KuCoin Learn
Giriş YapKaydol

Soğuk Cüzdan Sızdı mı? “Test Transfer” Onayı Dolandırıcılığını Ortaya Çıkarıyoruz

BaşlangıçSon Güncelleme June 3, 2026
Kripto Para Hesap Güvenliği
Cold Wallet Breached? Unmasking the "Test Transfer" Approval Scam
Birçok yatırımcı, soğuk cüzdan kullanıp anahtar cümlesini elle yazıp şüpheli bağlantıları asla tıklamadığı ve bilinmeyen QR kodlarını asla taramadığı sürece varlıklarının tamamen güvenli olduğuna inanır. Ancak, bu "güvenlik bilincine sahip" kullanıcıları hedef almak üzere özel olarak tasarlanmış yeni bir dolandırıcılık türü mevcuttur. Bu makale, dolandırıcıların, kullanıcıların çok güvenli olduğuna inandığı cüzdanlardan varlıkları çalmak için "küçük bir test transferi" psikolojik tuzağını nasıl kullandığını gerçek bir vaka üzerinden inceler.

🔍 Vaka Çalışması: Kişisel Bir İşlem Sırasında Onay Tuzağı

Aşağıda, toplulukta geniş çapta tartışılan gerçek bir vaka yer almaktadır. Mağdur, Bitpie cüzdanını kullanmış ve gerekli tüm güvenlik önlemlerini aldığını düşünmüştür, ancak hala fonlarını kaybetmiştir.
 
Öğe Ayrıntılar
Mağdurun Durumu Anahtar cümlesinin el yazısıyla fiziksel bir yedeğini kullanan bir Bitpie cüzdanı kullanıldı; hiçbir zaman çevrimiçi olarak saklanmadı; hiçbir zaman onay bağlantılarına tıklanmadı; bu işlemden önce şüpheli QR kodları taranmadı veya şüpheli onay bağlantılarıyla etkileşim kurulmadı; TRON ağında (TRC) cüzdan onaylarının bulunmadığı doğrulandı.
İşlem Karşı Tarafı Alıcı B, Mağdur A'dan U (USDT) satın almak istedi.
Olay Zaman Çizelgesi 1. Test Transfer Aşaması: B, A'ya büyük transferden sonra yanlış adrese göndermeyi önlemek için önce 10 USDT'lik bir test transferi yapmasını istedi. A, miktarın çok küçük olduğunu ve işlemin yüz yüze gerçekleştiğini düşünerek B'nin QR kodunu taradı ve transferi tamamladı.
2. Resmi İşlem Aşaması: Test başarılı olduktan sonra, A, B'den nakit aldı ve ardından kalan USDT'yi B'nin sağladığı adrese transfer etti.
3. Sessiz Periyot: O sırada cüzdanında herhangi bir anormallik tespit edilmedi. A, işlemin sorunsuz şekilde tamamlandığını düşündü.
4. Hırsızlık: A, bir sonraki gün aynı soğuk cüzdana daha fazla fon aktardıktan hemen sonra varlıklar tamamen ve hemen boşaltıldı.
Kritik Güvenlik Açığı A, "test transfer" için QR kodunu taradığında, bilinçsizce zararlı bir sözleşme onayı imzaladı. Bu onay, o anda gönderilen 10 USDT için değil, gelecekte bu cüzdanından herhangi bir miktar USDT hareket ettirme yetkisini dolandırıcıya verdi.

🎭 Dolandırıcılığın Derinlemesine İncelenmesi: “Test Transferi” Ardındaki Ölümcül Tuzağın

Bu dolandırıcılığın çekirdeği, kullanıcıların "küçük test transferleri" güvenliği konusundaki yanlış anlayışını ve QR kodlarına olan kör güvenini kullanmaktır.
 
