Im vergangenen Jahr haben wir gesehen, dass viele Benutzer ihr Wallet-Guthaben sofort und ohne erkennbare Vorwarnung verloren haben.

Noch überraschender ist, dass der Angreifer nicht einmal zuerst eine normale Übertragung initiieren muss.

Was sie benötigen, ist möglicherweise nur eine Transaktionssignatur mit „Hex-Daten".

Es kann wie ein einfacher Vorgang aussehen: Fordern Sie ein NFT an, nehmen Sie an einem Airdrop teil, stellen Sie eine Verbindung zu einer DApp oder der Anmelden-Website her.

Scheint harmlos: ​0 ETH, an die Smart-Contract-Adresse gesendet.

Doch die eigentliche Bedrohung liegt in den „Hex-Daten" verborgen.

Ein Angreifer würde hier bösartige Funktionsaufrufe verschlüsseln, zum Beispiel:

· approve()

· increaseAllowance()

· transferFrom()

· setApprovalForAll()

· sweepToken()(Angepasste böswillige Vertragsfunktion)

Sobald diese Funktionen nicht mehr erfüllt sind, kann die Kontrolle über Vermögenswerte an Angreifer übergeben werden.

Sobald die Signatur abgeschlossen ist, kann die andere Partei Ihren ERC-20 Token oder NFT ohne erneute Bestätigung übertragen.

Viele an der Kette-Transaktionen können ihrer Natur nach einmalige Transaktionen sein, auch wenn sie keine Vermögenswerte übertragen Smart-Contract-Anruf.

Bei den sogenannten „Hexadezimaldaten" handelt es sich normalerweise um „Methode + Parameter", die von ABI codiert werden.

Beispiel:

0xa9059cbb00000000000000000000000008e8...000000000000000000000000000000000000000000000000000000005f5e100

· Erste 4 Bytes 0xa9059cbb: Funktionswähler, in diesem Fall transfer(address,uint256)

· Der Rest: codierte Parameter wie Token-Adresse, Empfangsadresse, numerischer Wert usw.

Für einen Angreifer kann es zum Einstiegspunkt für die Ausführung bösartiger Logik werden.

Für einen Benutzer, der die technischen Details nicht versteht, sieht es einfach wie eine bedeutungslose Zeichenfolge aus.

Hier liegt die Falle: blinde Signatur.

In den Augen der Benutzer handelt es sich möglicherweise nur um eine Transaktion mit einem Betrag von 0; In dem vom Angreifer entworfenen Vertrag handelt es sich möglicherweise um eine Gruppe von Genehmigung mit hohem Risiko.

Solche riskanten Transaktionen weisen in der Regel einige gemeinsame Merkmale auf:

· 💸 0 ETH oder kleine Transaktionen: Senken Sie Ihre Wache.

· 🧬 Hex-Daten verbergen risikoreiche Anrufe: Getarnt als einfache Operation.

· 🧠 Der Empfänger ist ein Smart Contract: Es handelt sich nicht um eine gewöhnliche persönliche Adresse, sondern möglicherweise um einen böswilligen Vertrag.

· ⚠️ Signatur = Ausführen: Eine einzelne Bestätigung kann Genehmigung oder eine Vermögensübertragung auslösen.

Noch problematischer ist: ​Diese Art von Angriffen kann hochgradig automatisiert sein.

Angreifer werden Skripte verwenden, um in großem Umfang bösartige Verträge bereitzustellen, die Phishing-Website zu starten, risikoreiche Links zu generieren und mit den folgenden Methoden Werbung zu machen:

· Suchmaschinenwerbung

· Discord-Gruppe

· Twitter/X-Antwort

· Gefälschte Werbegeschenke und NFT-Airdrops

Wenn der Benutzer zum Bestätigen klickt, kann eine einzige Unterschrift die Vermögenswerte unter die Kontrolle der anderen Partei bringen.

Die Sicherheit sollte nicht allein in der Verantwortung des Benutzers liegen. UKey wird erstellt Mehrere Verteidigungsebenen, um diese versteckten Risiken zu identifizieren.

Derzeit werden wir den Schutz vor folgenden Aspekten weiter stärken:

Wenn der Benutzer in der Transaktion Ermöglicht die Option „Hex-Daten anzeigen" auswählt, UKey zeigt sofort eine deutliche Erinnerung an:

⚠️ Diese Transaktion enthält hexadezimale Daten und kann eine Smart-Contract-Interaktion oder TokenGenehmigung beinhalten. Bitte bestätigen Sie sorgfältig.

Dies geschieht nicht im Nachhinein, sondern vor der Unterzeichnung. Aktiver Schutz.

Wir bitten Benutzer, vor dem Signieren eine Pause einzulegen und zu bestätigen: Hexadezimale Daten sind an sich schon ein leistungsstarkes Tool, können aber auch ein Einstiegspunkt für Risiken in böswilligen Szenarien sein.

Für EVM-Ketten bietet UKey Echtzeit-ABI-Dekodierung + Funktionsrisikoanalyse:

· Zeigen Sie die aufgerufene Methode deutlich an

· vor der Unterzeichnung Markieren Sie risikoreiche Verhaltensweisen, darunter:

o 🧾 Identifizierung der Zieladresse: Handelt es sich um einen bekannten Sicherheitsvertrag oder um eine verdächtige Adresse?

o 🕵️ historische Interaktion:Haben Sie schon einmal mit dieser Adresse interagiert?

o 💰 Token und Betrag: Was willst du eigentlich Genehmigung oder senden?

Auf diese Weise können Benutzer vor dem Signieren den tatsächlichen Kontext sehen, anstatt nur mit einer Reihe nicht entzifferbarer hexadezimaler Daten konfrontiert zu werden.

Benutzen UKey Pro Sie müssen nicht nur auf die rohe Sechskantschnur starren.

Sie können es auf dem Bildschirm Ihres Geräts sehen Echte, lesbare Informationen:

· 🔍 Funktionsname – Wissen Sie, was Sie tatsächlich unterschreiben.

· 💵 Token-Typ und -Menge: Ziehen Sie Ihr gesamtes Guthaben von Genehmigung ab?

· 📍 Zieladresse: Ist das eine bekannte Adresse oder ein Risikosignal?

Jede Information kann Ihnen bei der Erstellung helfen klareres Urteil, Reduzieren Sie falsche Kennzeichnungen und Fehleinschätzungen.

an der Kette-Transaktionen können grundsätzlich nicht „rückgängig gemacht" werden. Jede Unterschrift muss sorgfältig bestätigt werden.

Wir verstehen auch, dass es für Benutzer leicht ist, so zu denken:

„Ich dachte, ich würde nur meine Brieftasche anschließen …"

Deshalb entwerfen wir jede Schicht von UKey Echter Benutzerschutz Platzieren Sie es an einer wichtigen Stelle.

Jede Unterschrift ist ein Vertrauensurteil. UKey hilft Ihnen, vor der Bestätigung weitere Risikoinformationen anzuzeigen.