メインコンテンツにスキップ

16 進データ + 0 値トランザクション: オンチェーン資産を流出させる見えない罠

0 ETH トランザクションで「確認」をクリックすると、資金がなくなってしまいました。警告はありません。転送はありません。たった1つの署名ですべてが消えた

U
対応者:UKey Wallet

1. 音のない悪夢

過去 1 年間、私たちはあまりにも多くのユーザーが何の前触れもなく、ポートフォリオ全体を瞬時に失うのを見てきました。

もっと衝撃的なことは何ですか? 攻撃者はトークンを送信する必要すらありませんでした。

必要なのは 1 つの署名、つまり「Hex Data」を含むトランザクションだけでした。

NFT の請求、エアドロップへの参加、DApp への接続、サイトへのサインインなど、単純なアクションのように見えたかもしれません。

一見無害に見える: 0 ETH、スマート コントラクト アドレスに送信されます。

しかし、本当の脅威は「ヘックスデータ」の中に隠されていた。

攻撃者はここで、次のような悪意のある関数呼び出しをエンコードします。

· approve()

· increaseAllowance()

· transferFrom()

· setApprovalForAll()

· スイープToken() (カスタムの悪意のあるコントラクト関数)

これらの各機能は、攻撃者に資産の制御を許可します。

署名されたらゲームオーバーです。追加の承認なしに、ERC-20 トークンまたは NFT を自由に排出できます。

2. 16 進数データ: 盲点になるわけではない

すべてのオンチェーン トランザクションは、資産を転送しない場合でも、本質的に スマート コントラクト コールです。

いわゆる「16 進データ」は、ABI でエンコードされた「メソッド + パラメーター」です。

例:

「」 0xa9059cbb0000000000000000000000008e8...000000000000000000000000000000000000000000000000000000005f5e100 「」

· 最初の 4 バイト 0xa9059cbb: 関数セレクター、この場合は transfer(address,uint256)

· 残り: エンコードされたパラメータ — トークンアドレス、受信者、値など。

攻撃者にとって、これは任意のロジックを実行するための ユニバーサル パスです。

何も知らないユーザーにとって、それは単なる意味のない文字列であり、理解できない言語で書かれた不可解な呪文のようなものです。

そこに罠があるのです。ブラインド署名です。

あなたにとっては価値が 0 のトランザクションに見えるものですが… …攻撃者はウォレットへのフルアクセスをしているようです。

3. ブラインドサイン、ヘックスサイン、そしてサイン地獄

これらの詐欺には、次のような共通の特徴がある傾向があります。

· 💸 0 ETH または少額の取引: 懐疑心を払拭します。

· 🧬 Hex データには悪意のある意図が含まれています: 単純なアクションを装っています。

· 🧠 受信者はスマート コントラクト: 人ではなく、罠です。

· ⚠️ 署名 = 実行: ワンクリックで完全な制御が可能になります。

さらに悪いことに: これらの攻撃は完全に自動化されています。

詐欺師はスクリプトを使用して悪意のある契約を大量に展開し、フィッシング Web サイトを起動し、詐欺リンクを生成し、次の方法で宣伝します。

· 検索エンジン広告

・Discordグループ

・Twitter/Xリプライ

· 偽の景品と NFT エアドロップ

彼らはただその瞬間、つまりあなたがクリックするのを待っているのです。 署名 1 つで、あなたの資産は彼らのものになります。

4. UKey の反撃方法

セキュリティをユーザーだけが負担すべきではありません。 UKey では、これらの隠れたギャップを埋めるために 多層防御 を構築しています。

私たちがこれまでに行ったこと (そして改善し続けていること) は次のとおりです。

(1) ヘックスデータの警告 — 最初の精神的障壁

ユーザーがトランザクションで「16 進数データを表示する」オプションを有効にすると、UKy は直ちに明確な警告を表示します

⚠️ このトランザクションには Hex データが含まれており、スマート コントラクトの相互作用またはトークンの承認が含まれる場合があります。注意してください。

それは署名後の後悔ではありません。 これは、最初のクリックで先制防御です。

Hex Data は強力なツールであると同時に、悪者の手に渡った武器でもあるため、ユーザーには常に警戒していただきたいと考えています。

(2) 16 進数データ解析 + 高リスク関数アラート

すべての EVM チェーンに対して、UKey は リアルタイム ABI デコード + 関数リスク分析 を提供するようになりました。

· 呼び出されているメソッドを明確に表示

· 署名する前に、次のような高リスクの行動を強調表示します。

o 🧾 ターゲット アドレスの可視性 — これは既知の安全なコントラクトですか、それとも疑わしいアドレスですか?

o 🕵️ 歴史的なやり取り — 以前にこのアドレスで署名したことがありますか?

o 💰 トークンと金額 — 正確に何を承認または送信していますか?

これにより、ユーザーは盲目的に署名することがなくなり、実際のコンテキストと完全な認識を持って署名できるようになります。

(3) ハードウェアウォレットの確認

UKey Pro では、生の 16 進文字列は表示されません。

人間が判読できる実際の情報がデバイスの画面に表示されます。

· 🔍 関数名 — 実際に何に署名しているかを把握します。

· 💵 トークンの種類と量 — 残高全体を承認していますか?

· 📍 目的地住所 — これは見覚えのあるものですか、それとも危険信号ですか?

すべての分野は、情報に基づいた意思決定を行うのに役立ちます。 盲目的な推測ではありません。

5. 最後の言葉

ブロックチェーンには「元に戻す」ことはできません。 すべての署名は最終です。

私たちは次のように考えることがいかに簡単であるかを知っています。

「ウォレットを接続しているだけだと思っていました...」

だからこそ、私たちは実際のユーザー保護を念頭に置いて UKey のすべての層を構築しました。

すべての署名は信頼の問題です。 そして UKey は、最も信頼できる防御手段としてここにあります。

こちらの回答で解決しましたか?