Direct la conținutul principal

Date hexadecimale + Tranzacții cu valoare 0: Capcana invizibilă care drenează activele în lanț

Ați făcut clic pe „Confirmați” pentru o tranzacție de 0 ETH și fondurile dvs. au dispărut. Fără avertismente. Fără transferuri. O singură semnătură, totul a dispărut

U
Scris de UKey Wallet

1. Un coșmar fără sunet

În ultimul an, am văzut că mult prea mulți utilizatori își pierd întregul portofoliu într-o clipă - fără avertisment.

Ce este mai șocant? Atacatorul nici măcar nu avea nevoie de ei pentru a trimite niciun jetoane.

Tot ce a fost nevoie de o semnătură – o tranzacție care conține „Date hexadecimale”.

Ar fi putut părea o acțiune simplă: revendicarea unui NFT, alăturarea unui airdrop, conectarea unui DApp sau conectarea la un site.

Aparent inofensiv: 0 ETH, trimis la o adresă de contract inteligent.

Dar adevărata amenințare a fost ascunsă în „Datele hexadecimale”.

Aici atacatorii codifică apeluri de funcții rău intenționate, cum ar fi:

· aprobă()

· creaseAllowance()

· transferFrom()

· setApprovalForAll()

· sweepToken() (funcții de contract rău intenționate personalizate)

Fiecare dintre aceste funcții oferă atacatorului controlul asupra bunurilor tale.

Odată semnat, jocul s-a terminat - vă pot epuiza jetoanele ERC-20 sau NFT-urile după bunul plac, fără aprobare suplimentară.

2. Date hexadecimale: nu sunt menite să fie un punct mort

Fiecare tranzacție în lanț – chiar și fără transferul de active , este în esență un apel de contract inteligent.

Așa-numitele „Date hexadecimale” sunt doar „metodă + parametri” codificate ABI.

Exemplu:

0xa9059cbb0000000000000000000000008e8...00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000005f5e

· Primii 4 octeți 0xa9059cbb: selector de funcție, în acest caz transfer(address,uint256)

· Restul: parametri codificați — adresa simbolului, destinatarul, valoarea etc.

Pentru un atacator, aceasta este o pasă universală pentru a executa logica arbitrară.

Pentru un utilizator inconștient, este doar un șir fără sens - ca o vrajă criptică într-o limbă pe care nu o înțelege.

Și aici stă capcana: semnare oarbă.

Ceea ce vi se pare o tranzacție cu valoare 0... …pare acces complet la portofel pentru atacator.

3. Semnarea oarbă, semnarea hexagonală și iadul semnăturii

Aceste escrocherii tind să împărtășească un set de trăsături comune:

· 💸 0 ETH sau tranzacție de mică valoare: pentru a vă dezarma scepticismul.

· 🧬 Datele hexadecimale poartă intenție rău intenționată: deghizat ca o simplă acțiune.

· 🧠 Destinatarul este un contract inteligent: nu o persoană — ci o capcană.

· ⚠️ Semnătură = execuție: un clic le oferă control deplin.

Și ce este mai rău: Aceste atacuri sunt complet automatizate.

Escrocii folosesc scripturi pentru a implementa în masă contracte rău intenționate, pentru a crea site-uri web de phishing, pentru a genera link-uri înșelătorie și pentru a le promova prin:

· Reclame pentru motoare de căutare

· Grupuri de discordie

· Răspunsuri Twitter/X

· Cadouri false și Airdrops NFT

Ei așteaptă doar acel moment - când dai clic. O singură semnătură, iar bunurile tale sunt ale lor.

4. Cum se luptă UKey

Securitatea nu ar trebui să fie niciodată sarcina exclusivă a utilizatorului. La UKey, construim o apărare pe mai multe straturi pentru a elimina aceste lacune ascunse.

Iată ce am făcut (și continuăm să ne îmbunătățim):

(1) Avertismente de date hexadecimale – Prima barieră mentală

Când un utilizator activează opțiunea de „afișare a datelor hexadecimale” într-o tranzacție,UKkey afișează imediat un avertisment clar:

⚠️ Această tranzacție include date hexadecimale și poate implica interacțiunea unui contract inteligent sau aprobări de simboluri. Fii precaut.

Nu este un regret post-semnare. Este o apărare preventivă, chiar de la primul clic.

Dorim ca utilizatorii să rămână vigilenți, deoarece Hex Data este un instrument puternic, dar și o armă în mâinile greșite.

(2) Analiza hexadecimală a datelor + Alerte privind funcțiile cu risc ridicat

Pentru toate lanțurile EVM, UKey oferă acum decodare ABI în timp real + analiza riscului funcției:

· Arată clar metoda apelată

· Evidențiază comportamentul cu risc ridicat înainte de a semna, inclusiv:

o 🧾 Vizibilitatea adresei țintă — Este acesta un contract sigur cunoscut sau o adresă suspectă?

o 🕵️ Interacțiuni istorice — Ați mai semnat cu această adresă?

o 💰 Token și sumă — Ce anume aprobați sau trimiteți?

Prin aceasta, utilizatorii nu mai semnează orbește, ci cu context real și conștientizare deplină.

(3) Confirmare portofel hardware

Cu UKey Pro, nu vedeți șiruri Hex brute.

Vedeți informații reale, care pot fi citite de oameni chiar pe ecranul dispozitivului dvs.:

· 🔍 Numele funcției — Aflați ce semnați de fapt.

· 💵 Tipul și suma jetonului — Îți autorizezi întregul sold?

· 📍 Adresa de destinație — Este cunoscută sau este un steag roșu?

Fiecare domeniu este aici pentru a vă ajuta să luați o decizie în cunoștință de cauză, nu o ghicire oarbă.

5. Cuvinte finale

Nu există nicio „anulare” pe blockchain. Fiecare semnătură este finală.

Știm cât de ușor este să gândești:

„Credeam că doar îmi conectez portofelul...”

De aceea am construit fiecare strat de UKey având în vedere protecția reală a utilizatorului.

Fiecare semnătură este o chestiune de încredere. Și UKey este aici pentru a fi cea mai de încredere apărare pe care o aveți.

Ați primit răspuns la întrebare?