Za poslední rok jsme byli svědky toho, že mnoho uživatelů okamžitě ztratilo svůj majetek v peněžence s malým zjevným varováním.

Ještě překvapivější je, že útočník ani nemusí nejprve zahájit normální přenos.

To, co potřebují, může být pouze podpis transakce s „hexovými daty".

Může to vypadat jako jednoduchá operace: požádejte o NFT, připojte se k výsadku, připojte se k aplikaci DApp nebo k webu přihlásit se.

Zdá se neškodné: 0 ETH, zaslané na adresu smart contract.

Skutečná hrozba se ale skrývá v „hexových datech".

Útočník by zde zakódoval volání škodlivých funkcí, například:

· approve()

· increaseAllowance()

· transferFrom()

· setApprovalForAll()

· sweepToken()(Přizpůsobená funkce škodlivé smlouvy)

Jakmile jsou tyto funkce nesprávně přiděleny, může být kontrola majetku předána útočníkům.

Jakmile je podpis dokončen, může druhá strana převést váš ERC-20 žeton nebo NFT bez dalšího potvrzení.

Mnoho transakcí na řetězu může mít povahu jednorázových transakcí, i když nepřevádějí aktiva Chytrý smluvní hovor.

Takzvaná "hexadecimální data" jsou obvykle "metoda + parametry" zakódovaná ABI.

Příklad:

0xa9059cbb00000000000000000000000008e8...000000000000000000000000000000000000000000000000000000005f5e100

· První 4 bajty 0xa9059cbb: v tomto případě volič funkcí transfer(address,uint256)

· Zbytek: zakódované parametry, jako je adresa žeton, adresa příjmu, číselná hodnota atd.

Pro útočníka se může stát vstupním bodem pro spuštění škodlivé logiky.

Pro uživatele, který nerozumí technickým detailům, to jen vypadá jako nesmyslný řetězec znaků.

Zde leží past: slepý podpis.

V očích uživatelů se může jednat pouze o transakci s nulovou částkou; ve smlouvě navržené útočníkem se může jednat o skupinu vysoce rizikových schválení.

Takové rizikové transakce mívají některé společné znaky:

· 💸 0 ETH nebo malé transakce: Snižte ostražitost.

· 🧬 Hexadecimální data skrývající vysoce rizikové hovory: Maskované jako jednoduchá operace.

· 🧠 Přijímač je chytrá smlouva: Není to běžná osobní adresa, může se jednat o zákeřnou smlouvu.

· ⚠️ Podpis = Provést: Jediné potvrzení může spustit schválení nebo převod aktiv.

Ještě nepříjemnější je: Tyto typy útoků mohou být vysoce automatizované.

Útočníci budou používat skripty k nasazení škodlivých kontraktů ve velkém měřítku, spuštění webu phishing, generování vysoce rizikových odkazů a propagaci prostřednictvím následujících metod:

· Reklama ve vyhledávačích

· Discord group

· Twitter/X Reply

· Falešné dárky a výsadky NFT

Když uživatel klikne na potvrzení, jediný podpis může dát aktiva pod kontrolu druhé strany.

Bezpečnost by neměla být výhradně odpovědností uživatele. UKey se staví Více vrstev obrany, které pomohou identifikovat tato skrytá rizika.

V současné době budeme nadále posilovat ochranu z následujících aspektů:

Když uživatel v transakci Povoleno vybere možnost „Zobrazit Hex Data", UKey okamžitě zobrazí jasnou připomínku:

⚠️ Tato transakce obsahuje hexadecimální data a může zahrnovat interakci chytré smlouvy nebo žetonschválení. Prosím potvrďte pečlivě.

To není dodatečný nápad, ale před podpisem. Aktivní ochrana.

Žádáme uživatele, aby se před podpisem pozastavili a potvrdili: Hexadecimální data jsou sama o sobě mocným nástrojem, ale mohou být také vstupním bodem pro riziko v nebezpečných scénářích.

Pro řetězy EVM poskytuje UKey Dekódování ABI v reálném čase + analýza rizik funkcí:

· Jasně ukažte volanou metodu

· před podpisem Označte vysoce rizikové chování, včetně:

o 🧾 Identifikace cílové adresy: Jedná se o známou bezpečnostní smlouvu nebo podezřelou adresu?

o 🕵️ historická interakce:Už jste někdy komunikovali s touto adresou?

o 💰 žeton a množství: Co vlastně chcete schválení nebo poslat?

Tímto způsobem mohou uživatelé vidět skutečný kontext před podepsáním, místo aby čelili řetězci nerozluštitelných hexadecimálních dat.

Použijte UKey Pro Nemusíte jen zírat na surovou hexovou strunu.

Můžete vidět na obrazovce vašeho zařízení Skutečné, čitelné informace:

· 🔍 název funkce — Vědět, co vlastně podepisujete.

· 💵 Typ a množství žeton: Odečítáte celý svůj zůstatek z schválení?

· 📍 cílová adresa: Je to známá adresa nebo rizikový signál?

Každá informace vám může pomoci jasnější úsudek, Omezte nesprávné označování a nesprávný úsudek.

Transakce na řetězu obecně nelze „vrátit zpět". Každý podpis je potřeba pečlivě potvrdit.

Chápeme také, že pro uživatele je snadné uvažovat takto:

"Myslel jsem, že jen připojuji peněženku..."

Proto navrhujeme každou vrstvu UKey Skutečná ochrana uživatele Dejte to na důležitou pozici.

Každý podpis je rozsudek důvěry. UKey vám pomůže zobrazit více informací o riziku před potvrzením.