Az elmúlt év során sok felhasználó azonnal elvesztette pénztárcáját, alig látható figyelmeztetés nélkül.

Ami még meglepőbb, hogy a támadónak nem is kell először kezdeményeznie egy normál átvitelt.

Lehet, hogy csak egy tranzakció aláírásra van szükségük "hex adatokkal".

Ez egyszerű műveletnek tűnhet: igényeljen NFT-t, csatlakozzon egy airdrophoz, csatlakozzon egy DApp-hoz vagy az jelentkezz be webhelyhez.

Ártalmatlannak tűnik: 0 ETH, elküldve az intelligens szerződés címére.

De az igazi fenyegetés a "hex adatokban" rejtőzik.

A támadó rosszindulatú függvényhívásokat kódolna ide, például:

· approve()

· increaseAllowance()

· transferFrom()

· setApprovalForAll()

· sweepToken()(Testre szabott rosszindulatú szerződés funkció)

Ha ezeket a funkciókat figyelmen kívül hagyják, az eszközök irányítása átadható a támadóknak.

Az aláírás befejezése után a másik fél átruházhatja az ERC-20 token-et vagy az NFT-t az újbóli megerősítés nélkül.

Sok láncon belül tranzakció lehet egyszeri tranzakció, még akkor is, ha nem ruház át eszközöket Intelligens szerződéshívás.

Az úgynevezett "hexadecimális adatok" általában ABI által kódolt "módszer + paraméterek".

Példa:

0xa9059cbb00000000000000000000000008e8...000000000000000000000000000000000000000000000000000000005f5e100

· Az első 4 bájt 0xa9059cbb: funkcióválasztó, ebben az esetben transfer(address,uint256)

· A többi: kódolt paraméterek, például token cím, fogadási cím, számérték stb.

Egy támadó számára ez a rosszindulatú logika végrehajtásának belépési pontja lehet.

A technikai részleteket nem értő felhasználó számára ez csak értelmetlen karaktersorozatnak tűnik.

Itt rejlik a csapda: vak aláírás.

A felhasználók szemében lehet, hogy csak egy 0 összegű tranzakcióról van szó; a támadó által tervezett szerződésben nagy kockázatú jóváhagyás csoport lehet.

Az ilyen kockázatos tranzakcióknak általában van néhány közös jellemzője:

· 💸 0 ETH vagy kis tranzakciók: Engedje le az őrt.

· 🧬 Hex adatok elrejtik a magas kockázatú hívásokat: Egyszerű műveletnek álcázva.

· 🧠 A vevő egy intelligens szerződés: Ez nem egy hétköznapi személyes cím, lehet, hogy egy rosszindulatú szerződés.

· ⚠️ Aláírás = Végrehajtás: Egyetlen megerősítés elindíthatja az jóváhagyás-et vagy eszközátadást.

Még ennél is nagyobb gondot okoz: Az ilyen típusú támadások nagymértékben automatizálhatók.

A támadók szkripteket használnak rosszindulatú szerződések nagy léptékű telepítésére, az adathalászat webhely elindítására, magas kockázatú hivatkozások létrehozására és a következő módszerekkel történő reklámozásra:

· Keresőmotoros hirdetés

· Discord csoport

· Twitter/X válasz

· Hamis ajándékok és NFT airdrops

Amikor a felhasználó rákattint a megerősítéshez, egyetlen aláírással a másik fél ellenőrzése alá kerülhet az eszközök.

A biztonság nem lehet kizárólag a felhasználó felelőssége. Az UKey készül A védekezés több rétege, hogy segítsen azonosítani ezeket a rejtett kockázatokat.

Jelenleg a következő szempontok szerint folytatjuk a védelem megerősítését:

Amikor a felhasználó az Engedélyezve tranzakcióban a "Hexuális adatok megjelenítése" opciót választja, Az UKey azonnal egyértelmű emlékeztetőt jelenít meg:

⚠️ Ez a tranzakció hexadecimális adatokat tartalmaz, és intelligens szerződéses interakciót vagy tokenjóváhagyás-et tartalmazhat. Kérjük, alaposan erősítse meg.

Ez nem utólag, hanem az aláírás előtt. Aktív védelem.

Arra kérjük a felhasználókat, hogy az aláírás előtt álljanak meg, és erősítsék meg: A hexadecimális adatok önmagukban is hatékony eszköz, de rosszindulatú forgatókönyvek esetén kockázatot jelenthetnek.

Az EVM láncokhoz az UKey biztosítja Valós idejű ABI dekódolás + funkció kockázatelemzés:

· Világosan mutassa meg a meghívott metódust

· aláírás előtt A magas kockázatú viselkedések megjelölése, beleértve:

o 🧾 Célcím azonosítás: Ez egy ismert biztonsági szerződés vagy egy gyanús cím?

o 🕵️ történelmi kölcsönhatás: Használt már korábban ezzel a címmel?

o 💰 token és mennyiség: Mit akarsz valójában jóváhagyás-et vagy küldeni?

Ily módon a felhasználók az aláírás előtt láthatják a valódi kontextust, ahelyett, hogy megfejthetetlen hexadecimális adatokkal kellene szembenézniük.

Használja UKey Pro Nem kell csak bámulnia a nyers hatszögletű húrt.

Az eszköz képernyőjén láthatja Valódi, olvasható információ:

· 🔍 függvény neve – Tudd, hogy valójában mit írsz alá.

· 💵 token típusa és mennyisége: Levonja a teljes egyenlegét az jóváhagyás-ből?

· 📍 cél címe: Ez ismerős cím vagy kockázati jelzés?

Minden egyes információ segíthet az elkészítésében világosabb ítélet, Csökkentse a téves címkézést és a téves megítélést.

Az láncon belül tranzakciók általában nem vonhatók vissza. Minden aláírást gondosan meg kell erősíteni.

Azt is megértjük, hogy a felhasználók könnyen így gondolkodhatnak:

– Azt hittem, csak a pénztárcámat csatlakoztatom...

Ezért az UKey minden rétegét megtervezzük Valódi felhasználói védelem Tedd fontos helyzetbe.

Minden aláírás a bizalom ítélete. Az UKey segít több kockázati információ megtekintésében a megerősítés előtt.