Bỏ qua đến nội dung chính

Dữ liệu Hex + Giao dịch giá trị 0: Bẫy vô hình làm cạn kiệt tài sản trên chuỗi

Bạn đã nhấp vào "Xác nhận" trên giao dịch 0 ETH và số tiền của bạn đã biến mất. Không có cảnh báo. Không chuyển nhượng. Chỉ cần một chữ ký, mọi thứ đều biến mất

U
Được viết bởi UKey Wallet

1. Cơn ác mộng không tiếng động

Trong năm qua, chúng tôi đã thấy quá nhiều người dùng mất toàn bộ danh mục đầu tư của mình ngay lập tức — mà không có cảnh báo trước.

Còn gì sốc hơn? Kẻ tấn công thậm chí không cần họ gửi bất kỳ token nào.

Tất cả chỉ cần một chữ ký - một giao dịch mang Dữ liệu Hex.

Nó có thể trông giống như một hành động đơn giản: yêu cầu NFT, tham gia airdrop, kết nối DApp hoặc đăng nhập vào một trang web.

Có vẻ vô hại: ​0 ETH, được gửi đến địa chỉ hợp đồng thông minh.

Nhưng mối đe dọa thực sự lại ẩn giấu bên trong Dữ liệu Hex.

Đó là nơi kẻ tấn công mã hóa các lệnh gọi hàm độc hại như:

· phê duyệt()

· tăngPhụ cấp()

· chuyểnTừ()

· setApprovalForAll()

· sweepToken() (chức năng hợp đồng độc hại tùy chỉnh)

Mỗi chức năng này cấp quyền kiểm soát tài sản của bạn cho kẻ tấn công.

Sau khi đăng nhập, trò chơi sẽ kết thúc — họ có thể tiêu hủy mã thông báo ERC-20 hoặc NFT của bạn theo ý muốn mà không cần phê duyệt thêm.

2. Dữ liệu hex: Không có nghĩa là một điểm mù

Mọi giao dịch trực tuyến — ngay cả khi không chuyển giao tài sản, về cơ bản vẫn là lệnh gọi hợp đồng thông minh.

Cái gọi là Dữ liệu Hex chỉ là “phương thức + tham số” được mã hóa ABI.

Ví dụ:

0xa9059cbb000000000000000000000000008e8...0000000000000000000000000000000000000000000000000000000000000005f5e100

· 4 byte đầu tiên 0xa9059cbb: bộ chọn hàm, trong trường hợp này là transfer(address,uint256)

· Phần còn lại: các tham số được mã hóa - địa chỉ mã thông báo, người nhận, giá trị, v.v.

Đối với kẻ tấn công, đây là thẻ phổ quát để thực thi logic tùy ý.

Đối với người dùng không biết, đó chỉ là một chuỗi vô nghĩa — giống như một câu thần chú khó hiểu bằng ngôn ngữ mà họ không hiểu.

Và đó chính là cái bẫy: ký tên mù.

Đối với bạn, điều gì trông giống như một giao dịch có giá trị 0… …có vẻ như kẻ tấn công có toàn quyền truy cập vào ví của bạn.

3. Ký mù, ký lục lục giác và địa ngục chữ ký

Những trò gian lận này có xu hướng chia sẻ một số đặc điểm chung:

· 💸 0 ETH hoặc giao dịch có giá trị nhỏ: để giải tỏa sự hoài nghi của bạn.

· 🧬 Dữ liệu Hex mang mục đích xấu: được ngụy trang dưới dạng một hành động đơn giản.

· 🧠 Người nhận là một hợp đồng thông minh: không phải là người — mà là một cái bẫy.

· ⚠️ Chữ ký = thực thi: một cú nhấp chuột sẽ mang lại cho họ toàn quyền kiểm soát.

Và điều tồi tệ hơn: Các cuộc tấn công này hoàn toàn tự động.

