KuCoin Learn
УвійтиЗареєструватися

Проникнення до холодного гаманця? Розголошення скаму «тестовий переказ»

ПочатківціОстаннє оновлення June 3, 2026
Безпека рахунку криптовалюти
Cold Wallet Breached? Unmasking the "Test Transfer" Approval Scam
Багато інвесторів вважають, що доти, поки вони використовують холодний гаманець, ручним способом записують свою seed-фразу, ніколи не клікають підозрілі посилання та не сканують невідомі QR-коди, їхні активи повністю безпечні. Однак існує новий, дуже цільовий вид обману, створений саме для експлуатації користувачів, які турбуються про безпеку. У цій статті на основі реального випадку розбирається, як шахраї використовують психологічну пастку «малого тестового переказу», щоб обійти всі традиційні заходи захисту та вкрасти активи з гаманців, які користувачі вважають надзвичайно безпечними.

🔍 Випадок з практики: Пастка схвалення під час особистої угоди

Наведений нижче випадок є реальним і широко обговорюється в спільноті. Жертва використовувала гаманець Bitpie і вважала, що вжила всі необхідні заходи безпеки, але все одно втратила свої кошти.
 
Елемент Деталі
Ситуація жертви Використовував гаманець Bitpie з ручною фізичною копією seed-фрази, ніколи не зберігав онлайн; ніколи не натискав жодні посилання на схвалення; раніше ніколи не сканував підозрілі QR-коди чи не взаємодіяв з підозрілими посиланнями на схвалення; підтвердив у мережі TRON (TRC), що в гаманці не було активних схвалень.
Контрагент транзакції Покупець B хотів купити U (USDT) у жертви A.
Хронологія інциденту 1. Фаза тестового переказу: B попросив A спочатку надіслати тестовий переказ на 10 USDT, стверджуючи, що це «щоб уникнути відправлення на неправильну адресу під час великої транзакції пізніше». A, вважаючи, що сума мала і транзакція відбувається особисто, відсканував QR-код B і завершив переказ.
2. Формальна фаза транзакції: Після успішного тесту A отримав готівку від B, а потім перевів залишок USDT на адресу, надану B.
3. Період спокою: На той момент не було виявлено ніяких аномалій у гаманці. А вважав, що транзакція пройшла успішно.
4. Крадіжка: наступного дня, після того як A перевів додаткові кошти на той самий холодний гаманець, активи були миттєво і повністю виведені.
Критична вразливість Коли А просканував QR-код для «тестового переказу», вони ненавмисно підписали шкідливий дозвіл на контракт. Цей дозвіл стосувався не 10 USDT, які надіслані в той момент, а надав скамеру право переміщувати будь-яку суму USDT з цього гаманця у майбутньому.

🎭 Глибокий огляд обману: Смертельна пастка за «тестовим переказом»

Суть цієї шахрайської схеми полягає у використанні непорозуміння користувачів щодо безпеки «невеликих тестових переказів» та сліпої віри у QR-коди.
 
Етап обману Метод і механізм Поширені сліді для жертв
1. Видача себе за покупця Шахрай видає себе за «реального покупця», навіть зустрічається особисто, щоб збудувати довіру. Вони стверджують, що їм потрібен «невеликий тестовий переказ, щоб уникнути надсилання на неправильну адресу». Вірити, що особисті транзакції означають безпеку; вірити, що навіть якщо невеликий тест виявиться невдалим, збитки обмежені.
2. Шкідливий QR-код QR-код не був просто адресою гаманця. Він містив шкідливий запит на взаємодію з контрактом або на схвалення. При скануванні гаманець запитує користувача «підписати» або «схвалити». Користувач помилково вважає, що сканування QR-коду — це те саме, що просто введення адреси; він не уважно читає дозволи на схвалення, які відображає гаманець.
3. Механізм затриманого тригера Шкідливе схвалення не активується негайно. Шахрай чекає, поки користувач здійснить більший депозит, а потім віддалено активує функцію переказу. Користувач не бачить ніяких відразу помітних аномалій, помилково вважає, що «тест безпечний», і пізніше здійснює додатковий депозит.
4. Для крадіжки не потрібна seed-фраза Після того як користувач підпише шкідливе дозволення, шахраї більше не потребують seed-фрази, приватного ключа чи пароля для входу. Вони можуть безпосередньо викликати контракт через це дозволення, щоб здійснити переказ певних активів з гаманця. Користувач переконаний, що «якщо моя seed-фраза не втекла, мене не можуть взломати», ігноруючи ризики на рівні схвалення.

🛡️ Основна стратегія захисту: Перевизначення того, що означає «безпека»

Цей випадок змінює розуміння безпеки багатьох людей. Справжня безпека передбачає не лише захист вашої seed-фрази, а й захист кожної підпису та схвалення, які ви здійснюєте.

