KuCoin Learn
Đăng nhậpĐăng ký

Ví lạnh bị xâm phạm? Phơi bày chiêu lừa “chuyển thử”

Mới bắt đầuCập nhật lần cuối June 3, 2026
Bảo mật Tài khoản Tiền điện tử
Cold Wallet Breached? Unmasking the "Test Transfer" Approval Scam
Nhiều nhà đầu tư tin rằng chỉ cần họ sử dụng ví lạnh, viết tay cụm từ hạt giống, không bao giờ nhấp vào các liên kết khả nghi và không bao giờ quét mã QR chưa biết, tài sản của họ sẽ hoàn toàn an toàn. Tuy nhiên, một loại lừa đảo mới cực kỳ nhắm mục tiêu đã được thiết kế đặc biệt để khai thác những người dùng "quan tâm đến bảo mật" này. Bài viết này sử dụng một trường hợp thực tế để phân tích cách kẻ lừa đảo tận dụng bẫy tâm lý của "giao dịch thử nghiệm nhỏ" để vượt qua tất cả các biện pháp phòng thủ truyền thống và đánh cắp tài sản từ các ví mà người dùng cho rằng rất an toàn.

🔍 Nghiên cứu tình huống: Bẫy sự chấp thuận trong giao dịch trực tiếp

Đây là một trường hợp thực tế được thảo luận rộng rãi trong cộng đồng. Nạn nhân đã sử dụng ví Bitpie và tin rằng họ đã thực hiện tất cả các biện pháp bảo mật cần thiết, nhưng vẫn mất tiền của mình.
 
Mục Chi tiết
Tình huống của nạn nhân Sử dụng ví Bitpie với bản sao lưu vật lý được ghi tay của cụm từ hạt giống, không bao giờ lưu trữ trực tuyến; không bao giờ nhấp vào bất kỳ liên kết xác nhận nào; chưa từng quét mã QR đáng ngờ hoặc tương tác với bất kỳ liên kết xác nhận đáng ngờ nào trước giao dịch này; đã xác nhận trên mạng TRON (TRC) rằng không có sự chấp thuận nào của ví được thiết lập.
Đối tác giao dịch Người mua B muốn mua U (USDT) từ nạn nhân A.
Mốc thời gian sự cố 1. Giai đoạn chuyển thử: B yêu cầu A gửi trước một khoản chuyển 10 USDT để kiểm tra, tuyên bố rằng đây là "để tránh chuyển nhầm địa chỉ khi thực hiện khoản chuyển lớn sau này." A, nghĩ rằng số tiền rất nhỏ và giao dịch được thực hiện trực tiếp, đã quét mã QR của B và hoàn tất khoản chuyển.
2. Giai đoạn giao dịch chính thức: Sau khi kiểm tra thành công, A nhận tiền mặt từ B và sau đó chuyển số USDT còn lại đến địa chỉ B cung cấp.
3. Thời gian yên lặng: Không phát hiện bất thường nào trong ví vào thời điểm đó. A tin rằng giao dịch đã diễn ra suôn sẻ.
4. Cuộc trộm cắp: Ngày hôm sau, sau khi A chuyển thêm tiền vào ví lạnh đó, tài sản đã bị rút sạch ngay lập tức.
Lỗ hổng nghiêm trọng Khi A quét mã QR cho “chuyển thử,” họ vô tình ký duyệt hợp đồng độc hại. Phép duyệt này không dành cho 10 USDT đang được gửi vào thời điểm đó, mà thay vào đó cấp quyền cho kẻ lừa đảo có thể di chuyển bất kỳ số tiền USDT nào từ ví đó trong tương lai.

🎭 Khám phá sâu về trò lừa đảo: Bẫy chết người đằng sau “chuyển thử”

Hạt nhân của vụ lừa đảo này nằm ở việc khai thác sự hiểu lầm của người dùng về tính an toàn của các khoản chuyển nhỏ để kiểm tra và sự tin tưởng mù quáng vào mã QR.
 
