تخط وانتقل إلى المحتوى الرئيسي

البيانات السداسية العشرية + 0 مبلغ المعاملة: الفخ غير المرئي لخسارة أصول على السلسلة

لقد قمت بالنقر على "تأكيد" في صفقة ETH 0 وفجأة اختفى الأصل. لا يوجد تحذير واضح ولا سجل نقل عادي. قد تكمن المشكلة في هذا التوقيع.

U
بقلم: UKey Wallet

1. كابوس صامت

على مدار العام الماضي، شهدنا العديد من المستخدمين يفقدون أصول محفظتهم على الفور مع القليل من التحذير الواضح.

والأمر الأكثر إثارة للدهشة هو أن المهاجم لا يحتاج حتى إلى بدء عملية نقل عادية أولاً.

ما يحتاجون إليه قد يكون مجرد توقيع معاملة يحتوي على "بيانات سداسية عشرية".

قد يبدو الأمر كعملية بسيطة: احصل على NFT، أو انضم إلى عملية إسقاط جوي، أو اتصل بتطبيق DApp أو موقع تسجيل الدخول.

يبدو غير ضار:​0 ETH، تم إرسالها إلى عنوان العقد الذكي.

لكن التهديد الحقيقي مخفي في "البيانات السداسية".

يمكن للمهاجم تشفير استدعاءات الوظائف الضارة هنا، على سبيل المثال:

· approve()

· increaseAllowance()

· transferFrom()

· setApprovalForAll()

· sweepToken()(وظيفة العقد الخبيثة المخصصة)

وبمجرد إساءة تعيين هذه الوظائف، قد يتم تسليم السيطرة على الأصول إلى المهاجمين.

بمجرد اكتمال التوقيع، قد يقوم الطرف الآخر بنقل ERC-20 رمز مميز أو NFT الخاص بك دون التأكيد مرة أخرى.

2. لا ينبغي أن تكون البيانات السداسية العشرية نقطة عمياء

قد تكون العديد من معاملات على السلسلة عبارة عن معاملات لمرة واحدة بطبيعتها حتى لو لم تقم بنقل الأصول مكالمة العقد الذكية.

عادةً ما تكون ما يسمى بـ "البيانات السداسية العشرية" عبارة عن "طريقة + معلمات" مشفرة بواسطة ABI.

مثال:

0xa9059cbb00000000000000000000000008e8...000000000000000000000000000000000000000000000000000000005f5e100

· أول 4 بايت 0xa9059cbb: محدد الوظيفة، في هذه الحالة transfer(address,uint256)

· الباقي: المعلمات المشفرة، مثل عنوان رمز مميز، وعنوان الاستلام، والقيمة العددية، وما إلى ذلك.

بالنسبة للمهاجم، يمكن أن تصبح نقطة دخول لتنفيذ المنطق الضار.

بالنسبة للمستخدم الذي لا يفهم التفاصيل الفنية، يبدو الأمر وكأنه سلسلة من الأحرف لا معنى لها.

وهنا يكمن الفخ: التوقيع الأعمى.

في نظر المستخدمين، قد تكون مجرد معاملة بقيمة 0؛ في العقد الذي صممه المهاجم، قد تكون مجموعة موافقة عالية المخاطر.

3. التوقيعات العمياء والتوقيعات السداسية العشرية وجحيم التوقيع

تميل مثل هذه المعاملات المحفوفة بالمخاطر إلى بعض الخصائص المشتركة:

· 💸 0 ETH أو المعاملات الصغيرة: خفض الحرس الخاص بك.

· 🧬 البيانات السداسية تخفي المكالمات عالية الخطورة: متنكر في شكل عملية بسيطة.

· 🧠 المتلقي هو عقد ذكي: إنه ليس عنوانًا شخصيًا عاديًا، وقد يكون عقدًا خبيثًا.

· ⚠️ التوقيع = تنفيذ: قد يؤدي تأكيد واحد إلى تشغيل موافقة أو نقل الأصول.

والأكثر إزعاجًا هو: يمكن أن تكون هذه الأنواع من الهجمات آلية للغاية.