Правило один: Перегляньте ризики «тестових переказів»

  • Головне правило: не скануйте невідомі QR-коди та не підписуйте невідомі схвалення навіть для «тесту». Шахраї використовують ментальність «мала сума = не велика справа», щоб обманом отримати ваше схвалення.
  • Правильні практики:
    • Якщо інша сторона запитує тестовий переказ, попросіть їх надати адресу у звичайному текстовому форматі, а потім вручну скопіюйте та вставте її, щоб надіслати невеликий тестовий переказ, а не сканувати QR-код.
    • Альтернативно попросіть іншу сторону спочатку надіслати вам невеликий тестовий переказ. Після підтвердження його правильності ви зможете надіслати велику суму.

Друге правило: завжди перевіряйте дозволи на схвалення символ за символом

  • Головне правило: Будь-який запит на «підтвердження», «підпис» або «авторизацію», який з’являється у вашому гаманці, може бути передвісником крадіжки активів.
  • Правильні практики:
    • Уважно прочитайте деталі схвалення, зокрема «ліміт витрат». Звичайне схвалення має бути обмежене «сумою транзакції». Якщо вказано «безлімітно» або надзвичайно велике число, це є тривожним сигналом.
    • Перевірте, чи відповідає ціль дозволу (адреса контракту) відомій офіційній адресі.
    • Ніколи не підписуйте дозвіл, якщо не розумієте його.

Правило три: регулярно перевіряйте та скасовуйте невикористані дозволи

  • Головне правило: Контракти, які ви раніше затвердили, завжди можуть стати джерелом ризику в майбутньому.
  • Правильні практики:
    • Регулярно використовуйте інструменти виявлення схвалень блокчейну (наприклад, Revoke.cash, функція управління схваленнями Rabby Wallet), щоб перевірити всі схвалення контрактів на вашій адресі гаманця.
    • Негайно скасуйте всі дозволи, які більше не використовуються або походять із невідомих джерел.
    • Особлива заувага: Підтвердження того, що на мережі TRON (TRC) немає «дозволів», відображає лише ваш поточний стан, а не те, що ви не зможете бути обмануті та надати дозвіл у майбутньому.

Правило чотири: Розділіть «Торговельний гаманець» і «Гаманець для зберігання»

  • Головне правило: холодний гаманець — це не незламний сейф. Після підписання шкідливого дозволу навіть холодний гаманець не зможе запобігти.
  • Правильні практики:
    • Схований гаманець: Не виконуйте жодних активних транзакцій. Використовуйте його лише для отримання та довгострокового зберігання активів. Його seed-фраза ніколи не підключається до інтернету і ніколи не використовується для підписання будь-яких схвалень.
    • Торгівельний гаманець: зберігайте лише невелику суму коштів для щоденних транзакцій. Навіть якщо цей гаманець буде скомпрометовано через підписаний дозвіл, збитки залишаться в межах контролю.

🚨 Якщо ви підозрюєте, що підписали шкідливий дозвіл або виявили крадіжку

Ситуація Кроки екстреної відповіді
Ймовірно, ви тільки що підписали шкідливий дозвіл 1. Негайно скасуйте дозвіл: використовуйте інструмент, наприклад Revoke.cash, щоб знайти та скасувати дозвіл підозрілого контракту.
2. Перекажіть свої активи: Негайно надішліть усі активи з цього гаманця на нову адресу гаманця, яка ніколи не підтверджувала дозвіл для цього шкідливого контракту.
3. Відмовіться від старого гаманця: ця адреса гаманця була «захворіла» і ніколи більше не повинна використовуватися для зберігання коштів.
Активи вже були вкрадені 1. Зберігайте всі докази: запишіть хеш транзакції (TxID), адресу шахрая, адреси гаманців, що брали участь, та будь-які записи про схвалення, які ви підписали.
2. Припиніть використання цього гаманця: не робіть більше депозитів на цю адресу гаманця.
3. Негайно подайте заяву до поліції: принесіть усі докази до місцевих правоохоронних органів та подайте заяву.
4. Попередьте інших у спільноті: поділіться своїм досвідом, щоб допомогти більшій кількості людей зрозуміти цей новий вид обману.

💎 Висновок: Дозволи є більш прихованою лінією захисту, ніж seed-фраза

Ваша seed-фраза позначає «власність» вашого гаманця, тоді як схвалення — це «права на використання» вашого гаманця. Багато користувачів дуже обережно зберігають свої seed-фрази, але неуважно ставляться до запитів на схвалення.
 
Включіть цей новий концепт у свою систему безпеки:
 
Захист вашої seed-фрази забезпечує власність на ваші активи. Захист кожної схвалення запобігає використанню ваших активів іншими.
Пам’ятайте урок з цього випадку: навіть при особистій транзакції, навіть зі手описною seed-фразою, навіть без клікання будь-яких посилань — одного необережного сканування QR-коду для схвалення достатньо, щоб наступного дня порожній ваш холодний гаманець. Безпека ніколи не полягає у скороченнях; вона вимагає постійної уваги та правильних звичок.
 
 

Disclaimer: The information on this page may come from third parties and does not necessarily reflect KuCoin’s views. It is provided for general reference only and should not be interpreted as financial or investment advice.

Virtual asset investments may involve risk. Please carefully assess the product risks and your own risk tolerance. For more information, please refer to our Terms of Use and Risk Disclosure.