Giai đoạn lừa đảo Phương pháp & Cơ chế Những điểm mù phổ biến của nạn nhân
1. Giả danh người mua Kẻ lừa đảo giả danh là "người mua thật", thậm chí gặp trực tiếp để xây dựng lòng tin. Họ tuyên bố cần một "giao dịch thử nhỏ để tránh gửi nhầm địa chỉ". Tin rằng giao dịch trực tiếp tương đương với sự an toàn; tin rằng ngay cả khi một thử nghiệm nhỏ gặp sự cố, tổn thất cũng bị giới hạn.
2. Mã QR độc hại Mã QR không phải là một địa chỉ ví đơn giản. Nó mã hóa một yêu cầu tương tác hoặc phê duyệt hợp đồng độc hại. Khi quét, ví sẽ yêu cầu người dùng “ký” hoặc “phê duyệt.” Người dùng nhầm tưởng rằng quét mã QR giống như chỉ nhập địa chỉ; họ không đọc kỹ các quyền phê duyệt được hiển thị bởi ví.
3. Cơ chế kích hoạt trễ Sự phê duyệt độc hại không được kích hoạt ngay lập tức. Kẻ lừa đảo chờ người dùng nạp một số tiền lớn hơn sau đó, rồi kích hoạt từ xa chức năng chuyển. Người dùng không phát hiện bất kỳ bất thường nào, nhầm tưởng "bài kiểm tra an toàn" và tiếp tục nạp thêm tiền sau đó.
4. Không cần cụm từ hạt giống để đánh cắp Sau khi người dùng xác nhận phê duyệt độc hại, kẻ lừa đảo không còn cần cụm từ hạt giống, khóa riêng tư hoặc mật khẩu đăng nhập. Họ có thể trực tiếp gọi hợp đồng thông qua phê duyệt đó để chuyển các tài sản cụ thể ra khỏi ví. Người dùng tin chắc rằng "nếu cụm từ hạt giống của tôi không bị rò rỉ, tôi sẽ không bị tấn công," bỏ qua các rủi ro ở lớp phê duyệt.

🛡️ Chiến lược phòng thủ cốt lõi: Tái định nghĩa khái niệm "Bảo mật"

Trường hợp này làm thay đổi cách hiểu của nhiều người về bảo mật. Bảo mật thực sự không chỉ bao gồm việc bảo vệ cụm từ hạt giống của bạn mà còn cả việc bảo vệ mọi chữ ký và sự đồng ý bạn thực hiện.

Quy tắc Một: Đánh giá lại các rủi ro của các "giao dịch thử"

  • Quy tắc then chốt: Đừng quét tùy tiện mã QR chưa biết hoặc xác nhận các yêu cầu chưa biết chỉ để "thử". Kẻ lừa đảo lợi dụng tâm lý "số tiền nhỏ = không đáng lo" để lừa bạn cấp phép.
  • Thực hành đúng:
    • Nếu bên kia yêu cầu chuyển khoản thử nghiệm, hãy yêu cầu họ cung cấp địa chỉ dưới dạng văn bản thuần, sau đó bạn tự sao chép và dán để thực hiện một khoản chuyển nhỏ, thay vì quét mã QR.
    • Hoặc, yêu cầu bên kia gửi cho bạn một khoản chuyển nhỏ để kiểm tra trước. Sau khi xác nhận chính xác, bạn mới tiến hành gửi số tiền lớn.

Quy tắc Hai: Luôn xác minh quyền phê duyệt từng ký tự

  • Quy tắc then chốt: Mọi yêu cầu “cho phép”, “ký” hoặc “phê duyệt” mà ví của bạn hiển thị đều có thể là tiền đề cho hành vi đánh cắp tài sản.
  • Thực hành đúng:
    • Đọc kỹ các chi tiết phê duyệt, đặc biệt là “giới hạn chi tiêu.” Một phép phê duyệt bình thường nên được giới hạn ở “số tiền giao dịch.” Nếu hiển thị “vô hạn” hoặc một con số cực kỳ lớn, đó là dấu hiệu cảnh báo.
    • Kiểm tra xem mục tiêu phê duyệt (địa chỉ hợp đồng) có khớp với địa chỉ chính thức đã biết hay không.
    • Đừng bao giờ xác nhận một yêu cầu mà bạn không hiểu.

Quy tắc ba: Kiểm tra và thu hồi các sự cho phép không sử dụng thường xuyên

  • Quy tắc then chốt: Các hợp đồng bạn đã phê duyệt trong quá khứ luôn có thể trở thành nguồn rủi ro trong tương lai.
  • Thực hành đúng:
    • Sử dụng thường xuyên các công cụ phát hiện phê duyệt blockchain (ví dụ: Revoke.cash, tính năng quản lý phê duyệt của Rabby Wallet) để kiểm tra tất cả các phê duyệt hợp đồng trên địa chỉ ví của bạn.
    • Ngay lập tức thu hồi mọi sự chấp thuận không còn được sử dụng hoặc đến từ các nguồn không rõ ràng.
    • Lưu ý đặc biệt: Việc xác nhận rằng không có "sự phê duyệt nào" trên mạng TRON (TRC) chỉ phản ánh trạng thái hiện tại của bạn, không có nghĩa là bạn sẽ không bị lừa để cấp phép trong tương lai.

