Bỏ qua đến nội dung chính

Dữ liệu thập lục phân + số tiền giao dịch 0: cái bẫy vô hình của việc mất tài sản trên chuỗi

Bạn nhấn "Xác nhận" đối với giao dịch 0 ETH và đột nhiên tài sản đó biến mất. Không có cảnh báo rõ ràng và không có hồ sơ chuyển nhượng thông thường. Vấn đề có thể nằm ở chữ ký đó.

U
Được viết bởi UKey Wallet

1. Cơn ác mộng thầm lặng

Trong năm qua, chúng tôi đã thấy nhiều người dùng mất tài sản ví của họ ngay lập tức mà không có cảnh báo rõ ràng.

Điều đáng ngạc nhiên hơn nữa là kẻ tấn công thậm chí không cần thực hiện chuyển khoản bình thường trước.

Thứ họ cần có thể chỉ là chữ ký giao dịch với "dữ liệu hex".

Nó có thể trông giống như một thao tác đơn giản: yêu cầu NFT, tham gia airdrop, kết nối với DApp hoặc trang web đăng nhập.

Có vẻ vô hại: ​0 ETH, được gửi đến địa chỉ hợp đồng thông minh.

Nhưng mối đe dọa thực sự lại ẩn chứa trong "dữ liệu hex".

Kẻ tấn công sẽ mã hóa các lệnh gọi hàm độc hại ở đây, ví dụ:

· approve()

· increaseAllowance()

· transferFrom()

· setApprovalForAll()

· sweepToken()(Chức năng hợp đồng độc hại được tùy chỉnh)

Một khi các chức năng này bị sai, quyền kiểm soát tài sản có thể được chuyển giao cho kẻ tấn công.

Sau khi chữ ký hoàn tất, bên kia có thể chuyển ERC-20 mã thông báo hoặc NFT của bạn mà không cần xác nhận lại.

2. Dữ liệu thập lục phân không phải là điểm mù

Nhiều giao dịch trên chuỗi về bản chất có thể là giao dịch một lần ngay cả khi chúng không chuyển tài sản Cuộc gọi hợp đồng thông minh.

Cái gọi là "dữ liệu thập lục phân" thường là "phương thức + tham số" được mã hóa bởi ABI.

Ví dụ:

0xa9059cbb00000000000000000000000008e8...000000000000000000000000000000000000000000000000000000005f5e100

· 4 byte đầu tiên 0xa9059cbb: bộ chọn chức năng, trong trường hợp này transfer(address,uint256)

· Phần còn lại: các tham số được mã hóa, chẳng hạn như địa chỉ mã thông báo, địa chỉ nhận, giá trị số, v.v.

Đối với kẻ tấn công, nó có thể trở thành điểm vào để thực thi logic độc hại.

Đối với người dùng không hiểu chi tiết kỹ thuật, nó chỉ giống như một chuỗi ký tự vô nghĩa.

Cái bẫy nằm ở đây: chữ ký mù.

Trong mắt người dùng, đó có thể chỉ là một giao dịch với số tiền 0; trong hợp đồng do kẻ tấn công thiết kế, nó có thể là một nhóm phê duyệt có rủi ro cao.

3. Chữ ký mù, chữ ký thập lục phân và chữ ký địa ngục

Những giao dịch rủi ro như vậy thường có một số đặc điểm chung:

· 💸 0 ETH hoặc giao dịch nhỏ: Hạ thấp sự cảnh giác của bạn.

· 🧬 Dữ liệu hex ẩn các cuộc gọi có rủi ro cao: Ngụy trang dưới dạng một thao tác đơn giản.

· 🧠 Người nhận là một hợp đồng thông minh: Đây không phải là địa chỉ cá nhân thông thường, nó có thể là một hợp đồng độc hại.

· ⚠️ Chữ ký = Thực thi: Một xác nhận duy nhất có thể kích hoạt phê duyệt hoặc chuyển giao tài sản.

Rắc rối hơn nữa là: ​Những kiểu tấn công này có thể được tự động hóa cao.

