Протягом останнього року ми спостерігали, як багато користувачів миттєво втрачали активи свого гаманця без видимого попередження.

Ще більш дивним є те, що зловмиснику навіть не потрібно спочатку ініціювати звичайну передачу.

Їм може знадобитися просто підпис транзакції з «шістнадцятковими даними».

Це може виглядати як проста операція: отримати NFT, приєднатися до airdrop, підключитися до DApp або веб-сайту увійти.

Здається нешкідливим: ​0 ETH, надісланий на адресу смарт-контракту.

Але справжня загроза прихована в «шістнадцяткових даних».

Зловмисник кодував би виклики шкідливих функцій тут, наприклад:

· approve()

· increaseAllowance()

· transferFrom()

· setApprovalForAll()

· sweepToken()(Налаштована функція зловмисного контракту)

Якщо ці функції не виконуються, контроль над активами може бути переданий зловмисникам.

Після завершення підпису інша сторона може передати ваш ERC-20 жетон або NFT без повторного підтвердження.

Багато транзакцій по ланцюгу можуть бути одноразовими за своєю природою, навіть якщо вони не передають активи Виклик смарт-контракту.

Так звані «шістнадцяткові дані» — це зазвичай «метод + параметри», закодовані ABI.

приклад:

0xa9059cbb00000000000000000000000008e8...000000000000000000000000000000000000000000000000000000005f5e100

· Перші 4 байти 0xa9059cbb: селектор функцій, у цьому випадку transfer(address,uint256)

· Решта: закодовані параметри, такі як адреса жетон, адреса отримання, числове значення тощо.

Для зловмисника це може стати точкою входу для виконання зловмисної логіки.

Для користувача, який не розуміє технічних деталей, це виглядає просто як безглуздий рядок символів.

Ось де криється пастка: сліпий підпис.

В очах користувачів це може бути лише транзакція на нульову суму; у контракті, розробленому зловмисником, це може бути група високого ризику схвалення.

Такі ризиковані операції, як правило, мають деякі спільні характеристики:

· 💸 0 ETH або невеликі транзакції: Знизьте охорону.

· 🧬 Шістнадцяткові дані приховують виклики з високим ризиком: маскується під просту операцію.

· 🧠 Приймачем є смарт-контракт: Це не звичайна особиста адреса, це може бути зловмисний контракт.

· ⚠️ Підпис = Виконати: одне підтвердження може ініціювати схвалення або передачу активів.

Ще більш клопітно: ​Ці типи атак можуть бути високоавтоматизованими.

Зловмисники використовуватимуть сценарії для розгортання зловмисних контрактів у великих масштабах, запуску веб-сайту фішинг, створення посилань із високим ризиком і просування за допомогою таких методів:

· Пошукова реклама

· Група Discord

· Twitter/X Відповідь

· Підроблені розіграші та роздачі NFT

Коли користувач натискає для підтвердження, один підпис може поставити активи під контроль іншої сторони.

Безпека не повинна бути виключною відповідальністю користувача. UKey будується Кілька рівнів захисту, щоб допомогти визначити ці приховані ризики.

Наразі ми продовжимо посилювати захист із таких аспектів:

Коли користувач вибирає параметр «Показати шістнадцяткові дані» в транзакції Увімкнено, UKey негайно відобразить чітке нагадування:

⚠️ Ця транзакція містить шістнадцяткові дані та може включати взаємодію смарт-контракту або жетонсхвалення. Уважно підтвердьте.

Це не задумка, а перед підписанням. Активний захист.

Ми просимо користувачів призупинити та підтвердити, перш ніж підписувати: шістнадцяткові дані самі по собі є потужним інструментом, але вони також можуть бути точкою входу до ризику у зловмисних сценаріях.

Для ланцюгів EVM надає UKey Декодування ABI в режимі реального часу + аналіз ризику функції:

· Чітко покажіть метод, який викликається

· до підписання Позначайте поведінку високого ризику, зокрема:

о 🧾 Ідентифікація цільової адреси: Це відомий договір безпеки чи підозріла адреса?

о 🕵️ історична взаємодія: Ви раніше спілкувалися з цією адресою?

о 💰 жетон і сума: Що ви насправді хочете схвалення або надіслати?

Таким чином, користувачі можуть бачити реальний контекст перед підписанням, а не просто стикатися з рядком нерозбірливих шістнадцяткових даних.

використання UKey Pro Вам не потрібно просто дивитися на необроблений шістнадцятковий рядок.

Ви можете побачити на екрані свого пристрою Реальна, читабельна інформація:

· 🔍 назва функції — Знайте, що ви насправді підписуєте.

· 💵 Тип і кількість жетон: Ви знімаєте весь свій баланс із схвалення?

· 📍 адреса призначення: Це знайома адреса чи сигнал ризику?

Кожна інформація може допомогти вам зробити чіткіше судження, Зменшіть неправильне маркування та неправильну оцінку.

Транзакції по ланцюгу зазвичай не можна "скасувати". Кожен підпис потрібно ретельно підтверджувати.

Ми також розуміємо, що користувачам легко думати так:

«Я думав, що просто підключив свій гаманець...»

Тому ми розробляємо кожен шар UKey Справжній захист користувача Поставте його на важливе місце.

Кожен підпис є доказом довіри. UKey допоможе вам побачити більше інформації про ризики перед підтвердженням.