KuCoin Learn
MasukDaftar

Dompet Dingin Dilanggar? Mengungkap Penipuan Persetujuan "Transfer Uji"

Tingkat PemulaPembaruan Terakhir June 3, 2026
Keamanan Akun Cryptocurrency
Cold Wallet Breached? Unmasking the "Test Transfer" Approval Scam
Banyak investor percaya bahwa selama mereka menggunakan cold wallet, menulis tangan seed phrase mereka, tidak pernah mengklik tautan mencurigakan, dan tidak pernah memindai kode QR yang tidak dikenal, aset mereka benar-benar aman. Namun, ada jenis penipuan baru yang sangat terarah yang dirancang khusus untuk memanfaatkan pengguna yang "berhati-hati terhadap keamanan". Artikel ini menggunakan kasus nyata untuk menguraikan bagaimana penipu memanfaatkan jebakan psikologis dari "transfer uji coba kecil" untuk melewati semua pertahanan tradisional dan mencuri aset dari dompet yang pengguna yakini sangat aman.

🔍 Studi Kasus: Jebakan Persetujuan Selama Transaksi Tatap Muka

Berikut adalah kasus nyata yang banyak dibahas di komunitas. Korban menggunakan dompet Bitpie dan percaya telah mengambil semua langkah keamanan yang diperlukan, namun tetap kehilangan dana mereka.
 
Barang Detail
Situasi Korban Menggunakan dompet Bitpie dengan cadangan fisik yang ditulis tangan dari seed phrase, tidak pernah disimpan secara online; tidak pernah mengklik tautan persetujuan apa pun; tidak pernah memindai kode QR mencurigakan atau berinteraksi dengan tautan persetujuan mencurigakan sebelum transaksi ini; telah mengonfirmasi di jaringan TRON (TRC) bahwa tidak ada persetujuan dompet yang aktif.
Lawan Transaksi Pembeli B ingin membeli U (USDT) dari Korban A.
Timeline Insiden 1. Tahap Transfer Uji: B meminta A untuk terlebih dahulu mengirim transfer uji sebesar 10 USDT, dengan alasan "untuk menghindari pengiriman ke alamat yang salah untuk transfer besar nantinya." A, menganggap jumlahnya kecil dan transaksi dilakukan secara langsung, memindai kode QR milik B dan menyelesaikan transfer.
2. Tahap Transaksi Resmi: Setelah pengujian berhasil, A menerima uang tunai dari B dan kemudian mentransfer sisa USDT ke alamat yang diberikan B.
3. Periode Tenang: Tidak ada kelainan yang terdeteksi di dompet pada saat itu. A percaya transaksi berjalan lancar.
4. Pencurian: Hari berikutnya, setelah A mentransfer lebih banyak dana ke dompet dingin yang sama, aset langsung dan sepenuhnya dikosongkan.
Kerentanan Kritis Ketika A memindai kode QR untuk "transfer uji coba," mereka tanpa sadar menandatangani persetujuan kontrak jahat. Persetujuan ini bukan untuk 10 USDT yang dikirim pada saat itu, tetapi memberikan otoritas kepada penipu untuk memindahkan jumlah USDT berapa pun dari dompet tersebut di masa mendatang.

🎭 Tinjauan Mendalam tentang Penipuan: Perangkap Mematikan di Balik "Transfer Uji"

Inti dari penipuan ini terletak pada memanfaatkan kesalahpahaman pengguna terhadap keamanan "transfer uji coba kecil" dan kepercayaan buta mereka terhadap kode QR.
 
