Blockchain News

Monad Airdrop Hijack , एक सेशन बग ने लाखों MON गलत वॉलेट में भेज दिए

📝 November 24, 2025

Monad Project का लोकप्रिय एयरड्रॉप उस समय बड़े विवाद में आ गया जब कई यूज़र्स ने बताया कि उन्हें अपने MON Token नहीं मिले। बाद में सामने आया कि कई वॉलेट एड्रेस अपने आप बदल गए थे और ऑफिशियल टीम ने टोकन उसी एड्रेस पर भेज दिए। यह खबर Evilcos की X पोस्ट से सामने आयी है। इस घटना ने Web3 सुरक्षा पर गंभीर सवाल उठाए हैं और दिखाया है कि एक छोटी सी चूक भी कितना बड़ा नुकसान कर सकती है।

Monad Airdrop Hijack मामला शुरू कैसे हुआ?

एयरड्रॉप के लाइव होते ही कई यूज़र्स ने X पर शिकायत की कि दावा (Claim) पूरा करने के बाद भी उन्हें टोकन नहीं मिले। जब उन्होंने क्लेम पोर्टल में जुड़ा हुआ वॉलेट देखा, तो पता चला कि दिख रहा एड्रेस उनका था ही नहीं।

इस मामले को गंभीरता तब मिली जब SlowMist के फ़ाउंडर Yu Xian (Cosine) ने पोस्ट करते हुए बताया कि कई एड्रेस बदले गए हैं और कुछ यूज़र्स को पता ही नहीं चला कि उनका सेशन हाईजैक हो चुका है। इस प्रोसेस में टोकन एक Unknown Address पर भेज दिए गए।

क्रिप्टो वर्ल्ड में आए दिन फ्रॉड, स्कैम को लेकर नई-नई खबरे सामने आती रहती है। अब ये हाईजैक की खबर भी आयी है। हाल ही में देश को हिलाने वाला बड़ा Cyber Fraud हुआ था। जिसमें करोड़ों रुपये USDT में बदल दिए गए थे।

क्या था असली टेक्निकल कारण

सिक्योरिटी रिसर्चर्स का मानना है कि इसकी असली वजह एयरड्रॉप से कुछ हफ्ते पहले हुए ब्लाइंड साइनिंग इवेंट्स थे, खासकर उन संदिग्ध dApps के साथ, जैसे “Xia Ji Ba Da X402”। इन इवेंट्स ने संभवतः:

आपके डिवाइस में मालिशियस स्क्रिप्ट डाल दी हो।
आपके यूज़र सेशन को कैप्चर कर लिया हो।
या फिर एयरड्रॉप शुरू होने से पहले ही आपके क्लेम डेटा को बदल दिया गया हो।

यूज़र्स ने बिना समझे जिन सिग्नेचर्स को “Approve” किया था, उन्हीं का इस्तेमाल करके हैकर्स ने बाद में एयरड्रॉप बाइंडिंग से छेड़छाड़ की।

सबसे ज्यादा नुकसान कब और कैसे हुआ?

यह पूरी घटना Monad के मेननेट लॉन्च और एयरड्रॉप डिस्ट्रीब्यूशन शुरू होने से ठीक पहले और उसके दौरान हुई।

जैसे ही MON Token भेजे गए, हमलावर का एड्रेस लाखों टोकन से भर गया। सभी चोरी किए गए टोकन को बाद में एक ही एड्रेस में जमा किया गया।

0xde8c91E1033912F184b4ff6a1cC84Bc6eb68602c

डेटा के मुताबिक:

1.5 मिलियन MON इस हेरफेर में भेजे गए।
50+ यूज़र प्रभावित हुए।
सारे ट्रांसफ़र कुछ ही मिनटों में किए गए।
यह स्पष्ट था कि पूरी योजना पहले से तैयार की गई थी।

सबसे बड़े नुकसान का शिकार कौन हुआ

सबसे ज्यादा चर्चा यूज़र @Onefly के मामले की हुई, जिनके साथ यह घटना उनके OneKey हार्डवेयर वॉलेट पर भी हुई। उनके वॉलेट ने “Connected” दिखाया, लेकिन एड्रेस हमला होने पर बदल चुका था।

उन्हें करीब 22,206 MON नहीं मिले, क्योंकि वह सीधे गलत एड्रेस पर चले गए। यह घटना दिखाती है कि केवल हार्डवेयर वॉलेट होना भी काफी नहीं है, अगर वेबसाइट ही एड्रेस बदल दे।

Monad Airdrop Hijack का कारण सिर्फ़ सेशन नहीं था

कुछ एनालिस्ट ने बताया कि कई यूज़र्स ने एयरड्रॉप से कुछ हफ्ते पहले “Blind Signatures” साइन की थीं। ये सिग्नेचर कई Unknown dApps पर किए गए थे, जिससे कुछ स्क्रिप्ट एक्टिव हुईं, यूज़र सेशन कैप्चर हुए और क्लेम पेज पर गलत एड्रेस बाइंड हो गया। इस वजह से संभव है कि एड्रेस-चेंज की प्रोसेस पहले से प्लान की गई हो।