Những kẻ tấn công sẽ sử dụng các tập lệnh để triển khai các hợp đồng độc hại trên quy mô lớn, khởi chạy trang web lừa đảo, tạo ra các liên kết có độ rủi ro cao và quảng bá thông qua các phương thức sau:

· Quảng cáo trên công cụ tìm kiếm

· Nhóm bất hòa

· Trả lời Twitter/X

· Quà tặng giả và airdrop NFT

Khi người dùng nhấp để xác nhận, một chữ ký duy nhất có thể đặt tài sản dưới sự kiểm soát của bên kia.

4. UKey cung cấp khả năng bảo vệ như thế nào

Bảo mật không chỉ là trách nhiệm của người dùng. UKey đang được xây dựng Nhiều lớp phòng thủ, để giúp xác định những rủi ro tiềm ẩn này.

Hiện tại, chúng tôi sẽ tiếp tục tăng cường bảo vệ khỏi các khía cạnh sau:

(1) Cảnh báo dữ liệu thập lục phân: lời nhắc đầu tiên

Khi người dùng chọn tùy chọn "Hiển thị dữ liệu Hex" trong giao dịch Đã bật, UKey sẽ ngay lập tức hiển thị lời nhắc rõ ràng:

⚠️ Giao dịch này chứa dữ liệu thập lục phân và có thể liên quan đến tương tác hợp đồng thông minh hoặc mã thông báophê duyệt. Vui lòng xác nhận cẩn thận.

Đây không phải là suy nghĩ lại mà là trước khi ký. Bảo vệ chủ động.

Chúng tôi yêu cầu người dùng tạm dừng và xác nhận trước khi ký: Dữ liệu thập lục phân tự nó là một công cụ mạnh mẽ nhưng cũng có thể là điểm khởi đầu để gặp rủi ro trong các tình huống độc hại.

(2) Phân tích dữ liệu thập lục phân + nhắc nhở hàm rủi ro cao

Đối với chuỗi EVM, UKey cung cấp Giải mã ABI thời gian thực + phân tích rủi ro chức năng:

· Hiển thị rõ ràng phương thức được gọi

· trước khi ký Gắn cờ các hành vi có nguy cơ cao, bao gồm:

ồ 🧾 Nhận dạng địa chỉ mục tiêu: Đây có phải là một hợp đồng bảo mật đã biết hay một địa chỉ đáng ngờ?

ồ 🕵️ tương tác lịch sử: Bạn đã từng tương tác với địa chỉ này trước đây chưa?

ồ 💰 mã thông báo và số tiền: Bạn thực sự muốn phê duyệt hoặc gửi gì?

Bằng cách này, người dùng có thể xem bối cảnh thực tế trước khi ký, thay vì chỉ phải đối mặt với một chuỗi dữ liệu thập lục phân không thể giải mã được.

(3) Xác nhận ví phần cứng

sử dụng UKey Pro Bạn không cần phải chỉ nhìn chằm chằm vào chuỗi hex thô.

Bạn có thể thấy trên màn hình thiết bị của bạn Thông tin thực tế, dễ đọc:

· 🔍 tên hàm - Biết những gì bạn thực sự đang ký.

· 💵 Loại và số lượng mã thông báo: Bạn có đang khấu trừ toàn bộ số dư của mình khỏi phê duyệt không?

· 📍 địa chỉ đích: Đây là địa chỉ quen thuộc hay là tín hiệu rủi ro?

Mỗi thông tin có thể giúp bạn thực hiện phán đoán rõ ràng hơn, Giảm việc dán nhãn sai và đánh giá sai.

5. Lời cuối cùng

Các giao dịch trên chuỗi thường không thể "hoàn tác". Mỗi chữ ký cần phải được xác nhận cẩn thận.

Chúng tôi cũng hiểu rằng người dùng rất dễ có suy nghĩ như thế này:

"Tôi tưởng tôi chỉ đang kết nối ví của mình..."

Vì vậy, chúng tôi thiết kế từng lớp UKey Bảo vệ người dùng thực sự Đặt nó ở một vị trí quan trọng.

Mỗi chữ ký là một sự đánh giá của sự tin tưởng. UKey sẽ giúp bạn xem thêm thông tin rủi ro trước khi xác nhận.

Nội dung này có giải đáp được câu hỏi của bạn không?