KuCoin Learn
ВойтиЗарегистрироваться

Кошелек с холодным хранением взломан? Разоблачение мошенничества с «тестовым переводом»

НачинающийПоследнее обновление June 3, 2026
Безопасность учетной записи для криптовалюты
Cold Wallet Breached? Unmasking the "Test Transfer" Approval Scam
Многие инвесторы считают, что если они используют холодный кошелек, вручную записывают seed-фразу, никогда не кликают подозрительные ссылки и не сканируют неизвестные QR-коды, их активы полностью безопасны. Однако существует новый, высокоцелевой вид мошенничества, специально разработанный для эксплуатации таких «сознательных пользователей безопасности». В этой статье на основе реального случая разбирается, как мошенники используют психологическую ловушку «маленького тестового перевода», чтобы обойти все традиционные защиты и украсть активы из кошельков, которые пользователи считают высоко защищенными.

🔍 Кейс: Ловушка одобрения во время личной транзакции

Следующий случай является реальным и широко обсуждаемым в сообществе. Жертва использовала кошелек Bitpie и считала, что предприняла все необходимые меры безопасности, но всё равно потеряла свои средства.
 
Элемент Подробности
Ситуация жертвы Использовал кошелек Bitpie с ручной физической копией seed-фразы, никогда не хранил его в интернете; никогда не кликал на ссылки одобрения; никогда не сканировал подозрительные QR-коды или не взаимодействовал с подозрительными ссылками одобрения до этой транзакции; подтвердил в сети TRON (TRC), что никакие разрешения на кошелек не были установлены.
Контрагент транзакции Покупатель B хотел приобрести U (USDT) у жертвы A.
Хронология инцидента 1. Этап тестового перевода: B попросил A сначала отправить тестовый перевод на 10 USDT, утверждая, что это «чтобы избежать отправки на неправильный адрес при крупном переводе позже». A, считая сумму незначительной и полагая, что транзакция происходит лично, отсканировал QR-код B и завершил перевод.
2. Формальная фаза транзакции: После успешного прохождения теста A получил наличные от B, а затем перевёл оставшиеся USDT на адрес, предоставленный B.
3. Тихий период: В кошельке в то время не было обнаружено аномалий. A считал, что транзакция прошла успешно.
4. Кража: на следующий день, после того как A перевел дополнительные средства на тот же холодный кошелек, активы были мгновенно и полностью изъяты.
Критическая уязвимость Когда A отсканировал QR-код для «тестового перевода», они непреднамеренно подписали вредоносное согласие на контракт. Это согласие не касалось 10 USDT, отправленных в тот момент, а предоставило мошеннику право перемещать любую сумму USDT из этого кошелька в будущем.

🎭 Глубокий анализ мошенничества: Смертельная ловушка за «тестовым переводом»

Суть этой мошеннической схемы заключается в использовании непонимания пользователями безопасности «маленьких тестовых переводов» и слепого доверия к QR-кодам.
 
Этап мошенничества Метод и механизм Распространенные слепые зоны для жертв
1. Выдача себя за покупателя Мошенник выдает себя за «реального покупателя», даже встречается лично, чтобы завоевать доверие. Он утверждает, что ему нужен «небольшой тестовый перевод, чтобы избежать отправки на неправильный адрес». Верить, что оффлайн-транзакции равны безопасности; верить, что даже если небольшой тест пройдет неудачно, потери будут ограниченными.
2. Вредоносный QR-код QR-код был не простым адресом кошелька. Он содержал вредоносный запрос на взаимодействие или одобрение контракта. При сканировании кошелек запрашивает у пользователя подписать или одобрить. Пользователь ошибочно считает, что сканирование QR-кода то же самое, что просто ввод адреса, и не внимательно читает разрешения на одобрение, отображаемые кошельком.
3. Механизм с задержкой срабатывания Злоумышленное разрешение не активируется сразу. Мошенник ждет, пока пользователь внесет большую сумму позже, а затем удаленно активирует функцию перевода. Пользователь не замечает никаких немедленных аномалий, ошибочно считает, что «тест безопасен», и позже совершает дополнительный депозит.
4. Для кражи не нужна seed-фраза После того как пользователь подпишет вредоносное разрешение, мошеннику больше не нужна seed-фраза, приватный ключ или пароль для входа. Они могут напрямую вызвать контракт через это разрешение, чтобы перевести определенные активы из кошелька. Пользователь твердо уверен, что «если моя seed-фраза не была раскрыта, меня нельзя взломать», игнорируя риски на уровне одобрения.

🛡️ Основная стратегия защиты: Переопределение понятия «безопасность»

Этот случай меняет представление многих людей о безопасности. Настоящая безопасность включает не только защиту вашей seed-фразы, но и защиту каждой подписи и одобрения, которые вы даете.