Tahap Penipuan Metode & Mekanisme Titik Buta Umum bagi Korban
1. Meniru Pembeli Penipu berpura-pura sebagai "pembeli asli," bahkan bertemu langsung untuk membangun kepercayaan. Mereka mengklaim perlu "transfer uji coba kecil untuk menghindari pengiriman ke alamat yang salah." Mempercayai bahwa transaksi tatap muka setara dengan keamanan; mempercayai bahwa bahkan jika uji coba kecil gagal, kerugiannya terbatas.
2. Kode QR jahat Kode QR bukanlah alamat dompet sederhana. Ia mengkodekan interaksi kontrak jahat atau permintaan persetujuan. Saat dipindai, dompet meminta pengguna untuk "menandatangani" atau "menyetujui." Pengguna salah percaya bahwa memindai kode QR sama dengan hanya memasukkan alamat; mereka gagal membaca dengan cermat izin persetujuan yang ditampilkan oleh dompet.
3. Mekanisme Pemicu Tertunda Persetujuan jahat tidak memicu segera. Penipu menunggu pengguna melakukan setoran jumlah yang lebih besar nanti, lalu secara jarak jauh mengaktifkan fungsi transfer. Pengguna tidak melihat anomali segera, salah percaya "uji coba aman," dan melanjutkan untuk melakukan setoran lebih banyak dana nanti.
4. Tidak Diperlukan Seed Phrase untuk Mencuri Setelah pengguna menandatangani persetujuan berbahaya, penipu tidak lagi memerlukan seed phrase, kunci pribadi, atau kata sandi login. Mereka dapat langsung memanggil kontrak melalui persetujuan tersebut untuk mentransfer aset tertentu keluar dari dompet. Pengguna yakin bahwa "jika seed phrase saya tidak bocor, saya tidak bisa diretas," mengabaikan risiko di lapisan persetujuan.

🛡️ Strategi Pertahanan Inti: Mendefinisikan Ulang Arti "Keamanan"

Kasus ini membalikkan pemahaman banyak orang tentang keamanan. Keamanan sejati melibatkan tidak hanya melindungi seed phrase Anda, tetapi juga melindungi setiap tanda tangan dan persetujuan yang Anda buat.

Aturan Satu: Evaluasi Kembali Risiko dari "Transfer Uji"

  • Aturan Utama: Jangan sembarangan memindai kode QR yang tidak dikenal atau menyetujui hal-hal yang tidak dikenal hanya untuk "uji coba." Penipu memanfaatkan pola pikir "jumlah kecil = tidak masalah" untuk menipu Anda agar memberikan persetujuan.
  • Praktik yang Benar:
    • Jika pihak lain meminta transfer uji coba, minta mereka untuk memberikan alamat dalam bentuk teks biasa, lalu Anda secara manual menyalin dan menempelkannya untuk mengirimkan transfer uji coba kecil, bukan memindai kode QR.
    • Atau, minta pihak lain untuk mengirimkan transfer uji kecil terlebih dahulu. Setelah memastikan semuanya benar, Anda dapat mengirim jumlah besar.

Aturan Dua: Selalu Verifikasi Izin Persetujuan Karakter demi Karakter

  • Aturan Utama: Setiap permintaan "approve", "sign", atau "authorize" yang muncul di dompet Anda bisa menjadi pertanda pencurian aset.
  • Praktik yang Benar:
    • Baca dengan cermat detail persetujuan, terutama "batas pengeluaran." Persetujuan normal seharusnya dibatasi pada "jumlah transaksi." Jika menunjukkan "tak terbatas" atau angka yang sangat besar, itu adalah tanda bahaya.
    • Periksa apakah target persetujuan (alamat kontrak) sesuai dengan alamat resmi yang dikenal.
    • Jangan pernah menandatangani persetujuan yang tidak Anda pahami.

Aturan Ketiga: Periksa dan Cabut Persetujuan yang Tidak Digunakan Secara Berkala

  • Aturan Utama: Kontrak yang pernah Anda setujui di masa lalu selalu bisa menjadi sumber risiko di masa depan.
  • Praktik yang Benar:
    • Gunakan alat deteksi persetujuan blockchain secara rutin (misalnya, Revoke.cash, fitur manajemen persetujuan Rabby Wallet) untuk memeriksa semua persetujuan kontrak pada alamat dompet Anda.
    • Segera cabut semua persetujuan yang tidak lagi digunakan atau berasal dari sumber yang tidak dikenal.
    • Catatan Khusus: Mengonfirmasi bahwa tidak ada "persetujuan" di jaringan TRON (TRC) hanya mencerminkan keadaan Anda saat ini, bukan berarti Anda tidak akan ditipu untuk memberikan persetujuan di masa depan.

