KuCoin Learn
Log masukDaftar

Dompet Sejuk Dibobol? Mengungkap Scam "Persetujuan Pindah Ujian"

PemulaPengemasan Kini Terakhir June 3, 2026
Keselamatan Akaun Mata Wang Kripto
Cold Wallet Breached? Unmasking the "Test Transfer" Approval Scam
Banyak pelabur percaya bahawa selama mereka menggunakan dompet sejuk, menulis tangan frasa benih mereka, tidak pernah mengklik pautan mencurigakan, dan tidak pernah memindai kod QR yang tidak dikenali, aset mereka adalah selamat sepenuhnya. Namun, terdapat sejenis penipuan baru yang sangat terarah yang direka khas untuk mengeksploitasi pengguna yang "berkesadaran keselamatan" ini. Artikel ini menggunakan kes sebenar untuk menganalisis bagaimana penipu memanfaatkan jebakan psikologi "pindahan ujian kecil" untuk melintasi semua pertahanan tradisional dan mencuri aset daripada dompet yang pengguna percaya sangat selamat.

🔍 Kes Kajian: Jerat Persetujuan Semasa Transaksi Secara Langsung

Berikut adalah kes sebenar yang banyak dibincangkan dalam komuniti. Mangsa menggunakan dompet Bitpie dan percaya bahawa mereka telah mengambil semua langkah keselamatan yang diperlukan, namun masih kehilangan dana mereka.
 
Item Butiran
Kedudukan Mangsa Menggunakan dompet Bitpie dengan salinan fizikal yang ditulis tangan bagi frasa benih, tidak pernah disimpan secara dalam talian; tidak pernah mengklik sebarang pautan persetujuan; tidak pernah memindai kod QR mencurigakan atau berinteraksi dengan pautan persetujuan mencurigakan sebelum transaksi ini; telah mengesahkan di rangkaian TRON (TRC) bahawa tiada persetujuan dompet yang berlaku.
Pihak Berlawan Transaksi Pembeli B ingin membeli U (USDT) daripada Mangsa A.
Garis Masa Insiden 1. Fasa Ujian Pindahan: B meminta A untuk menghantar pindahan ujian 10 USDT terlebih dahulu, dengan mengatakan ia "untuk mengelakkan penghantaran ke alamat yang salah semasa pindahan besar nanti." A, yang menganggap jumlah tersebut kecil dan transaksi berlaku secara langsung, memindai kod QR B dan menyelesaikan pindahan.
2. Fasa Transaksi Rasmi: Selepas ujian berjaya, A menerima wang tunai dari B dan kemudian menghantar USDT yang tinggal ke alamat yang diberikan oleh B.
3. Tempoh Senyap: Tiada kelainan yang dikesan dalam dompet pada masa itu. A percaya transaksi berjalan dengan lancar.
4. Pencurian: Pada hari berikutnya, selepas A memindahkan lebih banyak dana ke dompet sejuk yang sama, aset-aset tersebut segera dan sepenuhnya disedut.
Kerentanan Kritikal Apabila A memindai kod QR untuk "pindahan ujian," mereka tanpa sengaja menandatangani kelulusan kontrak jahat. Kelulusan ini bukan untuk 10 USDT yang dihantar pada masa itu, tetapi memberikan kuasa kepada penipu untuk memindahkan sebarang jumlah USDT daripada dompet tersebut pada masa depan.

🎭 Tinjauan Mendalam Mengenai Penipuan: Perangkap Mematikan di Balik "Pindah Ujian"

Inti penipuan ini terletak pada memanfaatkan pemahaman pengguna yang keliru mengenai keselamatan "pindah ujian kecil" dan kepercayaan buta mereka terhadap kod QR.
 