Правило один: Пересмотрите риски «тестовых переводов»

  • Главное правило: не сканируйте подозрительные QR-коды и не подтверждайте неизвестные разрешения даже для «теста». Мошенники используют мышление «маленькая сумма — не большая проблема», чтобы обманом заставить вас выдать разрешения.
  • Правильные практики:
    • Если другая сторона запрашивает тестовый перевод, попросите её предоставить адрес в виде обычного текста, а затем вручную скопируйте и вставьте его, чтобы отправить небольшой тестовый перевод, вместо сканирования QR-кода.
    • В качестве альтернативы попросите другую сторону сначала отправить вам небольшой тестовый перевод. После подтверждения его корректности вы сможете отправить большую сумму.

Правило два: всегда проверяйте разрешения на утверждение посимвольно

  • Главное правило: любое запрос на «одобрение», «подпись» или «авторизацию», который появляется в вашем кошельке, может быть предвестником кражи активов.
  • Правильные практики:
    • Внимательно изучите детали одобрения, особенно «лимит расходов». Обычное одобрение должно быть ограничено «суммой транзакции». Если указано «без ограничений» или чрезвычайно большое число, это красный флаг.
    • Проверьте, соответствует ли целевой адрес одобрения (адрес контракта) известному официальному адресу.
    • Никогда не подтверждайте разрешение, которое вы не понимаете.

Правило три: регулярно проверяйте и отменяйте неиспользуемые разрешения

  • Главное правило: Контракты, которые вы ранее одобрили, всегда могут стать источником риска в будущем.
  • Правильные практики:
    • Регулярно используйте инструменты обнаружения одобрений блокчейна (например, Revoke.cash, функция управления одобрениями Rabby Wallet), чтобы проверить все одобрения контрактов на вашем адресе кошелька.
    • Немедленно отмените все разрешения, которые больше не используются или поступили из неизвестных источников.
    • Особое примечание: Подтверждение отсутствия «разрешений» в сети TRON (TRC) отражает только ваше текущее состояние, а не то, что вы не сможете быть обмануты и предоставить разрешение в будущем.

Правило четыре: Разделите «Торговый кошелек» и «Кошелек для хранения»

  • Главное правило: холодный кошелек — это не непробиваемый сейф. Как только вы подпишете вредоносное разрешение, даже холодный кошелек не сможет сопротивляться.
  • Правильные практики:
    • Хранилищный кошелек: Не выполняйте никаких активных транзакций. Используйте его только для получения и долгосрочного хранения активов. Его seed-фраза никогда не подключается к интернету и не используется для подписи каких-либо разрешений.
    • Торговый кошелек: храните только небольшую сумму средств для ежедневных транзакций. Даже если этот кошелек будет скомпрометирован из-за подписанного разрешения, потери останутся в контролируемом диапазоне.

🚨 Если вы подозреваете, что подписали вредоносное разрешение, или обнаружили кражу

Ситуация Этапы экстренного реагирования
Подозреваете, что вы только что подписали вредоносное разрешение 1. Немедленно отмените разрешение: используйте инструмент, такой как Revoke.cash, чтобы найти и отменить разрешение подозрительного контракта.
2. Переведите свои активы: немедленно отправьте все активы с этого кошелька на совершенно новый адрес кошелька, который никогда не подтверждал разрешение для этого вредоносного контракта.
3. Откажитесь от старого кошелька: этот адрес кошелька был «заражён» и больше никогда не должен использоваться для хранения средств.
Активы уже были украдены 1. Сохраните все доказательства: зафиксируйте хеш транзакции (TxID), адрес мошенника, адреса кошельков, участвовавших в операции, и все подписанные вами записи о согласии.
2. Перестаньте использовать этот кошелек: не вносите больше средств на этот адрес кошелька.
3. Немедленно подайте заявление в полицию: предоставьте все доказательства местным правоохранительным органам и подайте заявление.
4. Предупредите других в сообществе: поделитесь своим опытом, чтобы помочь большему числу людей понять этот новый вид мошенничества.

💎 Вывод: Разрешения — это более скрытая линия защиты, чем seed-фраза

Ваша seed-фраза представляет «владение» вашим кошельком, в то время как разрешения представляют «права на использование» вашего кошелька. Многие пользователи берегут свою seed-фразу с крайней осторожностью, но небрежно относятся к запросам на разрешения.
 
Включите эту новую концепцию в свою систему безопасности:
 
Защита вашей seed-фразы обеспечивает владение вашими активами. Защита каждого одобрения препятствует использованию ваших активов другими.
Запомните урок из этого случая: даже при личной сделке, даже при ручной записи seed-фразы, даже без кликов по ссылкам — одного невнимательного сканирования QR-кода для подтверждения достаточно, чтобы ваш холодный кошелек опустел на следующий день. Безопасность никогда не зависит от упрощений; она требует постоянной бдительности и правильных привычек.
 
 

Disclaimer: The information on this page may come from third parties and does not necessarily reflect KuCoin’s views. It is provided for general reference only and should not be interpreted as financial or investment advice.

Virtual asset investments may involve risk. Please carefully assess the product risks and your own risk tolerance. For more information, please refer to our Terms of Use and Risk Disclosure.