Aturan Empat: Buat Pemisahan antara "Dompet Perdagangan" dan "Dompet Penyimpanan"

  • Aturan Utama: Dompet dingin bukanlah brankas yang tak terkalahkan. Setelah Anda menandatangani persetujuan jahat, bahkan dompet dingin tidak dapat menolak.
  • Praktik yang Benar:
    • Dompet Penyimpanan: Jangan pernah melakukan transaksi aktif apa pun. Gunakan hanya untuk menerima dan memegang aset dalam jangka panjang. Seed phrase-nya tidak pernah menyentuh internet, dan tidak pernah digunakan untuk menandatangani persetujuan apa pun.
    • Dompet Perdagangan: Hanya simpan sejumlah dana kecil untuk transaksi harian. Bahkan jika dompet ini dikompromikan karena persetujuan yang ditandatangani, kerugian tetap berada dalam rentang yang terkendali.

🚨 Jika Anda Mencurigai Telah Menandatangani Persetujuan Berbahaya atau Menemukan Pencurian

Situasi Langkah-Langkah Tanggap Darurat
Diduga Anda baru saja menandatangani persetujuan berbahaya 1. Cabut Persetujuan Segera: Gunakan alat seperti Revoke.cash untuk menemukan dan mencabut persetujuan kontrak yang mencurigakan.
2. Transfer Aset Anda: Kirim segera semua aset dari dompet tersebut ke alamat dompet baru yang belum pernah menandatangani persetujuan untuk kontrak jahat tersebut.
3. Tinggalkan Dompet Lama: Alamat dompet tersebut telah "terkontaminasi" dan seharusnya tidak pernah lagi digunakan untuk menyimpan dana.
Aset sudah dicuri 1. Simpan Semua Bukti: Catat hash transaksi (TxID), alamat penipu, alamat dompet yang terlibat, dan semua catatan persetujuan yang Anda tandatangani.
2. Berhenti Gunakan Dompet Itu: Jangan melakukan setoran dana lebih lanjut ke alamat dompet tersebut.
3. Laporkan ke Kepolisian Segera: Bawa semua bukti ke aparat penegak hukum setempat dan ajukan laporan.
4. Peringatkan Orang Lain di Komunitas: Bagikan pengalaman Anda untuk membantu lebih banyak orang memahami jenis penipuan baru ini.

💎 Kesimpulan: Persetujuan Adalah Garis Pertahanan yang Lebih Tersembunyi Daripada Seed Phrase

Seed phrase Anda mewakili "kepemilikan" dompet Anda, sementara persetujuan mewakili "hak penggunaan" dompet Anda. Banyak pengguna menjaga seed phrase mereka dengan sangat hati-hati, tetapi ceroboh dalam menanggapi permintaan persetujuan.
 
Masukkan konsep baru ini ke dalam kerangka keamanan Anda:
 
Melindungi seed phrase Anda menjamin kepemilikan aset Anda. Melindungi setiap persetujuan mencegah orang lain menggunakan aset Anda.
Ingat pelajaran dari kasus ini: Bahkan dengan transaksi tatap muka, bahkan dengan seed phrase yang ditulis tangan, bahkan tanpa mengklik tautan apa pun — satu pemindaian QR code yang ceroboh sudah cukup untuk mengosongkan dompet dingin Anda keesokan harinya. Keamanan tidak pernah tentang jalan pintas; ia memerlukan kewaspadaan terus-menerus dan kebiasaan yang benar.
 
 

Disclaimer: The information on this page may come from third parties and does not necessarily reflect KuCoin’s views. It is provided for general reference only and should not be interpreted as financial or investment advice.

Virtual asset investments may involve risk. Please carefully assess the product risks and your own risk tolerance. For more information, please refer to our Terms of Use and Risk Disclosure.