KuCoin Learn
ログイン登録

コールドウォレットが侵害された?「テスト振替」承認詐欺の正体

初級最終更新 June 3, 2026
暗号通貨アカウントのセキュリティ
Cold Wallet Breached? Unmasking the "Test Transfer" Approval Scam
多くの投資家は、コールドウォレットを使用し、シードフレーズを手書きで記録し、疑わしいリンクをクリックせず、不明なQRコードをスキャンしなければ、資産は完全に安全だと信じています。しかし、こうした「セキュリティ意識の高い」ユーザーを標的にした、新しい種類の詐欺が存在します。本記事では、実際の事例を用いて、詐欺者が「小額のテスト振替」という心理的罠を活用し、従来のすべての防御を回避して、ユーザーが非常に安全だと信じるウォレットから資産を盗む手口を解説します。

🔍 ケーススタディ:対面取引中の承認の罠

以下はコミュニティで広く議論された実際の事例です。被害者はBitpieウォレットを使用し、必要なすべてのセキュリティ対策を講じたと信じていましたが、依然として資金を失いました。
 
アイテム 詳細
被害者の状況 シードフレーズの手書きの物理的バックアップを用いてBitpieウォレットを使用し、オンラインに保存したことはない。これまでに任何の承認リンクをクリックしたことはなく、この取引以前に怪しいQRコードをスキャンしたり、怪しい承認リンクとやり取りしたことはない。TRONネットワーク(TRC)上でウォレットの承認が存在しないことを確認済み。
取引対象者 購入者Bは、被害者AからU(USDT)を購入しようとしていました。
インシデントタイムライン 1. テスト振替フェーズ:Bは、Aにまず10 USDTのテスト振替を送るように依頼し、「大口振替の際に間違ったアドレスに送信しないようにするため」と主張した。Aは金額が非常に小さく、取引が対面で行われると考え、BのQRコードをスキャンして振替を完了した。
2. 正式な取引フェーズ:テストが成功した後、AはBから現金を受け取り、残りのUSDTをBが提供したアドレスに送金しました。
3. 静寂期間:その時点ではウォレットに異常は検出されませんでした。Aは取引がスムーズに完了したと信じていました。
4. 盗難:Aが翌日、同じコールドウォレットにさらに資金を送金した直後に、資産が即座に完全に引き出された。
深刻な脆弱性 Aが「テスト振替」のQRコードをスキャンした際、悪意のある契約承認に意図せず署名してしまいました。この承認は、その時点で送信された10 USDTのためのものではなく、今後そのウォレットから任意の数量のUSDTを移動する権限を詐欺師に与えるものでした。

🎭 スカムの深層解説:「テスト振替」の背後にある致命的な罠

この詐欺の核心は、ユーザーが「小額テスト振替」の安全性について誤解し、QRコードを盲信することにあります。
 
詐欺の段階 方法とメカニズム 被害者が陥りがちな盲点
1. 買い手を装う 詐欺師は「本物の買い手」を装い、信頼を得るために実際に会って対面でやり取りします。そして、「間違ったアドレスに送金しないように、小さなテスト振替が必要だ」と主張します。 対面取引が安全であると信じている;小さなテストが失敗しても損失は限定的であると信じている。
2. 悪意のあるQRコード QRコードは単なるウォレットアドレスではありませんでした。それは悪意のある契約のインタラクションまたは承認リクエストをエンコードしていました。スキャンすると、ウォレットはユーザーに「署名」または「承認」するよう求めます。 ユーザーはQRコードをスキャンすることが単にアドレスを入力することと同じだと誤解しており、ウォレットに表示される承認権限を丁寧に読み取っていません。
3. 遅延トリガー機構 悪意のある承認は即座に発動しません。詐欺師は、ユーザーが後でより大きな数量を入金するのを待ち、リモートで振替機能を活性化します。 ユーザーは即時の異常には気づかず、「テストは安全である」と誤って判断し、後でさらに資金を入金する。
4. シードフレーズは必要ありません ユーザーが悪意のある承認に署名すると、スキャマーはもはやシードフレーズ、秘密鍵、またはログインパスワードを必要としません。彼らはその承認を通じて契約を直接呼び出し、ウォレットから特定の資産を振替できます。 ユーザーは「私のシードフレーズが漏れない限り、ハッキングされることはない」と強く信じており、承認層のリスクを無視している。

🛡️ コア防御戦略:「セキュリティ」とは何を意味するかを再定義する

このケースは、多くの人のセキュリティに対する理解を覆します。真のセキュリティとは、シードフレーズを守るだけでなく、あなたが行うすべての署名と承認を守ることを含みます。

