KuCoin Learn
Mag-log InMag-sign Up

Nasira ang Cold Wallet? Ipinapakita ang "Test Transfer" Scam

BeginnerHuling Update June 3, 2026
Seguridad ng Account sa Cryptocurrency
Cold Wallet Breached? Unmasking the "Test Transfer" Approval Scam
Madaming investor ang naniniwala na habang gamit nila ang cold wallet, isinusulat nila nang kamay ang kanilang seed phrase, hindi nila sinisigaw ang mga sospeksong link, at hindi nila iskano ang mga hindi kilalang QR code, ang kanilang mga ari-arian ay ganap na ligtas. Gayunpaman, mayroong isang napakatarget na bagong uri ng scam na disenyo upang pahamakin ang mga "mga gumagamit na may pag-iingat sa kaligtasan" na ito. Ginagamit ng artikulong ito ang isang totoong kaso upang masuri kung paano ginagamit ng mga scammer ang psychological trap ng "maliit na pagsusuri sa pag-transfer" upang laktawan ang lahat ng tradisyonal na depensa at manakwil ng mga ari-arian mula sa mga wallet na naniniwala ang mga gumagamit na napakaligtas.

🔍 Pag-aaral ng Kaso: Ang Trapo ng Pagsang-ayon Sa Isang Transaksyon sa Paggawa

Ang sumusunod ay isang totoong kaso na malawakang pinag-uusapan sa komunidad. Ang biktima ay gumamit ng Bitpie wallet at naniniwala na sila ay nagtake ng lahat ng kinakailangang pagsisiguro, ngunit nanatili pa ring nawala ang kanilang pera.
 
Item Mga Detalye
Sitwasyon ng biktima Gumamit ng Bitpie wallet na may hand-written physical backup ng seed phrase, hindi kailanman nabawasan online; hindi kailanman pinindot ang anumang approval links; hindi kailanman sincan ang suspicious QR codes o nag-interact sa suspicious approval links bago sa transaksyong ito; napatunayan sa TRON network (TRC) na walang wallet approvals ang nasa place.
Kasalungat na Transaksyon Gusto ni Buyer B bumili ng U (USDT) mula kay Victim A.
Panahon ng Insidente 1. Pahinga sa Pag-transfer: Hiningi ni B na unang ipadala ni A ang 10 USDT na test transfer, sinasabi na ito ay “upang maiwasan ang pagpapadala sa maling address para sa malaking pag-transfer mamaya.” Sinipi ni A ang QR code ni B at natapos ang pag-transfer, dahil sa paniniwala niya na maliit lamang ang amount at direktang nangyari ang transaksyon.
2. Pahinga sa Pormal na Transaksyon: Pagkatapos makamit ang pagsubok, natanggap ni A ang pera mula kay B at pagkatapos ay isinapag ang natitirang USDT sa address na ibinigay ni B.
3. Panahon ng Kapayapaan: Walang anumang anomali ang natukoy sa wallet noong panahong iyon. Naniniwala si A na nakapasa nang maayos ang transaksyon.
4. Ang Pagkakawala: Ang susunod na araw, pagkatapos ipagbigay ni A ang karagdagang pondo sa parehong cold wallet, agad at buong-buo ang tinanggal ang mga asset.
Mahalagang Bukas na Punto Kapag i-scan ni A ang QR code para sa “test transfer,” sinignahan niya nang walang kaalaman ang masasamang contract approval. Hindi ito para sa 10 USDT na ipinapadala sa gayon, kundi ibinigay nito sa scammer ang awtoridad na ilipat ang anumang amount ng USDT mula sa wallet na iyon sa hinaharap.

🎭 Malalim na Pagsusuri sa Scam: Mapanganib na Trapo sa Likod ng "Test Transfer"

Ang core ng scam na ito ay ang pagsasamantala sa pagkakamali ng mga user tungkol sa kaligtasan ng mga “maliit na test transfer” at ang kanilang walang kondisyon na pagkakatiwala sa QR code.
 