Sahtekarlık Aşaması Yöntem ve Mekanizma Mağdurların Sık Karşılaşılan Gözden Kaçırılan Noktaları
1. Bir Alıcı Gibi Davranmak Sahtekâr, güven kazanmak için "gerçek bir alıcı" olarak davranır ve hatta kişisel olarak bir araya gelir. "Yanlış adrese göndermemek için küçük bir test transferi yapmam gerekiyor" der. Yüz yüze işlemlerin güvenli olduğunu düşünmek; küçük bir test yanlış giderse kaybın sınırlı olduğunu düşünmek.
2. Zararlı QR kodu QR kodu basit bir cüzdan adresi değildi. Zararlı bir sözleşme etkileşimi veya onay isteğini kodluyordu. Tarandığında, cüzdan kullanıcıdan "imzalamayı" veya "onaylamayı" istiyor. Kullanıcı, bir QR kodunu taraymanın sadece bir adresi girmekle aynı şey olduğuna yanlışlıkla inanıyor ve cüzdan tarafından gösterilen onay izinlerini dikkatlice okumuyor.
3. Gecikmeli Tetikleme Mekanizması Kötü niyetli onay hemen tetiklenmez. Sahtekâr, kullanıcı daha sonra daha büyük bir miktar yatırana kadar bekler ve ardından uzaktan transfer fonksiyonunu etkinleştirir. Kullanıcı herhangi bir anormal durum gözlemlemiyor, "testin güvenli olduğunu" yanlışça düşünüyor ve daha sonra daha fazla fon yatırıyor.
4. Hırsızlık İçin Anahtar Cümle Gerekli Değil Kullanıcı zararlı onayı imzaladığında, sahtekâr artık anahtar cümleye, özel anahtara veya giriş şifresine ihtiyaç duymaz. Bu onay aracılığıyla cüzdanından belirli varlıkları transfer etmek için doğrudan sözleşmeyi çağırabilir. Kullanıcı, "anahtar cümlem sızmadıkça, beni ele geçiremezler" inancıyla sabittir ve onay katmanındaki riskleri görmezden gelir.

🛡️ Temel Savunma Stratejisi: "Güvenlik" Kavramını Yeniden Tanımlamak

Bu durum, birçok kişinin güvenlik konusundaki anlayışını değiştiriyor. Gerçek güvenlik, anahtar cümlenizi korumakla kalmaz, aynı zamanda yaptığınız her imza ve onayı da korur.

Kural Bir: "Test Transferleri" Risklerini Yeniden Değerlendirin

  • Kardinal Kural: Bilinmeyen QR kodlarını veya "test" amaçlı bilinmeyen onayları kolayca tarayın veya onaylamayın. Sahtekarlar, "küçük miktar = büyük bir şey değil" mantığını kullanarak size onaylar vermesi için kandırır.
  • Doğru Uygulamalar:
    • Eğer karşı taraf bir test transferi talep ederse, size düz metin şeklinde bir adres vermesini isteyin ve QR kodu tarayarak değil, manuel olarak kopyalayıp yapıştırarak küçük bir test transferi gönderin.
    • Alternatif olarak, diğer tarafa küçük bir test transferi göndermesini isteyin. Doğruladıktan sonra büyük miktarı gönderebilirsiniz.

Kural İki: Onay İzinlerini Karakter Karakter Her Zaman Doğrulayın

  • Kardinal Kural: Cüzdanınızın gösterdiği her "onayla", "imzala" veya "yetkilendir" isteği, varlıklarınızın çalınmasına öncülük edebilir.
  • Doğru Uygulamalar:
    • Onay ayrıntılarını dikkatlice okuyun, özellikle "harcama sınırı"nı. Normal bir onay, "işlem miktarına" sınırlı olmalıdır. Eğer "sınırsız" veya çok büyük bir sayı gösteriyorsa, bu bir kırmızı işaret tir.
    • Onay hedefinin (kontrat adresi) bilinen resmi bir adrese uyup uymadığını kontrol edin.
    • Anlamadığınız bir onay imzalamayın.

Kural Üç: Düzenli olarak kullanılmayan onayları iptal edin

  • Önemli Kural: Geçmişte onayladığınız sözleşmeler, gelecekte her zaman bir risk kaynağı olabilir.
  • Doğru Uygulamalar:
    • Cüzdan adresinizdeki tüm sözleşme onaylarını kontrol etmek için blok zinciri onay tespit araçlarını (örneğin, Revoke.cash, Rabby Cüzdanı'nın onay yönetimi özelliği) düzenli olarak kullanın.
    • Kullanılmayan veya bilinmeyen kaynaklardan gelen tüm onayları hemen iptal edin.
    • Özel Not: TRON ağındaki (TRC) "onaylar yok" durumunun doğrulanması, mevcut durumunuzu yansıtır, gelecekte onay vermenize neden olabilecek bir hileye karşı garanti vermez.