سيستخدم المهاجمون البرامج النصية لنشر العقود الضارة على نطاق واسع، وإطلاق موقع التصيد، وإنشاء روابط عالية المخاطر، والترويج من خلال الطرق التالية:

· إعلانات محرك البحث

· مجموعة الفتنة

· تويتر/X الرد

· الهدايا الوهمية والإسقاط الجوي لـ NFT

عندما ينقر المستخدم للتأكيد، قد يؤدي توقيع واحد إلى وضع الأصول تحت سيطرة الطرف الآخر.

4. كيف يوفر UKey الحماية

لا ينبغي أن يكون الأمن مسؤولية المستخدم وحده. يجري الآن بناء UKey طبقات دفاعية متعددة للمساعدة في تحديد هذه المخاطر الخفية.

في الوقت الحاضر، سنواصل تعزيز الحماية من الجوانب التالية:

(1) تحذير البيانات السداسية العشرية: التذكير الأول

عندما يحدد المستخدم خيار "إظهار البيانات السداسية" في المعاملة ممكّن،سيعرض UKey تذكيرًا واضحًا على الفور:

⚠️ تحتوي هذه المعاملة على بيانات سداسية عشرية وقد تتضمن تفاعل عقد ذكي أو رمز مميزموافقة. يرجى التأكيد بعناية.

هذه ليست فكرة لاحقة، ولكن قبل التوقيع. الحماية النشطة.

نطلب من المستخدمين التوقف والتأكيد قبل التوقيع: تعد البيانات السداسية العشرية أداة قوية في حد ذاتها، ولكنها يمكن أن تكون أيضًا نقطة دخول للمخاطرة في السيناريوهات الضارة.

(2) تحليل البيانات السداسية العشرية + تذكير بالوظائف عالية المخاطر

بالنسبة لسلاسل EVM، يوفر UKey فك تشفير ABI في الوقت الحقيقي + تحليل مخاطر الوظيفة:

· إظهار الطريقة التي يتم استدعاؤها بوضوح

· قبل التوقيع ضع علامة على السلوكيات عالية الخطورة، بما في ذلك:

س 🧾 تحديد عنوان الهدف: هل هذا عقد أمني معروف أم عنوان مشبوه؟

س 🕵️ التفاعل التاريخي:هل تفاعلت مع هذا العنوان من قبل؟

س 💰 رمز مميز والمبلغ: ماذا تريد فعلا موافقة أو إرساله؟

بهذه الطريقة، يمكن للمستخدمين رؤية السياق الحقيقي قبل التوقيع، بدلاً من مجرد مواجهة سلسلة من البيانات السداسية العشرية غير القابلة للفك.

(3) تأكيد محفظة الأجهزة

استخدم UKey برو ليس عليك فقط التحديق في السلسلة السداسية الخام.

يمكنك أن ترى على شاشة جهازك معلومات حقيقية ومقروءة:

· 🔍 اسم الوظيفة – تعرف على ما تقوم بالتوقيع عليه بالفعل.

· 💵 نوع ومبلغ رمز مميز: هل تقوم بخصم رصيدك بالكامل من موافقة؟

· 📍 عنوان الوجهة: هل هذا عنوان مألوف أم إشارة خطر؟

كل قطعة من المعلومات يمكن أن تساعدك على القيام بذلك حكم أوضح، تقليل التسمية الخاطئة وسوء التقدير.

5. الكلمات الأخيرة

بشكل عام، لا يمكن "التراجع" عن معاملات على السلسلة. يجب تأكيد كل توقيع بعناية.

نحن ندرك أيضًا أنه من السهل على المستخدمين التفكير بهذه الطريقة:

"اعتقدت أنني كنت أقوم فقط بتوصيل محفظتي ..."

لذلك، نقوم بتصميم كل طبقة من UKey حماية حقيقية للمستخدم ضعه في موقف مهم.

كل توقيع هو حكم الثقة. سيساعدك UKey على رؤية المزيد من معلومات المخاطر قبل التأكيد.

هل أجاب هذا عن سؤالك؟