Per pastaruosius metus matėme, kad per daug vartotojų akimirksniu prarado visą savo portfelį – be įspėjimo.

Kas labiau šokiruoja? Užpuolikui jų net nereikėjo siųsti žetonų.

Tereikia vieno parašo – operacijos su „Hex Data“.

Tai galėjo atrodyti kaip paprastas veiksmas: reikalauti NFT, prisijungti prie „airdrop“, prijungti DApp arba prisijungti prie svetainės.

Iš pažiūros nekenksmingas: 0 ETH, išsiųstas išmaniosios sutarties adresu.

Tačiau tikroji grėsmė buvo paslėpta „Hex Data“ viduje.

Čia užpuolikai užkoduoja kenkėjiškų funkcijų iškvietimus, tokius kaip:

· „patvirtinti()“.

· „padidintiAllowance()“.

· „perdavimasIš()“.

· setApprovalForAll()

· „sweepToken()“ (tinkintos kenkėjiškos sutarties funkcijos)

Kiekviena iš šių funkcijų užpuolikui suteikia jūsų turto kontrolę.

Pasirašius, žaidimas baigtas – jie gali ištuštinti jūsų ERC-20 žetonus arba NFT savo nuožiūra be papildomo patvirtinimo.

Kiekviena grandinės operacija – net ir neperduodant turto – iš esmės yra išmanusis sutarties skambutis.

Vadinamieji šešioliktainiai duomenys yra tik ABI užkoduoti „metodas + parametrai“.

Pavyzdys:

0xa9059cbb000000000000000000000000000000000000000000000000000000000000000000000000000000000000000005f5

· Pirmieji 4 baitai „0xa9059cbb“: funkcijų parinkiklis, šiuo atveju „transfer(adresas,uint256)“

· Likusieji: užkoduoti parametrai – tokeno adresas, gavėjas, reikšmė ir kt.

Užpuolikui tai yra universalus leidimas vykdyti savavališką logiką.

Nežinančiam vartotojui tai tik beprasmė eilutė – kaip paslaptingas burtažodis kalba, kurios jis nesupranta.

Ir čia slypi spąstai: aklas pasirašymas.

Kas jums atrodo kaip 0 vertės operacija… ...užpuolikui atrodo visiška prieiga prie jūsų piniginės.

Šios aferos dažniausiai turi bendrų bruožų:

· 💸 0 ETH arba nedidelės vertės sandoris: nuginkluokite jūsų skepticizmą.

· 🧬 ** „Hex Data“ turi kenkėjiškų ketinimų**: užmaskuota kaip paprastas veiksmas.

· 🧠 Gavėjas yra protinga sutartis: ne asmuo, o spąstai.

· ⚠️ Parašas = vykdymas: vienas paspaudimas suteikia jiems visišką valdymą.

O kas dar blogiau: Šios atakos yra visiškai automatizuotos.

Sukčiai naudoja scenarijus, kad masiškai diegtų kenkėjiškas sutartis, sukurtų sukčiavimo svetaines, generuotų aferų nuorodas ir reklamuotų jas naudodami:

· Paieškos variklio skelbimai

· Nesantaika grupės

· Twitter/X atsakymai

· Netikros dovanos ir NFT oro lašeliai

Jie tiesiog laukia tos vienos akimirkos – kai spustelėsite. Vienas parašas ir jūsų turtas priklauso jiems.

Saugumas niekada neturėtų būti vien vartotojo našta. „UKey“ kuriame daugiasluoksnę gynybą, kad pašalintume šias paslėptas spragas.

Štai ką mes padarėme (ir tobuliname):

Kai vartotojas operacijoje įjungia parinktį „rodyti šešioliktainius duomenis“,UKey iškart parodo aiškų įspėjimą:

⚠️ Ši operacija apima Hex duomenis ir gali apimti išmaniąją sąveiką su sutartimi arba prieigos rakto patvirtinimus. Būkite atsargūs.

Tai nėra gailėjimasis po parašo. Tai prevencinė gynyba jau pirmuoju paspaudimu.

Norime, kad vartotojai išliktų budrūs, nes „Hex Data“ yra galingas įrankis, bet ir ginklas netinkamose rankose.

Visoms EVM grandinėms „UKey“ dabar teikia realaus laiko ABI dekodavimą + funkcijų rizikos analizę:

· Aiškiai parodo iškviečiamą metodą

· Pabrėžia didelės rizikos elgesį prieš pasirašant, įskaitant:

o 🧾 Tikslinio adreso matomumas – ar tai žinoma saugi sutartis, ar įtartinas adresas?

o 🕵️ Istorinės sąveikos — Ar anksčiau pasirašėte šiuo adresu?

o 💰 Žetonas ir suma – ką tiksliai patvirtinate ar siunčiate?

Taip naudotojai pasirašo ne aklai, o tikrą kontekstą ir visapusį supratimą.

Naudodami UKey Pro nematote neapdorotų šešioliktainių stygų.

Tiesiogiai savo įrenginio ekrane matote tikrą, žmogaus skaitomą informaciją:

· 🔍 Pareigos pavadinimas – žinokite, ką iš tikrųjų pasirašote.

· 💵 Žetono tipas ir suma — Ar suteikiate teisę visam likučiui?

· 📍 Paskirties adresas – ar tai pažįstama, ar raudona vėliavėlė?

Kiekviena sritis yra čia, kad padėtų jums priimti pagrįstą sprendimą, ne aklas spėjimas.

Blokų grandinėje nėra „anuliavimo“. Kiekvienas parašas yra galutinis.

Mes žinome, kaip lengva galvoti:

„Maniau, kad tiesiog prijungiu piniginę...“

Štai kodėl mes sukūrėme kiekvieną UKey sluoksnį atsižvelgdami į tikrąją vartotojo apsaugą.

Kiekvienas parašas yra pasitikėjimo reikalas. Ir UKey yra čia, kad būtų patikimiausia gynyba.