За последний год мы видели, как многие пользователи мгновенно теряли активы своих кошельков без видимого предупреждения.

Еще более удивительно то, что злоумышленнику даже не нужно сначала инициировать обычную передачу.

Им может понадобиться просто подпись транзакции с «шестнадцатеричными данными».

Это может выглядеть как простая операция: запросите NFT, присоединитесь к раздаче, подключитесь к DApp или веб-сайту войдите в систему.

Кажется безобидным: ​0 ETH, отправленный на адрес смарт-контракта.

Но настоящая угроза скрыта в «шестнадцатеричных данных».

Здесь злоумышленник закодирует вызовы вредоносных функций, например:

· approve()

· increaseAllowance()

· transferFrom()

· setApprovalForAll()

· sweepToken()(Настраиваемая функция вредоносного контракта)

Если эти функции пропущены, контроль над активами может быть передан злоумышленникам.

После завершения подписи другая сторона может передать ваш ERC-20 жетон или NFT без повторного подтверждения.

Многие транзакции ончейн могут носить разовый характер, даже если они не передают активы. Вызов смарт-контракта.

Так называемые «шестнадцатеричные данные» обычно представляют собой «метод + параметры», закодированные ABI.

Пример:

0xa9059cbb00000000000000000000000008e8...000000000000000000000000000000000000000000000000000000005f5e100

· Первые 4 байта 0xa9059cbb: переключатель функций, в данном случае transfer(address,uint256)

· Остальное: закодированные параметры, такие как адрес жетон, адрес получения, числовое значение и т. д.

Для злоумышленника это может стать точкой входа для выполнения вредоносной логики.

Для пользователя, не разбирающегося в технических деталях, это выглядит просто бессмысленной строкой символов.

Вот где ловушка: слепая подпись.

В глазах пользователей это может быть всего лишь транзакция на нулевую сумму; в контракте, разработанном злоумышленником, это может быть группа высокого риска одобрение.

Такие рискованные сделки, как правило, имеют некоторые общие характеристики:

· 💸 0 ETH или небольшие транзакции: Уменьшите свою бдительность.

· 🧬 Шестнадцатеричные данные, скрывающие вызовы с высоким риском: Замаскировано под простую операцию.

· 🧠 Получатель — смарт-контракт: Это не обычный личный адрес, это может быть вредоносный контракт.

· ⚠️ Подпись = Выполнить: Одно подтверждение может инициировать одобрение или передачу актива.

Еще более неприятно: Эти типы атак могут быть высокоавтоматизированы.

Злоумышленники будут использовать скрипты для масштабного развертывания вредоносных контрактов, запуска веб-сайта фишинг, создания ссылок с высоким уровнем риска и продвижения с помощью следующих методов:

· Поисковая реклама

· Группа раздора

· Twitter/X Ответ

· Поддельные подарки и раздачи NFT

Когда пользователь нажимает кнопку подтверждения, одна подпись может передать активы под контроль другой стороны.

Безопасность не должна быть исключительной ответственностью пользователя. UKey строится Несколько уровней защиты, чтобы помочь выявить эти скрытые риски.

В настоящее время мы продолжим усиливать защиту по следующим аспектам:

Когда пользователь выбирает опцию «Показать шестнадцатеричные данные» в транзакции Включено, UKey немедленно отобразит четкое напоминание.:

⚠️ Эта транзакция содержит шестнадцатеричные данные и может включать взаимодействие со смарт-контрактом или жетонодобрение. Пожалуйста, внимательно подтвердите.

Это не второстепенная мысль, а еще до подписания. Активная защита.

Мы просим пользователей сделать паузу и подтвердить перед подписанием: шестнадцатеричные данные сами по себе являются мощным инструментом, но они также могут быть точкой входа для риска в вредоносных сценариях.

Для цепочек EVM UKey предоставляет Декодирование ABI в реальном времени + анализ рисков функции:

· Четко покажите вызываемый метод

· перед подписанием Отмечайте поведение высокого риска, в том числе:

о 🧾 Идентификация целевого адреса: Это известный контракт безопасности или подозрительный адрес?

о 🕵️ историческое взаимодействие: Вы уже взаимодействовали с этим адресом раньше?

о 💰 жетон и сумма: Что вам на самом деле нужно, одобрение или отправить?

Таким образом, пользователи могут видеть реальный контекст перед подписанием, а не просто видеть строку нерасшифрованных шестнадцатеричных данных.

Использование UKey Про Вам не нужно просто смотреть на необработанную шестнадцатеричную строку.

Вы можете увидеть на экране вашего устройства Реальная, читаемая информация:

· 🔍 имя функции — Знайте, что вы на самом деле подписываете.

· 💵 Тип и количество жетон: Вы списываете весь свой баланс с одобрение?

· 📍 адрес назначения: Это знакомый адрес или сигнал риска?

Каждая часть информации может помочь вам сделать более четкое суждение, Уменьшите ошибочную маркировку и ошибочные суждения.

Транзакции ончейн обычно не могут быть «отменены». Каждая подпись должна быть тщательно подтверждена.

Мы также понимаем, что пользователям легко думать так:

«Я думал, что просто подключаю свой кошелек…»

Поэтому мы проектируем каждый уровень UKey. Настоящая защита пользователя Поставьте его на важное место.

Каждая подпись — это свидетельство доверия. UKey поможет вам просмотреть дополнительную информацию о рисках перед подтверждением.