Web3安全警示丨看似转帐测试，实质盗取资产，警戒来路不明的收款二维码

近期，Bitrace 收到一例援助请求，受害者称其在扫码向对方转帐1 USDT测验后，钱包剩余资金尽数被盗。 “我仅仅是扫了一下二维码，怎么就会被盗”，受害者对此表示不解。

本文将深入剖析二维码转帐测试骗局的实现手段，结合真实案例展开链上追踪，以提醒用户在加密货币交易中时刻保持警惕。

深入了解情况后我们发现，表面上这是一种透过收款二维码转帐测试以实施盗窃的新型诈骗手段，本质上是骗取钱包授权。

骗子透过社群平台添加用户为好友，建立初步的信任后，寻找合适的时机抛出OTC 请求。他们会透过略低于市价的汇率吸引用户，在双方就交易细则达成一致后，对方会主动向用户打款小额USDT 博取信任，并以长期合作为由慷慨地提供TRX 作为手续费。

来不及感慨遇到了大善人，用户便收到了一张收款二维码的截图，这时，骗子会要求用户进行小额回款测试。

受害者与骗子的聊天记录

透过一系列前期铺垫，用户的交易风险似乎已降至最低。 “回款的USDT 和交易需要的手续费都是对面转我的，就算是骗子我也不会有损失”，思考后用户便扫码回款，不料资金尽数被盗。

受害人提供的二维码

以下以一起真实案例中受害人提供的收款二维码为例进行骗术拆解。

Bitrace 使用空钱包测试扫描后，出现了一个第三方网站https//sktnid[]com/，透过引导后便来到以下介面。截图右上角标记“欧易官方认证”，支持USDT 汇款，此页十分劣质，但缺少经验的用户较难辨别，殊不知危险已悄然而至。

当用户在此介面按照骗子的要求输入指定的回款金额后，点击下一步便跳转至钱包的签署介面，一旦再次点击确认，即与智能合约产生交互，此时钱包的授权被窃取。骗子透过授权把受害者的资产全部转移。

一次精心铺垫的以小额转帐测试为由，透过二维码骗取授权的骗局就此完成。

扫码转帐测试骗局的成功率及危害性远比想像中高。 Bitrace 进一步分析受害人提供的地址后发现，在2024711 2024717 仅一周的时间内，嫌疑人地址TTm1mV1已通过这一手段骗取27 名疑似受害人近12 万USDT，经流5 层地址后分别转入3 个Huione 帐户进行资金清洗。

区块链的匿名特性，使得加密资金转帐追踪存在难度，即使找到地址，要找出地址背后的实体也存在困难。幸运的是，Bitrace 透过该团体收款二维码显示的TDXRWVe 位址，回溯初始手续费来源，结果显示为某中心化交易所。这使得匿名的链上位址与现实身分有了连结。

目前，Bitrace 已指导受害者联系警方报案，以期帮助受害者透过合规的执法流程提升资金追回机率。

对于不走平台的场外OTC，用户务必谨慎核实对方身份，不轻信任何来历不明的二维码及连结。此外，在交易前，对对手方地址进行风险筛选十分重要，Bitrace 即将上线风险一键速查工具，旨在帮助用户识别目标地址的潜在风险，支持免费体验，敬请关注。