Etapeng Scam Paraan at Mekanismo Karaniwang Blind Spots para sa mga Biktima
1. Paggawa ng sariling bilang Bumibili Ang scammer ay nagpapakilala bilang "totoong bumibili," kahit na nagpapakita nang personal upang makabuo ng tiwala. Sinasabi nila na kailangan nila ang "maliit na test transfer upang maiwasan ang pagpapadala sa maling address." Naniniwala na ang mga transaksyon sa personal ay katumbas ng kaligtasan; naniniwala na kahit mali ang isang maliitong pagsubok, ang pagkawala ay limitado.
2. Masamang QR code Hindi simple ang wallet address ang QR code. Ito ay naglalaman ng mapanirang contract interaction o hiling sa pagpapahintulot. Kapag iskanned, hihingi ang wallet sa user na “sign” o “approve.” Naniniwala ang user nang mali na ang pag-scan ng QR code ay katumbas ng pagpapasok lamang ng address; hindi nila mabuti binabasa ang mga pahintulot na pinapakita ng wallet.
3. Mechanismo ng Nagdaan na Pag-trigger Hindi agad nagtatrabaho ang masasamang pagpapahintulot. Inhintay ng scammer ang pag-deposit ng user ng mas malaking amount pagkatapos, pagkatapos ay aktibuhin nang malayo ang function ng pag-transfer. Hindi nakikita ng user ang anumang agad na anomaliya, maliit na naniniwala na "safe ang pagsubok," at nagpapatuloy sa pag-deposit ng karagdagang pera nang huli.
4. Walang Kailangang Seed Phrase para Makuha Pagkatapos mag-sign ang user sa masasamang pagpapahintulot, hindi na kailangan ng scammer ang seed phrase, private key, o login password. Maaari nilang direktang tawagan ang contract gamit ang pagpapahintulot na iyon upang i-transfer ang mga partikular na asset mula sa wallet. Naniniwala nang matigas ang user na "kung hindi leake ang aking seed phrase, hindi ako maa-hack," na nag-iisip sa mga panganib sa approval layer.

🛡️ Pangunahing Estratehiya sa Pagtatanggol: Muling Tukoy ang Kahulugan ng “Seguridad”

Ipinaglalaban ng kaso na ito ang maraming pag-unawa ng mga tao tungkol sa seguridad. Ang totoong seguridad ay nangangailangan hindi lamang ng pagprotekta sa iyong seed phrase kundi pati na rin ang pagprotekta sa bawat signature at pagpapahintulot na ginagawa mo.

Patakaran Isa: Ibalik ang pagtataya sa mga Panganib ng mga “Test Transfer”

  • Pangunahing patakaran: Huwag nangangalap nang walang pag-iingat ang mga hindi kilalang QR code o mag-sign ng mga hindi kilalang pagpapahintulot para sa isang "subok." Ang mga mang-aabuso ay nagpapalit ng mentalidad na "maliit na amount = hindi malaking bagay" upang manlinlang sa iyo upang bigyan sila ng pagpapahintulot.
  • Mga Tamaang Pamamaraan:
    • Kung hingi ng kabilang panig ng test transfer, hingiin mo silang magbigay ng plain text address, at manual mong kopyahin at idikit ito upang magpadala ng maliit na test transfer, kaysa i-scan ang QR code.
    • Maaari rin mong hilingin sa kabilang panig na mag-send ng maliit na test transfer muna. Pagkatapos ma-verify na tama, maaari mo nang i-transfer ang malaking amount.

Patakaran Dalawa: Laging i-verify ang mga pahintulot sa pagpapayag character by character

  • Pangunahing patakaran: Ang bawat hiling na “approve,” “sign,” o “authorize” na ipinapakita ng iyong wallet ay maaaring unang palatandaan ng pagkawala ng iyong ari-arian.
  • Mga Tamaang Pamamaraan:
    • Basahin nang mabuti ang mga detalye ng pagpapahintulot, lalo na ang "spending cap." Dapat limitado ang normal na pagpapahintulot sa "amount ng transaksyon." Kung ipinapakita ang "unlimited" o isang napakalaking bilang, iyon ay isang red flag.
    • Suriin kung ang layunin ng pagpapahintulot (contract address) ay tumutugma sa isang kilalang opisyal na address.
    • Huwag mag-sign ng pagpapahintulot na hindi mo nauunawaan.

Patakaran Tatló: Madalas na i-check at i-revoke ang mga hindi ginagamit na pagpapahintulot

  • Pangunahing Patakaran: Ang mga kontrata na iyong inaprubahan sa nakaraan ay laging maaaring maging pinagmumulan ng panganib sa hinaharap.
  • Mga Tamaang Pamamaraan:
    • Gumamit nang regular ng mga tool para sa pagdetekta ng blockchain approval (hal., Revoke.cash, ang approval management feature ng Rabby Wallet) upang i-check ang lahat ng contract approvals sa iyong wallet address.
    • Agad na mag-revoke ng anumang pagpapahintulot na hindi na ginagamit o galing sa mga hindi kilalang pinagmulan.
    • Espesyal na Tala: Ang pagpapatunay na walang "mga pagpapahintulot" sa TRON network (TRC) ay nagpapakita lamang ng iyong kasalukuyang kalagayan, hindi na hindi ka maaaring masisi sa pagbibigay ng pagpapahintulot sa hinaharap.