Quy tắc Bốn: Tách biệt "Ví Giao dịch" và "Ví Lưu trữ"

  • Quy tắc then chốt: Ví lạnh không phải là một chiếc két an toàn bất khả xâm phạm. Một khi bạn xác nhận một lệnh phê duyệt độc hại, ngay cả ví lạnh cũng không thể chống lại.
  • Thực hành đúng:
    • Ví lưu trữ: Không thực hiện bất kỳ giao dịch nào chủ động. Chỉ sử dụng để nhận và nắm giữ tài sản dài hạn. Cụm từ hạt giống của nó không bao giờ kết nối với internet và không bao giờ được sử dụng để xác nhận bất kỳ phép nào.
    • Ví giao dịch: Chỉ giữ một số tiền nhỏ để thực hiện các giao dịch hàng ngày. Ngay cả khi ví này bị xâm phạm do xác nhận đã ký, tổn thất vẫn nằm trong phạm vi kiểm soát được.

🚨 Nếu bạn nghi ngờ đã xác nhận một phép tắc độc hại hoặc phát hiện bị đánh cắp

Tình huống Các bước phản ứng khẩn cấp
Bạn nghi ngờ mình vừa xác nhận một giao dịch độc hại 1. Thu hồi sự chấp thuận ngay lập tức: Sử dụng công cụ như Revoke.cash để tìm và thu hồi sự chấp thuận của hợp đồng khả nghi.
2. Chuyển tài sản của bạn: Gửi ngay tất cả tài sản từ ví đó đến một địa chỉ ví mới hoàn toàn, chưa từng xác nhận hợp đồng độc hại đó.
3. Bỏ đi ví cũ: Địa chỉ ví đó đã bị "nhiễm bẩn" và không bao giờ được sử dụng để lưu trữ tiền nữa.
Tài sản đã bị đánh cắp 1. Giữ lại toàn bộ bằng chứng: Ghi lại mã giao dịch (TxID), địa chỉ ví của kẻ lừa đảo, các địa chỉ ví liên quan và bất kỳ bản ghi phê duyệt nào bạn đã ký.
2. Dừng sử dụng ví đó: Đừng nạp thêm bất kỳ khoản tiền nào vào địa chỉ ví đó.
3. Báo cáo ngay cho cảnh sát: Mang tất cả bằng chứng đến cơ quan thực thi pháp luật địa phương và nộp báo cáo.
4. Cảnh báo những người khác trong cộng đồng: Chia sẻ kinh nghiệm của bạn để giúp nhiều người hơn hiểu rõ loại lừa đảo mới này.

💎 Kết luận: Các phép duyệt là một lớp bảo vệ ẩn hơn so với cụm từ hạt giống

Cụm từ hạt giống của bạn đại diện cho "quyền sở hữu" ví của bạn, trong khi các phép duyệt đại diện cho "quyền sử dụng" ví của bạn. Nhiều người dùng bảo vệ cẩn thận cụm từ hạt giống của họ nhưng lại bất cẩn với các yêu cầu phép duyệt.
 
Lồng ghép khái niệm mới này vào khung bảo mật của bạn:
 
Bảo vệ cụm từ hạt giống của bạn đảm bảo quyền sở hữu tài sản của bạn. Bảo vệ mọi sự chấp thuận ngăn người khác sử dụng tài sản của bạn.
Hãy ghi nhớ bài học từ trường hợp này: Ngay cả khi giao dịch trực tiếp, ngay cả khi cụm từ hạt giống được viết tay, ngay cả khi không nhấp vào bất kỳ liên kết nào — chỉ một lần quét mã QR không cẩn thận cũng đủ để làm rỗng ví lạnh của bạn vào ngày hôm sau. Bảo mật không bao giờ là về các cách tắt; nó đòi hỏi sự cảnh giác liên tục và những thói quen đúng đắn.
 
 

Disclaimer: The information on this page may come from third parties and does not necessarily reflect KuCoin’s views. It is provided for general reference only and should not be interpreted as financial or investment advice.

Virtual asset investments may involve risk. Please carefully assess the product risks and your own risk tolerance. For more information, please refer to our Terms of Use and Risk Disclosure.