ルール1:「テスト振替」のリスクを見直す

  • 絶対ルール:不明なQRコードを勝手にスキャンしたり、「テスト」のために不明な承認を許可したりしないでください。詐欺師は「少量だから大したことない」という心理を利用して、あなたに承認を許可させようとします。
  • 正しい実践方法:
    • 相手がテスト振替を要求した場合、QRコードをスキャンするのではなく、プレーンテキストのアドレスを提供してもらい、手動でコピーして貼り付けて小さなテスト振替を送ってください。
    • または、相手に小さなテスト振替を送ってもらうこともできます。内容を確認した後、大きな数量を送信してください。

ルール2:承認権限を一字一句確認すること

  • 絶対ルール:ウォレットに表示される「承認」、「署名」、または「許可」のリクエストは、資産の盗難の前兆である可能性があります。
  • 正しい実践方法:
    • 承認詳細をよくお読みください。特に「支出上限」に注目してください。通常の承認は「取引数量」に制限されるべきです。もし「無制限」や非常に大きな数値が表示されている場合は、注意が必要です。
    • 承認対象(コントラクトアドレス)が既知の公式アドレスと一致しているか確認してください。
    • 理解できない承認は決して行わないでください。

ルール3:使用していない承認を定期的に確認し、取り消してください

  • 最重要ルール:過去に承認した契約は、将来常にリスクの源となり得ます。
  • 正しい実践方法:
    • ウォレットアドレス上のすべての契約承認を、ブロックチェーン承認検出ツール(例:Revoke.cash、Rabby Walletの承認管理機能)を定期的に使用して確認してください。
    • 使用していない、または不明なソースからの承認は直ちに取り消してください。
    • 特別な注意:TRONネットワーク(TRC)上で「承認が必要ない」と表示されているのは、現在の状態を反映しているだけで、今後承認を不正に求められる可能性がないことを意味しません。

ルール4:「取引ウォレット」と「保管ウォレット」を分ける

  • 基本ルール:コールドウォレットは無敵の安全な安全箱ではありません。悪意のある承認に署名すると、コールドウォレットでも防ぐことができません。
  • 正しい実践方法:
    • ストレージウォレット:アクティブな取引は行わないでください。資産の受信と長期保有のみに使用してください。このウォレットのシードフレーズはインターネットに接続せず、任何の承認にも使用しません。
    • 取引ウォレット:日常的な取引には少量の資金のみを保有してください。このウォレットが署名された承認によって侵害された場合でも、損失は制御された範囲にとどまります。

🚨 悪意のある承認を実行した可能性がある場合、または盗難に気づいた場合

状況 緊急対応ステップ
悪意のある承認を署名した可能性があります 1. 承認を直ちに取り消してください:Revoke.cashのようなツールを使用して、疑わしいコントラクトの承認を特定し、取り消してください。
2. アセットを振替:その悪意のある契約に対して承認をしたことがない、まったく新しいウォレットアドレスに、そのウォレットからすべてのアセットを即座に送信してください。
3. 古いウォレットを廃止してください:そのウォレットアドレスは「汚染」されているため、今後は決して資金を保管しないでください。
資産はすでに盗まれています 1. すべての証拠を保存してください:トランザクションハッシュ(TxID)、詐欺師のアドレス、関与したウォレットアドレス、および署名したすべての承認レコードを記録してください。
2. そのウォレットの使用をやめてください:そのウォレットアドレスにさらに資金を入金しないでください。
3. 直ちに警察に届け出る:すべての証拠を持って地元の警察機関に行き、届け出を行ってください。
4. コミュニティの他の人に警告する:あなたの体験を共有し、この新しいタイプの詐欺をより多くの人が理解する手助けをしてください。

💎 結論:承認はシードフレーズよりも隠れた防衛線である

シードフレーズはウォレットの「所有権」を表し、承認はウォレットの「使用権」を表します。多くのユーザーはシードフレーズを非常に慎重に守っていますが、承認リクエストには注意を怠っています。
 
この新しい概念をセキュリティフレームワークに取り入れてください:
 
シードフレーズを守ることは、あなたの資産の所有権を守ることです。すべての承認を守ることで、他人があなたの資産を使用するのを防ぎます。
この事例から学ぶべき教訓:対面取引であっても、手書きのシードフレーズを使用しても、どのリンクもクリックしなくても、1回の不注意なQRコード承認のスキャンだけで、冷蔵ウォレットが翌日空になる可能性があります。セキュリティは近道ではありません。継続的な警戒と正しい習慣が必要です。
 
 

Disclaimer: The information on this page may come from third parties and does not necessarily reflect KuCoin’s views. It is provided for general reference only and should not be interpreted as financial or investment advice.

Virtual asset investments may involve risk. Please carefully assess the product risks and your own risk tolerance. For more information, please refer to our Terms of Use and Risk Disclosure.