Pēdējā gada laikā mēs esam redzējuši, ka daudzi lietotāji ir zaudējuši savus maka līdzekļus uzreiz un bez acīmredzama brīdinājuma.

Vēl pārsteidzošāk ir tas, ka uzbrucējam vispirms pat nav jāuzsāk parasta pārsūtīšana.

Viņiem var būt nepieciešams tikai darījuma paraksts ar "heksadeciālajiem datiem".

Tas var izskatīties pēc vienkāršas darbības: pieprasiet NFT, pievienojieties gaisa kuģa lidojumam, izveidojiet savienojumu ar DApp vai pierakstīties vietni.

Šķiet nekaitīgs: 0 ETH, nosūtīts uz viedā līguma adresi.

Bet reālie draudi slēpjas "heksadetaļos".

Uzbrucējs šeit iekodētu ļaunprātīgu funkciju izsaukumus, piemēram:

· approve()

· increaseAllowance()

· transferFrom()

· setApprovalForAll()

· sweepToken()(Pielāgota ļaunprātīga līguma funkcija)

Kad šīs funkcijas ir nepareizas, īpašumu kontrole var tikt nodota uzbrucējiem.

Kad paraksts ir pabeigts, otra puse var pārsūtīt jūsu ERC-20 žetons vai NFT bez atkārtotas apstiprināšanas.

Daudzi ķēdē darījumi var būt vienreizēji darījumi, pat ja tie nenodod aktīvus Gudrais līguma zvans.

Tā sauktie "heksadecimālie dati" parasti ir "metode + parametri", ko kodē ABI.

Piemērs:

0xa9059cbb00000000000000000000000008e8...000000000000000000000000000000000000000000000000000000005f5e100

· Pirmie 4 baiti 0xa9059cbb: funkciju selektors, šajā gadījumā transfer(address,uint256)

· Pārējais: kodēti parametri, piemēram, žetons adrese, saņemšanas adrese, skaitliskā vērtība utt.

Uzbrucējam tas var kļūt par ieejas punktu ļaunprātīgas loģikas izpildei.

Lietotājam, kurš nesaprot tehniskās detaļas, tā vienkārši izskatās kā bezjēdzīga rakstzīmju virkne.

Lūk, kur slēpjas slazds: aklais paraksts.

Lietotāju acīs tas var būt tikai 0 summas darījums; uzbrucēja izstrādātajā līgumā tā var būt augsta riska apstiprinājums grupa.

Šādiem riskantiem darījumiem mēdz būt dažas kopīgas iezīmes:

· 💸 0 ETH vai nelieli darījumi: Nolaidiet aizsargu.

· 🧬 Hex dati slēpj augsta riska zvanus: maskēts kā vienkārša darbība.

· 🧠 Uztvērējs ir viedais līgums: Tā nav parasta personīgā adrese, tas var būt ļaunprātīgs līgums.

· ⚠️ Paraksts = Izpildīt: viens apstiprinājums var izraisīt apstiprinājums vai līdzekļu pārsūtīšanu.

Vēl apgrūtinošāk ir: Šāda veida uzbrukumi var būt ļoti automatizēti.

Uzbrucēji izmantos skriptus, lai plašā mērogā izvietotu ļaunprātīgus līgumus, palaistu vietni pikšķerēšana, ģenerētu augsta riska saites un reklamētu, izmantojot šādas metodes:

· Meklētājprogrammu reklāma

· Nesaskaņu grupa

· Twitter/X atbilde

· Viltus dāvanas un NFT gaisa pilieni

Kad lietotājs noklikšķina, lai apstiprinātu, viens paraksts var nodot īpašumus otras puses kontrolē.

Drošība nedrīkst būt tikai lietotāja atbildība. UKey tiek veidots Vairāki aizsardzības slāņi, lai palīdzētu identificēt šos slēptos riskus.

Šobrīd mēs turpināsim pastiprināt aizsardzību no šādiem aspektiem:

Kad lietotājs transakcijā Iespējots atlasa opciju "Rādīt heksadecimālo datus", UKey nekavējoties parādīs skaidru atgādinājumu:

⚠️ Šajā darījumā ir ietverti heksadecimālie dati, un tas var ietvert viedo līguma mijiedarbību vai žetonsapstiprinājums. Lūdzu, rūpīgi apstipriniet.

Tas nav pārdomas, bet gan pirms parakstīšanas. Aktīvā aizsardzība.

Mēs lūdzam lietotājus apturēt un apstiprināt pirms parakstīšanas: heksadecimālie dati ir spēcīgs rīks pats par sevi, taču tie var būt arī riska ieejas punkts ļaunprātīgu scenāriju gadījumā.

EVM ķēdēm nodrošina UKey Reāllaika ABI dekodēšana + funkciju riska analīze:

· Skaidri parādiet izsaukto metodi

· pirms parakstīšanas Atzīmējiet augsta riska uzvedību, tostarp:

o 🧾 Mērķa adreses identifikācija: Vai tas ir zināms drošības līgums vai aizdomīga adrese?

o 🕵️ vēsturiskā mijiedarbība:Vai esat iepriekš sazinājies ar šo adresi?

o 💰 žetons un summa: Ko jūs patiesībā vēlaties apstiprinājums vai nosūtīt?

Tādā veidā lietotāji pirms parakstīšanas var redzēt reālo kontekstu, nevis vienkārši saskarties ar neatšifrējamu heksadecimālo datu virkni.

Izmantot UKey Pro Jums nav vienkārši jāskatās uz neapstrādāto sešstūra virkni.

Jūs varat redzēt savas ierīces ekrānā Reāla, lasāma informācija:

· 🔍 funkcijas nosaukums — Zināt, ko patiesībā parakstāt.

· 💵 žetons veids un daudzums: Vai jūs atskaitāt visu savu bilanci no apstiprinājums?

· 📍 galamērķa adrese: Vai tā ir pazīstama adrese vai riska signāls?

Katra informācija var palīdzēt jums izveidot skaidrāks spriedums, Samaziniet nepareizu marķējumu un nepareizu spriedumu.

ķēdē darījumus parasti nevar "atsaukt". Katrs paraksts ir rūpīgi jāapstiprina.

Mēs arī saprotam, ka lietotājiem ir viegli domāt šādi:

"Es domāju, ka es vienkārši pieslēdzu savu maku..."

Tāpēc mēs izstrādājam katru UKey slāni Patiesa lietotāju aizsardzība Novietojiet to svarīgā pozīcijā.

Katrs paraksts ir uzticības spriedums. UKey palīdzēs jums redzēt vairāk riska informācijas pirms apstiprināšanas.