सिस्टम में कौन-कौन सी गड़बड़ी मिली

इस पूरे मामले ने कई कमियों को उजागर किया:

क्लेम एड्रेस बदलने पर दूसरा कन्फर्मेशन नहीं मिलना।
फ्रंट-एंड पर सेशन सुरक्षा का बहुत कमजोर होना।
यूज़र को एड्रेस बदलने की सूचना न मिलना।
UI पर भरोसा लेकिन बैकएंड में बदलाव।
क्लेम ऑपरेशन के बड़े पैमाने पर कोई सुरक्षा चेक नहीं।

ये सभी कारण मिलकर इस बड़े नुकसान की वजह बने।

जिम्मेदारी किसकी है?

इस पर कई तरह की राय सामने आई हैं।

Monad Team ने एड्रेस-चेंज लॉग अभी तक पब्लिक नहीं किया।
यूज़र्स ने भी बिना सोचे-समझे कई सिग्नेचर किए।
अटैकर्स ने इन दोनों कमजोरियों का फायदा उठाया।

SlowMist जैसी सिक्योरिटी एजेंसीज ने Monad Team से सभी एड्रेस-पेयरिंग चेंज लॉग पब्लिक करने की सलाह दी है।

इस तरह के हमलों से बचने के तरीके

सिक्योरिटी एक्सपर्ट कुछ सरल टिप्स देते हैं।

वॉलेट एड्रेस हमेशा पूरी तरह मिलाएँ।
अज्ञात dApps पर सिग्नेचर न करें।
एयरड्रॉप और प्रयोग वाले वॉलेट अलग रखें।
सिर्फ़ ऑफिशियल लिंक का उपयोग करें।
बड़े क्लेम से पहले एक छोटा टेस्ट क्लेम करें।
ये कदम आगे कई समस्याओं से बचा सकते हैं।

मेरे 7 साल के Web3 अनुभव में मैंने देखा है कि ज्यादातर नुकसान टेक्नोलॉजी से नहीं, बल्कि असुरक्षित इंटरैक्शन से होते हैं। Monad Airdrop Hijack भी इसी का उदाहरण है। ब्लाइंड साइनिंग और अनवेरिफ़ाइड dApps पर भरोसा सबसे बड़ा जोखिम है। सुरक्षा तभी मजबूत बनती है जब यूज़र, डेवलपर और प्लेटफ़ॉर्म तीनों सतर्क रहें।

कन्क्लूजन

Monad Airdrop Hijack सिर्फ़ एक टेक्निकल गलती नहीं, बल्कि Web3 में अलर्ट रहने की बड़ी सीख है। यह घटना बताती है कि यूज़र्स, डेवलपर्स और प्रोजेक्ट टीम सबको मिलकर सुरक्षा पर ज़्यादा ध्यान देना चाहिए। सिर्फ़ ऑफिशियल पोर्टल पर भरोसा काफी नहीं है। हर क्लिक, हर सिग्नेचर और हर वेबसाइट को सोच-समझकर इस्तेमाल करना जरूरी है। यह एयरड्रॉप याद दिलाता है कि थोड़ी सी लापरवाही भी बड़ा नुकसान कर सकती है।

डिस्क्लेमर - यह आर्टिकल केवल जानकारी देने के उद्देश्य से लिखा गया है। इसमें बताई गई सभी डिटेल्स उपलब्ध रिपोर्ट्स और एनालिस्ट की राय पर बेस्ड हैं। यह किसी तरह की फाइनेंशियल सलाह नहीं है। क्रिप्टो से जुड़ा कोई भी कदम उठाने से पहले खुद रिसर्च करना जरूरी है।

Previous Article Next Article

About the Author Akansha Vyas

Crypto Journalist Cryptohindinews.in

आकांक्षा व्यास एक स्किल्ड क्रिप्टो राइटर हैं, जिनके पास 7 वर्षों का अनुभव है और वे ब्लॉकचेन और Web3 के कॉम्पलेक्स टॉपिक्स को सरल और समझने योग्य बनाने में एक्सपर्ट हैं। वे डीप रिसर्च के साथ आर्टिकल्स, ब्लॉग और न्यूज़ लिखती हैं, जिनमें SEO पर विशेष ध्यान दिया जाता है ताकि रीडर्स का जुड़ाव बढ़ सके। आकांक्षा की राइटिंग क्रिएटिव एक्सप्रेशन और एनालिटिकल अप्रोच का एक बेहतरीन मिश्रण है, जो रीडर्स को जटिल विषयों को स्पष्टता के साथ समझने में मदद करता है। क्रिप्टो स्पेस के प्रति उनकी गहरी रुचि उन्हें इस उद्योग में एक अच्छे राइटर के रूप में स्थापित कर रही है। अपने कंटेंट के माध्यम से, उनका उद्देश्य रीडर्स को क्रिप्टो की तेजी से बदलती दुनिया में गाइड करना है।