Tahap Penipuan Kaedah & Mekanisme Titik Buta Biasa untuk Mangsa
1. Meniru Pembeli Pencuri itu berpura-pura sebagai "pembeli sebenar," bahkan bertemu secara langsung untuk membina kepercayaan. Mereka mengklaim perlu melakukan "pindah ujian kecil untuk mengelakkan penghantaran ke alamat yang salah." Mempercayai bahawa transaksi secara langsung sama dengan keselamatan; mempercayai bahawa walaupun ujian kecil gagal, kerugian adalah terhad.
2. Kod QR jahat Kod QR bukan alamat dompet biasa. Ia mengenkod interaksi kontrak jahat atau permintaan persetujuan. Apabila dipindai, dompet meminta pengguna untuk "tandatangani" atau "persetujui." Pengguna salah percaya bahawa memindai kod QR adalah sama seperti memasukkan alamat sahaja; mereka gagal membaca dengan teliti kebenaran persetujuan yang dipaparkan oleh dompet.
3. Mekanisme Pemicu Tertunda Persetujuan jahat tidak berlaku segera. Penipu menunggu pengguna membuat deposit jumlah yang lebih besar kemudian, sebelum mengaktifkan fungsi pindah secara jarak jauh. Pengguna tidak melihat sebarang anomali segera, menganggap secara salah bahawa "ujiannya selamat," dan meneruskan untuk membuat deposit dana tambahan kemudian.
4. Tidak Diperlukan Frasa Benih untuk Mencuri Setelah pengguna menandatangani persetujuan jahat, penipu tidak lagi memerlukan frasa benih, kunci peribadi, atau kata laluan log masuk. Mereka boleh memanggil kontrak secara langsung melalui persetujuan tersebut untuk memindahkan aset tertentu keluar dari dompet. Pengguna yakin teguh bahawa "jika frasa benih saya tidak bocor, saya tidak boleh di-hack," dengan mengabaikan risiko pada lapisan persetujuan.

🛡️ Strategi Pertahanan Inti: Mendefinisikan Semula Apa itu "Keselamatan"

Kes ini membatalkan pemahaman banyak orang terhadap keselamatan. Keselamatan sejati melibatkan bukan sahaja melindungi frasa benih anda tetapi juga melindungi setiap tanda tangan dan persetujuan yang anda buat.

Peraturan Satu: Semak Semula Risiko "Pindahan Ujian"

  • Peraturan Utama: Jangan memindai kod QR asing secara sembarangan atau menandatangani persetujuan asing hanya untuk "uji coba." Penipu memanfaatkan mentaliti "jumlah kecil = bukan perkara besar" untuk menipu anda agar memberikan persetujuan.
  • Amalan yang Betul:
    • Jika pihak lain meminta pindah ujian, minta mereka untuk memberikan alamat teks biasa, lalu anda salin dan tampal secara manual untuk menghantar pindah ujian kecil, bukan dengan memindai kod QR.
    • Atau, minta pihak lain untuk menghantar pindahan ujian kecil terlebih dahulu. Selepas mengesahkan ia betul, anda boleh menghantar jumlah besar.

Peraturan Dua: Sentiasa Semak Kebenaran Permis dengan Perkataan demi Perkataan

  • Peraturan utama: Setiap permintaan "benarkan", "tandatangani", atau "kuasakan" yang muncul di dompet anda boleh menjadi pendahulu kepada pencurian aset.
  • Amalan yang Betul:
    • Baca dengan teliti butiran persetujuan, terutamanya "had perbelanjaan." Persetujuan biasa sepatutnya dibatasi kepada "jumlah transaksi." Jika ia menunjukkan "tanpa had" atau nombor yang sangat besar, itu adalah tanda bahaya.
    • Semak sama ada sasaran persetujuan (alamat kontrak) sepadan dengan alamat rasmi yang diketahui.
    • Jangan pernah menandatangani persetujuan yang tidak anda fahami.

Peraturan Tiga: Semak dan Cabut Kebenaran yang Tidak Digunakan Secara Berkala

  • Peraturan Utama: Kontrak yang pernah anda setujui di masa lalu sentiasa boleh menjadi sumber risiko di masa depan.
  • Amalan yang Betul:
    • Gunakan alat pengesanan persetujuan blok rantai secara berkala (contohnya, Revoke.cash, ciri pengurusan persetujuan Rabby Wallet) untuk memeriksa semua persetujuan kontrak pada alamat dompet anda.
    • Segera cabut sebarang persetujuan yang tidak lagi digunakan atau datang dari sumber yang tidak dikenali.
    • Catatan Khas: Mengesahkan bahawa tiada "kebenaran" pada rangkaian TRON (TRC) hanya mencerminkan keadaan semasa anda, bukan bahawa anda tidak akan ditipu untuk memberikan kebenaran di masa depan.