Patakaran Apat: Magtatag ng “Trading Wallet” at “Storage Wallet” na hihiwalay

  • Pangunahing Patakaran: Ang cold wallet ay hindi isang di-makalulugod na lalagyan. Kapag nag-sign ka ng isang masasamang pagpapahintulot, kahit ang cold wallet ay hindi makakatigil.
  • Mga Tamaang Pamamaraan:
    • Storage Wallet: Huwag gawin ang anumang aktibong transaksyon. Gamitin lamang para sa pagtatanggap at pangmatagalang paghawak ng mga asset. Ang seed phrase nito ay hindi nagkakaroon ng koneksyon sa internet, at hindi ito ginagamit para mag-sign ng anumang pagpapahintulot.
    • Trading Wallet: Magtago lamang ng maliit na amount ng pera para sa araw-araw na transaksyon. Kahit na ma-compromise ang wallet dahil sa signed approval, ang pagkawala ay nananatiling nasa kontroladong saklaw.

🚨 Kung Suspek Ka na Nagsign Ka ng Maling Pahintulot o Nakakita ng Pagkakasira

Sitwasyon Mga Hakbang sa Pagsagot sa Emersiyon
Suspek na ikaw ay nag-sign ng isang masasamang pagpapahintulot 1. Agawin agad ang Pahintulot: Gamitin ang isang kasangkapan tulad ng Revoke.cash upang makahanap at agawin ang pahintulot ng suspicious na contract.
2. Mag-transfer ng mga Yaman: Agad na i-transfer ang lahat ng yaman mula sa wallet na iyon sa isang bagong wallet address na hindi pa nag-sign ng pagpapahintulot para sa masasamang contract.
3. Itigil ang Lumang Wallet: Ang wallet address na iyon ay “nabulok” at hindi na dapat gamitin upang iimbak ang mga pondo.
Ang mga asset ay nakuha na 1. Panatilihin ang lahat ng ebidensya: I-record ang transaction hash (TxID), ang address ng scammer, ang mga wallet address na kasangkot, at anumang mga approval record na iyong sinignahan.
2. Tigilan ang Paggamit ng Wallet Iyon: Huwag mag-deposit ng anumang pondo sa wallet address na iyon.
3. Mag-file ng ulat sa pulis agad: Dalain ang lahat ng ebidensya sa lokal na awtoridad at mag-file ng ulat.
4. Babalaan ang iba sa komunidad: Ibahagi ang iyong karanasan upang tulungan ang higit pang mga tao na maunawaan ang bagong uri ng scam.

💎 Konklusyon: Ang mga pagpapahintulot ay isang mas nakatago na linya ng depensa kaysa sa seed phrase

Ang iyong seed phrase ay nagpapakita ng "pagmamay-ari" ng iyong wallet, habang ang mga pagpapahintulot ay nagpapakita ng "karapatan sa paggamit" ng iyong wallet. Maraming gumagamit ang nag-aalaga nang husto sa kanilang seed phrase ngunit nagiging kawalang-ingat sa mga hiling sa pagpapahintulot.
 
Isama ang bagong konseptong ito sa iyong security framework:
 
Ang pagprotekta sa iyong seed phrase ay nagpapatibay sa pagmamay-ari ng iyong mga asset. Ang pagprotekta sa bawat pagpapahintulot ay nagbabawal sa iba na gamitin ang iyong mga asset.
Tandaan ang aral mula sa kaso na ito: Kahit may in-person na transaksyon, kahit may sulat-na-seed phrase, kahit walang pag-click sa anumang link — sapat na ang isang walang pag-iingat na pag-scan ng QR code na pagpapahintulot upang mawala ang iyong cold wallet sa susunod na araw. Ang seguridad ay hindi tungkol sa mga shortcut; kailangan nito ng patuloy na pagiging alerto at tamang mga gawi.
 
 

Disclaimer: The information on this page may come from third parties and does not necessarily reflect KuCoin’s views. It is provided for general reference only and should not be interpreted as financial or investment advice.

Virtual asset investments may involve risk. Please carefully assess the product risks and your own risk tolerance. For more information, please refer to our Terms of Use and Risk Disclosure.