Những kẻ lừa đảo sử dụng tập lệnh để triển khai hàng loạt các hợp đồng độc hại, tạo ra các trang web lừa đảo, tạo liên kết lừa đảo và quảng bá chúng thông qua:

· Quảng cáo trên công cụ tìm kiếm

· Nhóm bất hòa

· Twitter/X trả lời

· Quà tặng giả và airdrop NFT

Họ chỉ chờ đợi khoảnh khắc đó — khi bạn nhấp chuột. Một chữ ký và tài sản của bạn là của họ.

4. Ukey chống trả như thế nào

Bảo mật không bao giờ nên là gánh nặng của riêng người dùng. Tại UKey, chúng tôi đang xây dựng một hệ thống phòng thủ nhiều lớp để thu hẹp những khoảng trống tiềm ẩn này.

Đây là những gì chúng tôi đã làm (và tiếp tục cải thiện):

(1) Cảnh báo dữ liệu Hex - Rào cản tinh thần đầu tiên

Khi người dùng kích hoạt tùy chọn "hiển thị dữ liệu Hex" trong giao dịch, UKey ngay lập tức hiển thị cảnh báo rõ ràng:

⚠️ Giao dịch này bao gồm Dữ liệu Hex và có thể liên quan đến tương tác hợp đồng thông minh hoặc phê duyệt mã thông báo. Hãy thận trọng.

Đó không phải là một sự hối tiếc sau chữ ký. Đó là phòng thủ phủ đầu ngay từ cú nhấp chuột đầu tiên.

Chúng tôi muốn người dùng luôn cảnh giác — vì Hex Data là một công cụ mạnh mẽ nhưng cũng là vũ khí rơi vào tay kẻ xấu.

(2) Phân tích dữ liệu Hex + Cảnh báo chức năng có rủi ro cao

Đối với tất cả các chuỗi EVM, UKey hiện cung cấp giải mã ABI thời gian thực + phân tích rủi ro chức năng:

· Hiển thị rõ ràng phương thức được gọi

· Nêu bật hành vi có nguy cơ cao trước khi bạn ký, bao gồm:

o 🧾 Khả năng hiển thị địa chỉ mục tiêu — Đây có phải là hợp đồng an toàn đã biết hay địa chỉ đáng ngờ?

o 🕵️ Tương tác lịch sử — Bạn đã từng ký tên bằng địa chỉ này trước đây chưa?

o 💰 Mã thông báo & số tiền — Chính xác thì bạn đang phê duyệt hoặc gửi gì?

Với điều này, người dùng không còn ký tên một cách mù quáng nữa — mà với bối cảnh thực tế và nhận thức đầy đủ.

(3) Xác nhận ví phần cứng

Với UKey Pro, bạn không thấy chuỗi Hex thô.

Bạn thấy thông tin thực, con người có thể đọc được ngay trên màn hình thiết bị của mình:

· 🔍 Tên chức năng — Biết bạn đang thực sự ký những gì.

· 💵 Loại và số lượng mã thông báo — Bạn có ủy quyền toàn bộ số dư của mình không?

· 📍 Địa chỉ đích — Đây có phải là địa chỉ quen thuộc hay là cờ đỏ?

Mọi lĩnh vực đều có mặt để giúp bạn đưa ra quyết định sáng suốt, không phải là một sự đoán mò mù quáng.

5. Lời cuối cùng

Không có “hoàn tác” trên blockchain. Mọi chữ ký đều là cuối cùng.

Chúng tôi biết thật dễ dàng để suy nghĩ:

“Tôi tưởng tôi chỉ đang kết nối ví của mình…”

Đó là lý do tại sao chúng tôi đã xây dựng mọi lớp UKey với mục tiêu bảo vệ người dùng thực sự.

Mỗi chữ ký đều là vấn đề của sự tin tưởng. Và Ukey ở đây là người bảo vệ đáng tin cậy nhất mà bạn có.

Nội dung này có giải đáp được câu hỏi của bạn không?