Ir al contenido principal

Datos hexadecimales + transacciones de valor 0: la trampa invisible que agota los activos en cadena

Hiciste clic en "Confirmar" en una transacción de 0 ETH y tus fondos desaparecieron. Sin advertencias. Sin transferencias. Sólo una firma, todo se desvaneció.

U
Escrito por UKey Wallet

1. Una pesadilla sin sonido

Durante el año pasado, hemos visto a demasiados usuarios perder todas sus carteras en un instante y sin previo aviso.

¿Qué es más impactante? El atacante ni siquiera necesitaba que enviaran ninguna ficha.

Todo lo que se necesitaba era una firma: una transacción que llevara "datos hexadecimales".

Podría haber parecido una acción simple: reclamar un NFT, unirse a un lanzamiento aéreo, conectar una DApp o iniciar sesión en un sitio.

Aparentemente inofensivo: ​0 ETH, enviado a una dirección de contrato inteligente.

Pero la verdadera amenaza estaba escondida dentro de los "Hex Data".

Ahí es donde los atacantes codifican llamadas a funciones maliciosas como:

· aprobar()

· aumentar la asignación()

· transferirDesde()

· setApprovalForAll()

· sweepToken() (funciones de contrato maliciosas personalizadas)

Cada una de estas funciones otorga el control de sus activos al atacante.

Una vez firmado, se acabó el juego: pueden agotar sus tokens ERC-20 o NFT a voluntad, sin necesidad de aprobación adicional.

2. Datos hexadecimales: no están destinados a ser un punto ciego

Cada transacción en cadena, incluso sin transferir activos, es esencialmente una llamada de contrato inteligente.

Los llamados "datos hexadecimales" son simplemente "método + parámetros" codificados en ABI.

Ejemplo:

0xa9059cbb00000000000000000000000008e8...00000000000000000000000000000000000000000000000000000000005f5e100

· Los primeros 4 bytes 0xa9059cbb: selector de función, en este caso transfer(address,uint256)

· El resto: parámetros codificados: dirección del token, destinatario, valor, etc.

Para un atacante, este es un pase universal para ejecutar lógica arbitraria.

Para un usuario inconsciente, es sólo una cadena sin sentido, como un hechizo críptico en un idioma que no entiende.

Y ahí es donde está la trampa: firmar a ciegas.

Lo que a usted le parece una transacción de valor 0... …parece como acceso completo a su billetera para el atacante.

3. Firma ciega, firma hexadecimal y el infierno de las firmas

Estas estafas tienden a compartir una serie de rasgos comunes:

· 💸 0 ETH o transacción de pequeño valor: para desarmar tu escepticismo.

· 🧬 Los datos hexadecimales tienen intenciones maliciosas: disfrazados de una simple acción.

· 🧠 El destinatario es un contrato inteligente: no una persona, sino una trampa.

· ⚠️ Firma = ejecución: un clic les da control total.

Y lo que es peor: ​Estos ataques están completamente automatizados.

Los estafadores utilizan scripts para implementar masivamente contratos maliciosos, crear sitios web de phishing, generar enlaces fraudulentos y promocionarlos a través de:

· Anuncios en motores de búsqueda

· Grupos de discordia

· Twitter/X respuestas

· Obsequios falsos y lanzamientos aéreos de NFT

Simplemente están esperando ese momento: cuando haces clic. Una firma y sus bienes son de ellos.

4. Cómo se defiende UKey

La seguridad nunca debería ser una carga exclusiva del usuario. En UKey, estamos construyendo una defensa de múltiples capas para cerrar estas brechas ocultas.

Esto es lo que hemos hecho (y seguimos mejorando):

(1) Advertencias de datos hexadecimales: la primera barrera mental

Cuando un usuario habilita la opción de "mostrar datos hexadecimales" en una transacción, UKey muestra inmediatamente una advertencia clara:

⚠️ Esta transacción incluye datos hexadecimales y puede implicar interacción de contrato inteligente o aprobaciones de tokens. Tenga cuidado.

No es un arrepentimiento posterior a la firma. Es una defensa preventiva, al primer clic.

Queremos que los usuarios se mantengan alerta, porque Hex Data es una herramienta poderosa, pero también un arma en las manos equivocadas.

(2) Análisis de datos hexadecimales + alertas de funciones de alto riesgo

Para todas las cadenas EVM, UKey ahora proporciona decodificación ABI en tiempo real + análisis de riesgo de función:

· Muestra claramente el método que se llama

· Destaca el comportamiento de alto riesgo antes de firmar, incluyendo:

o 🧾 Visibilidad de la dirección de destino: ¿Se trata de un contrato seguro conocido o de una dirección sospechosa?

o 🕵️ Interacciones históricas: ¿has firmado con esta dirección antes?

o 💰 Token y cantidad: ¿qué estás aprobando o enviando exactamente?

Con esto, los usuarios ya no firman a ciegas, sino con contexto real y plena conciencia.

(3) Confirmación de la billetera de hardware

Con UKey Pro, no verás cadenas hexadecimales sin formato.

Verá información real y legible por humanos directamente en la pantalla de su dispositivo:

· 🔍 Nombre de la función: sepa lo que realmente está firmando.

· 💵 Tipo y cantidad de token: ¿estás autorizando todo tu saldo?

· 📍 Dirección de destino: ¿Te resulta familiar o es una señal de alerta?

Cada campo está aquí para ayudarle a tomar una decisión informada, No es una suposición ciega.

5. Palabras finales

No hay "deshacer" en la cadena de bloques. Cada firma es final.

Sabemos lo fácil que es pensar:

"Pensé que solo estaba conectando mi billetera..."

Es por eso que hemos creado cada capa de UKey teniendo en cuenta la protección real del usuario.

Cada firma es una cuestión de confianza. Y UKey está aquí para ser la defensa más confiable que tenga.

¿Ha quedado contestada tu pregunta?