Prijeđite na glavni sadržaj

Heksadecimalni podaci + transakcije 0-vrijednosti: nevidljiva zamka koja iscrpljuje imovinu u lancu

Kliknuli ste "Potvrdi" na transakciji od 0 ETH i vaša su sredstva nestala. Bez upozorenja. Nema prijenosa. Samo jedan potpis, sve je nestalo

U
Napisao/la UKey Wallet

1. Noćna mora bez zvuka

Tijekom prošle godine vidjeli smo da je previše korisnika izgubilo svoje cijele portfelje u trenu - bez upozorenja.

Što je šokantnije? Napadač ih čak nije ni trebao za slanje tokena.

Potreban je bio samo jedan potpis — transakcija koja nosi 'Hex Data'.

Možda je izgledalo kao jednostavna radnja: preuzimanje NFT-a, pridruživanje airdrop-u, povezivanje DApp-a ili prijava na web-mjesto.

Naizgled bezopasno: ​0 ETH, poslano na adresu pametnog ugovora.

Ali prava prijetnja bila je skrivena unutar Hex podataka.

Tu napadači kodiraju zlonamjerne pozive funkcija kao što su:

· odobri()

· increaseAllowance()

· transferFrom()

· setApprovalForAll()

· sweepToken() (prilagođene zlonamjerne ugovorne funkcije)

Svaka od ovih funkcija napadaču daje kontrolu nad vašom imovinom.

Nakon što se potpiše, igra je gotova — mogu isprazniti vaše ERC-20 tokene ili NFT-ove po želji, bez daljnjeg odobrenja.

2. Heksadecimalni podaci: ne treba biti slijepa točka

Svaka transakcija u lancu — čak i bez prijenosa imovine, u biti je poziv pametnog ugovora.

Takozvani Hex podaci su samo ABI-kodirana “metoda + parametri”.

Primjer:

0xa9059cbb00000000000000000000008e8...0000000000000000000000000000000000000000000000000000000005f5e100

· Prva 4 bajta 0xa9059cbb: selektor funkcije, u ovom slučaju transfer(adresa,uint256)

· Ostatak: kodirani parametri — adresa tokena, primatelj, vrijednost itd.

Napadaču je ovo univerzalna propusnica za izvršavanje proizvoljne logike.

Za nesvjesnog korisnika, to je samo besmislen niz - poput zagonetne čarolije na jeziku koji ne razumiju.

I tu leži zamka: slijepo potpisivanje.

Ono što vama izgleda kao transakcija nulte vrijednosti... …napadaču izgleda kao potpuni pristup vašem novčaniku.

3. Slijepo potpisivanje, Hex potpisivanje i pakao potpisa

Ove prijevare obično dijele niz zajedničkih karakteristika:

· 💸 0 ETH ili transakcija male vrijednosti: da razoružate svoj skepticizam.

· 🧬 Hex podaci nose zlonamjernu namjeru: prerušenu u jednostavnu radnju.

· 🧠 Primatelj je pametni ugovor: ne osoba — već zamka.

· ⚠️ Potpis = izvršenje: jedan klik im daje potpunu kontrolu.

I što je još gore: ​Ovi napadi su potpuno automatizirani.

Prevaranti koriste skripte za masovnu implementaciju zlonamjernih ugovora, okretanje web stranica za krađu identiteta, generiranje poveznica za prijevaru i njihovo promoviranje putem:

· Oglasi na tražilicama

· Discord grupe

· Twitter/X odgovori

· Lažna darivanja i NFT airdrops

Oni samo čekaju taj jedan trenutak - kada kliknete. Jedan potpis i vaša imovina je njihova.

4. Kako UKey uzvraća

Sigurnost nikada ne bi trebala biti samo korisnikov teret. U UKeyu gradimo višeslojnu obranu kako bismo zatvorili te skrivene praznine.

Evo što smo učinili (i nastavljamo poboljšavati):

(1) Upozorenja o heksadecimalnim podacima — Prva mentalna prepreka

Kada korisnik omogući opciju "show Hex Data" u transakciji,UKey odmah prikazuje jasno upozorenje:

⚠️ Ova transakcija uključuje heksadecimalne podatke i može uključivati ​​interakciju pametnog ugovora ili odobrenja tokena. Budite oprezni.

To nije žaljenje nakon potpisa. To je preventivna obrana, na prvi klik.

Želimo da korisnici ostanu na oprezu — jer Hex Data je moćan alat, ali i oružje u krivim rukama.

(2) Heksadecimalna analiza podataka + upozorenja o visokorizičnim funkcijama

Za sve EVM lance, UKey sada nudi ABI dekodiranje u stvarnom vremenu + analizu rizika funkcije:

· Jasno pokazuje metodu koja se poziva

· Naglašava visokorizično ponašanje prije nego potpišete, uključujući:

o 🧾 Vidljivost ciljne adrese — Je li ovo poznat siguran ugovor ili sumnjiva adresa?

o 🕵️ Povijesne interakcije — Jeste li se prije potpisivali ovom adresom?

o 💰 Token & iznos — Što točno odobravate ili šaljete?

Uz ovo, korisnici više ne potpisuju naslijepo — već uz stvarni kontekst i punu svijest.

(3) Potvrda hardverskog novčanika

Uz UKey Pro ne vidite neobrađene heksadecimalne nizove.

Vidite prave, ljudima čitljive informacije izravno na zaslonu vašeg uređaja:

· 🔍 Naziv funkcije — Znajte što zapravo potpisujete.

· 💵 Vrsta i iznos tokena — Odobravate li svoj cijeli saldo?

· 📍 Odredišna adresa — Je li ovo poznato ili crvena zastavica?

Svako polje je tu da vam pomogne da donesete informiranu odluku, ne nagađanje na slijepo.

5. Završne riječi

Nema "poništavanja" na blockchainu. Svaki potpis je konačan.

Znamo kako je lako misliti:

“Mislio sam da samo spajam svoj novčanik...”

Zato smo izgradili svaki sloj UKeya imajući na umu pravu zaštitu korisnika.

Svaki potpis je stvar povjerenja. A UKey je ovdje da bude najpouzdanija obrana koju imate.

Jesmo li odgovorili na vaše pitanje?