I løbet af det seneste år har vi set mange brugere miste deres pungaktiver øjeblikkeligt med en lille åbenbar advarsel.

Hvad der er endnu mere overraskende er, at angriberen ikke engang behøver at starte en normal overførsel først.

Det, de har brug for, kan bare være en transaktionssignatur med "hex-data".

Det kan ligne en simpel handling: Gør krav på en NFT, deltag i en airdrop, opret forbindelse til en DApp eller logge ind-webstedet.

Virker harmløst: 0 ETH, sendt til den smarte kontraktadresse.

Men den virkelige trussel er skjult i "hex data".

En angriber vil kode ondsindede funktionskald her, for eksempel:

· approve()

· increaseAllowance()

· transferFrom()

· setApprovalForAll()

· sweepToken()(Tilpasset ondsindet kontraktfunktion)

Når disse funktioner er missigneret, kan kontrollen over aktiver blive overdraget til angribere.

Når signaturen er fuldført, kan den anden part overføre din ERC-20 token eller NFT uden at bekræfte igen.

Mange på kæden-transaktioner kan være engangstransaktioner, selvom de ikke overfører aktiver Smart kontraktopkald.

De såkaldte "hexadecimale data" er normalt "metode + parametre" kodet af ABI.

Eksempel:

0xa9059cbb00000000000000000000000008e8...000000000000000000000000000000000000000000000000000000005f5e100

· De første 4 bytes 0xa9059cbb: funktionsvælger, i dette tilfælde transfer(address,uint256)

· Resten: kodede parametre, såsom token-adresse, modtagende adresse, numerisk værdi osv.

For en angriber kan det blive et indgangspunkt til at udføre ondsindet logik.

For en bruger, der ikke forstår de tekniske detaljer, ligner det bare en meningsløs række af tegn.

Det er her fælden ligger: blind signatur.

I brugernes øjne er det måske blot en transaktion på 0-beløb; i kontrakten designet af angriberen, kan det være en gruppe af højrisiko godkendelse.

Sådanne risikable transaktioner har en tendens til at have nogle fælles karakteristika:

· 💸 0 ETH eller små transaktioner: Sænk din vagt.

· 🧬 Hex-data skjuler højrisiko-opkald: Forklædt som en simpel operation.

· 🧠 Modtageren er en smart kontrakt: Det er ikke en almindelig personlig adresse, det kan være en ondsindet kontrakt.

· ⚠️ Signatur = Udfør: En enkelt bekræftelse kan udløse godkendelse eller aktivoverførsel.

Endnu mere besværligt er: Disse typer angreb kan være meget automatiserede.

Angribere vil bruge scripts til at implementere ondsindede kontrakter i stor skala, lancere phishing-webstedet, generere højrisikolinks og promovere gennem følgende metoder:

· Søgemaskineannoncering

· Discord gruppe

· Twitter/X Svar

· Falske giveaways og NFT airdrops

Når brugeren klikker for at bekræfte, kan en enkelt signatur sætte aktiverne under kontrol af den anden part.

Sikkerhed bør ikke udelukkende være brugerens ansvar. UKey er ved at blive bygget Flere lag af forsvar, for at hjælpe med at identificere disse skjulte risici.

På nuværende tidspunkt vil vi fortsætte med at styrke beskyttelsen fra følgende aspekter:

Når brugeren vælger muligheden "Vis hex-data" i transaktionen Aktiveret, UKey vil straks vise en klar påmindelse:

⚠️ Denne transaktion indeholder hexadecimale data og kan involvere smart kontraktinteraktion eller tokengodkendelse. Bekræft venligst omhyggeligt.

Dette er ikke en eftertanke, men før underskrift. Aktiv beskyttelse.

Vi beder brugerne om at pause og bekræfte, før de underskriver: Hexadecimale data er et kraftfuldt værktøj i sig selv, men det kan også være et indgangspunkt til risiko i ondsindede scenarier.

For EVM-kæder giver UKey ABI-afkodning i realtid + funktionsrisikoanalyse:

· Vis tydeligt den metode, der kaldes

· før underskrivelse Markér højrisikoadfærd, herunder:

o 🧾 Identifikation af måladresse: Er dette en kendt sikkerhedskontrakt eller en mistænkelig adresse?

o 🕵️ historisk interaktion:Har du interageret med denne adresse før?

o 💰 token og mængde: Hvad vil du egentlig have godkendelse eller sende?

På denne måde kan brugerne se den virkelige kontekst, før de underskriver, i stedet for blot at stå over for en række uafkodelige hexadecimale data.

Brug UKey Pro Du behøver ikke bare at stirre på den rå sekskantede snor.

Du kan se på din enheds skærm Ægte, læsbar information:

· 🔍 funktions navn - Ved, hvad du rent faktisk skriver under på.

· 💵 token type og mængde: Trækker du hele din saldo fra godkendelse?

· 📍 destinationsadresse: Er dette en kendt adresse eller et risikosignal?

Hvert stykke information kan hjælpe dig med at lave klarere dømmekraft, Reducer fejlmærkning og fejlvurdering.

på kæden-transaktioner kan generelt ikke "fortrydes". Hver underskrift skal omhyggeligt bekræftes.

Vi forstår også, at det er nemt for brugere at tænke sådan:

"Jeg troede, jeg bare tilsluttede min tegnebog..."

Derfor designer vi hvert eneste lag af UKey Ægte brugerbeskyttelse Sæt det i en vigtig position.

Enhver underskrift er en tillidsdom. UKey hjælper dig med at se flere risikooplysninger, før du bekræfter.