Peraturan Empat: Tetapkan Pemisahan antara "Dompet Perdagangan" dan "Dompet Simpanan"

  • Peraturan Utama: Dompet sejuk bukanlah kotak keselamatan yang tak terkalahkan. Sekali anda menandatangani persetujuan jahat, walaupun dompet sejuk tidak dapat menahan.
  • Amalan yang Betul:
    • Dompet Simpanan: Jangan pernah melakukan sebarang transaksi aktif. Gunakan ia hanya untuk menerima dan memegang aset dalam jangka panjang. Frasa benihnya tidak pernah menyentuh internet, dan ia tidak pernah digunakan untuk menandatangani sebarang persetujuan.
    • Dompet Dagang: Simpan hanya jumlah dana kecil untuk transaksi harian. Sekiranya dompet ini diserang akibat persetujuan yang ditandatangani, kerugian tetap berada dalam lingkup yang terkawal.

🚨 Jika Anda Mencurigai Bahawa Anda Telah Menandatangani Kebenaran Berbahaya atau Menemui Pencurian

Situasi Langkah-Langkah Respons Keadaan Darurat
Diduga anda baru sahaja menandatangani persetujuan jahat 1. Cabut Persetujuan Segera: Gunakan alat seperti Revoke.cash untuk mencari dan mencabut persetujuan kontrak yang mencurigakan.
2. Pindah Aset Anda: Kirim segera semua aset dari dompet tersebut ke alamat dompet baru yang belum pernah menandatangani persetujuan untuk kontrak jahat tersebut.
3. Tinggalkan Dompet Lama: Alamat dompet itu telah "tercemar" dan tidak sepatutnya digunakan semula untuk menyimpan dana.
Aset telah dicuri 1. Simpan Semua Bukti: Rekod hash transaksi (TxID), alamat penipu, alamat dompet yang terlibat, dan sebarang rekod persetujuan yang anda tandatangani.
2. Berhenti Menggunakan Dompet Itu: Jangan deposit dana lagi ke alamat dompet tersebut.
3. Laporan Polis Segera: Bawa semua bukti kepada penguasa undang-undang tempatan anda dan buat laporan.
4. Beri amaran kepada orang lain dalam komuniti: Kongsi pengalaman anda untuk membantu lebih ramai orang memahami jenis penipuan baru ini.

💎 Kesimpulan: Kebenaran Adalah Garis Pertahanan Yang Lebih Tersembunyi Daripada Frasa Benih

Frasa benih anda mewakili "kepemilikan" dompet anda, manakala persetujuan mewakili "hak penggunaan" dompet anda. Banyak pengguna menjaga frasa benih mereka dengan sangat berhati-hati tetapi ceroboh terhadap permintaan persetujuan.
 
Masukkan konsep baru ini ke dalam kerangka keselamatan anda:
 
Melindungi frasa benih anda menjamin kepemilikan aset anda. Melindungi setiap persetujuan mencegah orang lain menggunakan aset anda.
Ingat pelajaran dari kes ini: Walaupun dengan transaksi secara langsung, walaupun dengan frasa benih yang ditulis tangan, walaupun tanpa mengklik sebarang pautan — satu pindaan kod QR yang ceroboh sahaja sudah cukup untuk mengosongkan dompet sejuk anda pada esok harinya. Keselamatan tidak pernah tentang jalan pintas; ia memerlukan kewaspadaan berterusan dan kebiasaan yang betul.
 
 

Disclaimer: The information on this page may come from third parties and does not necessarily reflect KuCoin’s views. It is provided for general reference only and should not be interpreted as financial or investment advice.

Virtual asset investments may involve risk. Please carefully assess the product risks and your own risk tolerance. For more information, please refer to our Terms of Use and Risk Disclosure.