メインコンテンツにスキップ

16 進データ + 0 金額トランザクション: オンチェーン 資産損失の見えない罠

0 ETH 取引で「確認」をクリックすると、資産が突然消えてしまいます。明らかな警告はなく、通常の譲渡記録もありません。問題はその署名にある可能性があります。

U
対応者:UKey Wallet

1. 静かな悪夢

過去 1 年間、私たちは多くのユーザーが明らかな警告もなく即座にウォレット資産を失うのを目撃してきました。

さらに驚くべきことは、攻撃者は最初に通常の転送を開始する必要さえないことです。

彼らが必要とするのは、「16 進数データ」を含むトランザクション署名だけかもしれません。

NFT を請求し、エアドロップに参加し、DApp または サインイン Web サイトに接続するという単純な操作のように見えるかもしれません。

無害に見えます:0 ETH、スマートコントラクトアドレスに送信されます。

しかし、本当の脅威は「ヘックスデータ」に隠されています。

攻撃者はここで悪意のある関数呼び出しをエンコードします。例:

· approve()

· increaseAllowance()

· transferFrom()

· setApprovalForAll()

· sweepToken()(カスタマイズされた悪意ある契約機能)

これらの機能の署名が失われると、資産の制御が攻撃者に引き渡される可能性があります。

署名が完了すると、相手は再度確認することなくERC-20 トークンまたはNFTを譲渡することができます。

2. 16 進数データは盲点であってはなりません

多くの オンチェーン トランザクションは、資産を譲渡しない場合でも、本質的に 1 回限りのトランザクションである可能性があります。スマートコントラクトコール

いわゆる「16 進データ」は通常、ABI によってエンコードされた「メソッド + パラメーター」です。

例:

0xa9059cbb00000000000000000000000008e8...000000000000000000000000000000000000000000000000000000005f5e100

・最初の4バイト 0xa9059cbb: 関数セレクター、この場合 transfer(address,uint256)

· 残り: トークン アドレス、受信アドレス、数値などのエンコードされたパラメータ。

攻撃者にとって、悪意のあるロジックを実行するためのエントリ ポイントになる可能性があります。

技術的な詳細を理解していないユーザーにとっては、意味のない文字列にしか見えません。

ここに罠があります:ブラインドサイン

ユーザーの目には、それは単なる金額ゼロの取引かもしれません。攻撃者が設計したコントラクトでは、高リスクの 承認 のグループである可能性があります。

3.ブラインド署名、16進数署名、署名地獄

このような危険な取引には、次のような共通の特徴がある傾向があります。

· 💸 0 ETH または小規模トランザクション:ガードを下げてください。

· 🧬 高リスクコールを隠す 16 進数データ: 単純な操作に見せかけます。

· 🧠 受信側はスマートコントラクト:普通の個人アドレスではありません、悪質な契約の可能性があります。

· ⚠️ 署名 = 実行: 1 回の確認で 承認 または資産転送がトリガーされる場合があります。

さらに厄介なのは:この種の攻撃は高度に自動化できます。

攻撃者はスクリプトを使用して悪意のあるコントラクトを大規模に展開し、フィッシング Web サイトを起動し、高リスクのリンクを生成し、次の方法で宣伝します。

・検索エンジン広告

・Discordグループ

・Twitter/Xリプライ

· 偽の景品と NFT エアドロップ

ユーザーがクリックして確認すると、単一の署名によって資産が相手方の管理下に置かれる可能性があります。

4. UKey が保護を提供する仕組み

セキュリティはユーザーだけが責任を負うべきではありません。 UKey を構築中です多層防御、これらの隠れたリスクを特定するのに役立ちます。

現時点では、引き続き以下の側面からの保護を強化していきます。

(1) 16 進データ警告: 最初の注意事項

ユーザーがトランザクション 有効 で「16 進データの表示」オプションを選択すると、UKey はすぐに明確なリマインダーを表示します

⚠️ このトランザクションには 16 進数のデータが含まれており、スマート コントラクトの相互作用または トークン承認 が関与する可能性があります。よくご確認ください。

これは後から考えたものではなく、署名する前に考えたものです。アクティブな保護

ユーザーには、署名する前に一時停止して確認するようお願いしています。16 進データはそれ自体が強力なツールですが、悪意のあるシナリオではリスクの入り口にもなる可能性があります。

(2) 16進数データ解析+ハイリスク機能リマインダー

EVM チェーンの場合、UKey は以下を提供します。リアルタイム ABI デコード + 機能リスク分析

· 呼び出されるメソッドを明確に表示する

· 署名する前に次のようなリスクの高い行動にフラグを立てます。

ああ🧾 ターゲットアドレスの識別: これは既知のセキュリティ契約ですか、それとも疑わしいアドレスですか?

ああ🕵️ 歴史的な相互作用:以前にこのアドレスとやり取りしたことがありますか?

ああ💰 トークンと金額: 承認 に実際に必要なもの、または送信するものは何ですか?

このようにして、ユーザーは、解読できない 16 進データの文字列に直面するだけでなく、署名する前に実際のコンテキストを確認できます。

(3)ハードウェアウォレットの確認

使用する UKeyプロ 生の 16 進文字列をただ見つめる必要はありません。

デバイスの画面で確認できますリアルで読みやすい情報

· 🔍 関数名 — 実際に何に署名しているのかを知ってください。

· 💵 トークンの種類と数量: 承認 から残高全額を差し引いていますか?

· 📍 宛先アドレス: これはよく知られた住所ですか、それとも危険信号ですか?

それぞれの情報は、より明確な判断、誤表示や誤判断を減らします。

5. 最後の言葉

オンチェーン トランザクションは通常、「元に戻す」ことはできません。すべての署名は慎重に確認する必要があります。

また、ユーザーが次のように考えやすいことも理解しています。

「ウォレットを接続しているだけだと思っていました...」

したがって、UKey のすべての層を設計します。真のユーザー保護重要な位置に置いてください。

すべての署名は信頼性の判断となります。 UKey は、確認する前に詳細なリスク情報を確認するのに役立ちます。

こちらの回答で解決しましたか?