През изминалата година видяхме много потребители да губят незабавно своите активи в портфейла с малко видимо предупреждение.

Още по-изненадващо е, че нападателят дори не трябва първо да започне нормален трансфер.

Това, от което се нуждаят, може да е просто подпис на транзакция с „шестнадесетични данни".

Може да изглежда като проста операция: заявете NFT, присъединете се към airdrop, свържете се с DApp или уебсайта на влезте.

Изглежда безобидно:​0 ETH, изпратен до адреса на интелигентния договор.

Но истинската заплаха се крие в „шестнадесетичните данни".

Нападателят би кодирал злонамерени извиквания на функции тук, например:

· approve()

· increaseAllowance()

· transferFrom()

· setApprovalForAll()

· sweepToken()(Персонализирана злонамерена договорна функция)

След като тези функции бъдат неправилно подписани, контролът върху активите може да бъде предаден на нападателите.

След като подписът приключи, другата страна може да прехвърли вашия ERC-20 жетон или NFT без повторно потвърждение.

Много по веригата транзакции може да са еднократни по природа, дори ако не прехвърлят активи Обаждане за интелигентен договор.

Така наречените "шестнадесетични данни" обикновено са "метод + параметри", кодирани от ABI.

Пример:

0xa9059cbb00000000000000000000000008e8...000000000000000000000000000000000000000000000000000000005f5e100

· Първите 4 байта 0xa9059cbb: селектор на функция, в този случай transfer(address,uint256)

· Останалите: кодирани параметри, като жетон адрес, адрес на получаване, числова стойност и др.

За нападател може да се превърне във входна точка за изпълнение на злонамерена логика.

За потребител, който не разбира техническите подробности, това просто изглежда като безсмислен низ от знаци.

Ето къде се крие капанът: сляп подпис.

В очите на потребителите това може да е просто транзакция с нулева сума; в договора, проектиран от нападателя, може да е група от високорискови одобрение.

Такива рискови транзакции обикновено имат някои общи характеристики:

· 💸 0 ETH или малки транзакции: Намалете гарда си.

· 🧬 Шестнадесетични данни, скриващи високорискови повиквания: Прикрито като проста операция.

· 🧠 Приемникът е интелигентен договор: Това не е обикновен личен адрес, може да е злонамерен договор.

· ⚠️ Подпис = Изпълнение: Едно потвърждение може да задейства одобрение или прехвърляне на активи.

Още по-неприятно е: ​Тези видове атаки могат да бъдат силно автоматизирани.

Нападателите ще използват скриптове за внедряване на злонамерени договори в голям мащаб, стартиране на уебсайта фишинг, генериране на високорискови връзки и популяризиране чрез следните методи:

· Реклама в търсачките

· Група Discord

· Отговор в Twitter/X

· Фалшиви раздавания и NFT airdrops

Когато потребителят щракне, за да потвърди, един подпис може да постави активите под контрола на другата страна.

Сигурността не трябва да бъде отговорност единствено на потребителя. UKey се изгражда Множество нива на защита, за да помогнете за идентифицирането на тези скрити рискове.

Понастоящем ще продължим да укрепваме защитата от следните аспекти:

Когато потребителят избере опцията „Показване на шестнадесетични данни" в транзакцията Активирано, UKey веднага ще покаже ясно напомняне:

⚠️ Тази транзакция съдържа шестнадесетични данни и може да включва взаимодействие с интелигентен договор или жетонодобрение. Моля, потвърдете внимателно.

Това не е последваща мисъл, а преди подписване. Активна защита.

Молим потребителите да направят пауза и да потвърдят, преди да подпишат: шестнадесетичните данни са мощен инструмент сами по себе си, но могат да бъдат и входна точка за риск в злонамерени сценарии.

За веригите EVM UKey предоставя ABI декодиране в реално време + функционален анализ на риска:

· Ясно покажете метода, който се извиква

· преди подписване Маркирайте високорисково поведение, включително:

о 🧾 Идентификация на целеви адрес: Това известен договор за сигурност ли е или подозрителен адрес?

о 🕵️ историческо взаимодействие:Взаимодействали ли сте с този адрес преди?

о 💰 жетон и сума: Какво всъщност искате одобрение или изпратите?

По този начин потребителите могат да видят реалния контекст, преди да подпишат, вместо просто да се изправят пред низ от неразшифровани шестнадесетични данни.

Използвайте UKey Pro Не е нужно просто да се взирате в необработения шестнадесетичен низ.

Можете да видите на екрана на вашето устройство Реална, четивна информация:

· 🔍 име на функция — Знайте какво всъщност подписвате.

· 💵 жетон тип и количество: Приспадате ли целия си баланс от одобрение?

· 📍 адрес на дестинация: Това познат адрес ли е или сигнал за риск?

Всяка информация може да ви помогне да направите по-ясна преценка, Намалете грешното етикетиране и грешната преценка.

по веригата транзакциите обикновено не могат да бъдат "отменени". Всеки подпис трябва да бъде внимателно потвърден.

Разбираме също така, че за потребителите е лесно да мислят така:

„Мислех, че просто свързвам портфейла си. . . "

Затова ние проектираме всеки слой на UKey Истинска защита на потребителите Поставете го на важна позиция.

Всеки подпис е оценка на доверие. UKey ще ви помогне да видите повече информация за риска, преди да потвърдите.