआ।

अक्सर पूछे जाने वाले प्रश्न

मैं हस्ताक्षर करने से पहले कैसे पता कर सकता हूँ कि स्मार्ट कॉन्ट्रैक्ट वैध है?

हमेशा Etherscan या अपनी चेन के ब्लॉक एक्सप्लोरर पर कॉन्ट्रैक्ट पता सत्यापित करें, जांचें कि यह आधिकारिक प्रोजेक्ट दस्तावेज़ से मेल खाता है (केवल सोशल मीडिया से नहीं), और संदिग्ध फ़ंक्शन के लिए कॉन्ट्रैक्ट स्रोत कोड की समीक्षा करें। अज्ञात पतों पर ट्रांसफर, अनंत अनुमोदन, या छिपे हुए draining तंत्र देखें। यदि कोड अप्रमाणित है या आप इसे समझ नहीं पाते, तो वैध समुदाय चैनलों में पूछें या AI कॉन्ट्रैक्ट विश्लेषण टूल का उपयोग करें, लेकिन बिना समझे कभी भी अनुमतियां न दें।

क्या मैं दुर्भावनापूर्ण स्मार्ट कॉन्ट्रैक्ट पर हस्ताक्षर करने के बाद अपने फंड वापस पा सकता हूँ?

दुर्भाग्यवश, ब्लॉकचेन लेनदेन एक बार पुष्टि होने के बाद स्थायी और अपरिवर्तनीय होते हैं। हालांकि, आपको तुरंत Revoke.cash का उपयोग करके सभी टोकन अनुमोदन रद्द कर देनी चाहिए, शेष धन को सुरक्षित वॉलेट में स्थानांतरित करना चाहिए, और घोटाले के पते की रिपोर्ट ब्लॉकचेन सुरक्षा प्लेटफॉर्म और FBI के IC3 को करनी चाहिए। कुछ उन्नत रिकवरी सेवाएं लंबित लेनदेन को मिनटों के भीतर रोकने का प्रयास कर सकती हैं, लेकिन सफलता बहुत दुर्लभ है। रोकथाम रिकवरी से कहीं अधिक प्रभावी है।

रिपोर्ट कहाँ करें — भारत

आपके क्षेत्र में इस घोटाले की रिपोर्ट के लिए आधिकारिक चैनल।

राष्ट्रीय साइबर अपराध रिपोर्टिंग पोर्टल

साइबर अपराध

गृह मंत्रालय का साइबर अपराध हेल्पलाइन (1930) और रिपोर्टिंग पोर्टल।

1930 जाएँ →

CERT-In

रिपोर्टिंग

इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय के तहत साइबर सुरक्षा एजेंसी।

जाएँ →

राष्ट्रीय उपभोक्ता हेल्पलाइन

उपभोक्ता संरक्षण

उपभोक्ता मामलों के विभाग द्वारा संचालित शिकायत हेल्पलाइन।

1915 जाएँ →

RBI Sachet (वित्तीय धोखाधड़ी)

वित्तीय नियामक

भारतीय रिजर्व बैंक का अनधिकृत संस्थाओं की रिपोर्ट के लिए पोर्टल।

जाएँ →

क्या आपको लगता है कि आप इस घोटाले के संपर्क में आए?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), स्मार्ट कॉन्ट्रैक्ट सोशल इंजीनियरिंग घोटाले is described at https://scamlens.org/hi/encyclopedia/smart-contract-social-engineering.

https://scamlens.org/hi/encyclopedia/smart-contract-social-engineering

यहाँ से शुरू करें

सुरक्षा जाँच

इंटेलिजेंस

उपकरण और रिपोर्ट

प्रीमियम सेवाएँ

एक्सटेंशन और API