Kural Dört: "İşlem Cüzdanı" ve "Depolama Cüzdanı" ayrımı yapın

  • Temel Kural: Soğuk cüzdan, sonsuz bir güvenli kutu değildir. Zararlı bir onay imzaladığınızda, soğuk cüzdan bile direnemez.
  • Doğru Uygulamalar:
    • Depolama Cüzdanı: Aktif işlemler yapmayın. Sadece varlıklar almak ve uzun vadeli tutmak için kullanın. Anahtar cümlesi hiçbir zaman internete temas etmez ve hiçbir onay imzalamak için kullanılmaz.
    • İşlem Cüzdanı: Günlük işlemler için yalnızca küçük bir miktar fon tutun. Bu cüzdan, imzalı bir onay nedeniyle tehlikeye girmiş olsa bile, kayıp kontrol altındaki bir aralıkta kalır.

🚨 Zararlı bir onay imzaladığınızı düşünüyorsanız veya bir hırsızlık fark ederseniz

Durum Acil Müdahale Adımları
Kötü niyetli bir onay imzaladığınızı düşünüyorsunuz 1. Onayı Hemen İptal Edin: Şüpheli sözleşmenin onayını bulmak ve iptal etmek için Revoke.cash gibi bir araç kullanın.
2. Varlıklarınızı Transfer Edin: Bu zararlı sözleşmeye hiç onay verilmemiş olan tamamen yeni bir cüzdan adresine tüm varlıkları hemen gönderin.
3. Eski Cüzdanı Bırakın: Bu cüzdan adresi "kirlenmiş" olup, artık fon saklamak için asla kullanılmamalıdır.
Varlıklar zaten çalındı 1. Tüm Kanıtları Koruyun: İşlem hash'ini (TxID), dolandırıcının adresini, ilgili cüzdan adreslerini ve imzaladığınız tüm onay kayıtlarını kaydedin.
2. O Cüzdanı Kullanmayı Bırakın: Bu cüzdan adresine daha fazla fon yatırmayın.
3. Hemen Bir Polis Raporu Doldurun: Tüm kanıtları yerel güvenlik güçlerine getirin ve bir rapor oluşturun.
4. Topluluktaki Diğerlerini Uyarın: Bu yeni tür dolandırıcılığı daha fazla kişinin anlamasına yardımcı olmak için deneyiminizi paylaşın.

💎 Sonuç: Onaylar, anahtar cümlelerden daha gizli bir savunma hattıdır

Anahtar cümleniz cüzdanınızın "sahipliğini" temsil ederken, onaylar cüzdanınızın "kullanım haklarını" temsil eder. Birçok kullanıcı anahtar cümlelerini çok dikkatli korurken, onay taleplerine dikkatsiz davranır.
 
Güvenlik çerçevenize bu yeni kavramı dahil edin:
 
Anahtar cümlenizi korumak, varlıklarınızın sahipliğini güvence altına alır. Her onayın korunması, başkalarının varlıklarınızı kullanmasını önler.
Bu durumdan ders çıkarın: Hatta fiziksel bir işlemle, el yazısıyla yazılmış bir anahtar cümleyle, hiçbir bağlantıya tıklamadan bile — bir QR kodu onayının dikkatsizce taranması, soğuk cüzdanınızı bir sonraki gün boşaltmak için yeterlidir. Güvenlik asla kolay yollara izin vermez; sürekli dikkat ve doğru alışkanlıklar gerektirir.
 
 

Disclaimer: The information on this page may come from third parties and does not necessarily reflect KuCoin’s views. It is provided for general reference only and should not be interpreted as financial or investment advice.

Virtual asset investments may involve risk. Please carefully assess the product risks and your own risk tolerance. For more information, please refer to our Terms of Use and Risk Disclosure.