Перейти до основного контенту

Шістнадцяткові дані + транзакції з нульовою вартістю: невидима пастка, що вичерпує активи в мережі

Ви натиснули «Підтвердити» на транзакції 0 ETH, і ваші кошти зникли. Без попереджень. Без пересадок. Лише один підпис, все зникло

U
Автор: UKey Wallet

1. Кошмар без звуку

За останній рік ми спостерігали, як дуже багато користувачів втратили всі свої портфоліо миттєво — без попередження.

Що шокує більше? Зловмиснику навіть не потрібно було, щоб вони надсилали будь-які токени.

Для цього знадобився лише один підпис — транзакція з «шістнадцятковими даними».

Це могло виглядати як проста дія: отримання NFT, приєднання до airdrop, підключення DApp або вхід на сайт.

На перший погляд нешкідливий: ​0 ETH, надіслано на адресу смарт-контракту.

Але справжня загроза була прихована всередині Hex Data.

Саме тут зловмисники кодують шкідливі виклики функцій, наприклад:

· approve()

· increaseAllowance()

· transferFrom()

· setApprovalForAll()

· sweepToken() (спеціальні зловмисні функції контракту)

Кожна з цих функцій надає контроль над вашими активами зловмиснику.

Після підписання гра закінчена — вони можуть за бажанням витрачати ваші токени ERC-20 або NFT без подальшого схвалення.

2. Шістнадцяткові дані: не повинні бути сліпою плямою

Кожна мережева транзакція — навіть без передачі активів — це, по суті, розумний контракт.

Так звані «шістнадцяткові дані» — це просто закодований ABI «метод + параметри».

приклад:

0xa9059cbb000000000000000000000008e8...00000000000000000000000000000000000000000000000000005f5e100

· Перші 4 байти 0xa9059cbb: селектор функції, у цьому випадку transfer(address,uint256)

Error 500 (Server Error)!!1500.That’s an error.There was an error. Please try again later.That’s all we know.

Для зловмисника це універсальний пропуск для виконання довільної логіки.

Для необізнаного користувача це просто безглуздий рядок — як загадкове заклинання мовою, яку він не розуміє.

І ось тут криється пастка: сліпий підпис.

Що для вас виглядає як транзакція нульової вартості… … виглядає як повний доступ до вашого гаманця для зловмисника.

3. Сліпий підпис, шістнадцятковий підпис і пекло підпису

Ці шахрайства мають набір спільних рис:

· 💸 0 ETH або транзакція на невелику суму: щоб роззброїти ваш скептицизм.

· 🧬 Шістнадцяткові дані мають зловмисний намір: замасковані під просту дію.

· 🧠 Одержувач — це розумний контракт: не людина, а пастка.

· ⚠️ Підпис = виконання: один клік дає їм повний контроль.

І що ще гірше: ​Ці атаки повністю автоматизовані.

Шахраї використовують сценарії для масового розгортання зловмисних контрактів, розкручування фішингових веб-сайтів, створення шахрайських посилань і просування їх за допомогою:

· Оголошення в пошукових системах

· Групи розбрату

· Відповіді Twitter/X

· Фальшиві розіграші та роздачі NFT

Вони просто чекають тієї миті — коли ви клацнете. Один підпис, і ваші активи належать їм.

4. Як UKey дає відсіч

Безпека ніколи не повинна бути тягарем лише для користувача. У UKey ми створюємо багаторівневий захист, щоб закрити ці приховані прогалини.

Ось що ми зробили (і продовжуємо вдосконалювати):

(1) Застереження щодо шістнадцяткових даних — перший ментальний бар’єр

Коли користувач вмикає опцію «показати шістнадцяткові дані» в транзакції,UKey негайно відображає чітке попередження:

⚠️ Ця транзакція включає шістнадцяткові дані та може передбачати взаємодію з розумним контрактом або схвалення токенів. Будьте обережні.

Це не жаль після підпису. Це превентивний захист від першого ж натискання.

Ми хочемо, щоб користувачі залишалися пильними, тому що Hex Data є потужним інструментом, але водночас і зброєю в чужих руках.

(2) Розбір шістнадцяткових даних + сповіщення про функцію високого ризику

Для всіх ланцюжків EVM UKey тепер забезпечує декодування ABI в реальному часі + аналіз ризику функції:

· Чітко показує викликаний метод

· Висвітлює поведінку високого ризику перед підписанням, зокрема:

o 🧾 Видимість цільової адреси — це завідомо безпечний контракт чи підозріла адреса?

o 🕵️ Історичні взаємодії — Чи підписували ви раніше цю адресу?

o 💰 Токен і сума — Що саме ви схвалюєте чи надсилаєте?

Завдяки цьому користувачі більше не підписуються наосліп, а з реальним контекстом і повною обізнаністю.

(3) Підтвердження апаратного гаманця

З UKey Pro ви не бачите необроблених шістнадцяткових рядків.

Ви бачите справжню, зрозумілу людині інформацію прямо на екрані свого пристрою:

· 🔍 Назва функції — знайте, що ви насправді підписуєте.

· 💵 Тип і сума токена — Ви авторизуєте весь баланс?

· 📍 Адреса призначення — Це знайоме чи червоний прапорець?

Кожне поле тут, щоб допомогти вам прийняти зважене рішення, не сліпа здогадка.

5. Заключні слова

У блокчейні немає «скасування». Кожен підпис є остаточним.

Ми знаємо, як легко думати:

«Я думав, що просто підключаю свій гаманець…»

Ось чому ми створили кожен рівень UKey з урахуванням справжнього захисту користувачів.

Кожен підпис є предметом довіри. І UKey тут, щоб стати найнадійнішим захистом, який у вас є.

Ви отримали відповідь на своє запитання?