Zum Hauptinhalt springen

Hex-Daten + Transaktionen mit 0 Wert: Die unsichtbare Falle, die On-Chain-Vermögenswerte auszehrt

Sie haben auf "Bestätigen" bei einer 0-ETH-Transaktion geklickt, und Ihre Mittel waren verschwunden. Keine Warnungen. Keine Übertragungen. Nur eine Signatur, und alles war verschwunden.

Heute aktualisiert

1. Ein lautloser Albtraum

Im vergangenen Jahr haben wir viel zu viele Nutzer gesehen, die ihr gesamtes Portfolio im Handumdrehen — ohne Vorwarnung — verloren haben.

Was noch schockierender ist? Der Angreifer brauchte nicht einmal, dass sie Tokens senden.

Alles, was nötig war, war eine Signatur — eine Transaktion, die Hex-Daten enthält.

Es mochte wie eine einfache Aktion aussehen: ein NFT einfordern, an einem Airdrop teilnehmen, eine DApp verbinden oder sich auf einer Website anmelden.

Scheinbar harmlos: 0 ETH, an eine Smart-Contract-Adresse gesendet.

Doch die eigentliche Bedrohung verbarg sich in den Hex-Daten.

Dort kodieren Angreifer bösartige Funktionsaufrufe wie:

  • approve()

  • increaseAllowance()

  • transferFrom()

  • setApprovalForAll()

  • sweepToken() (custom malicious contract functions)

Jede dieser Funktionen überträgt dem Angreifer die Kontrolle über Ihre Assets.

Einmal signiert, ist es vorbei — sie können Ihre ERC-20-Tokens oder NFTs nach Belieben ohne weitere Zustimmung abziehen.

2. Hex-Daten: dürfen kein blinder Fleck sein

Jede On-Chain-Transaktion — selbst ohne Vermögensübertragung — ist im Grunde ein Smart-Contract-Aufruf.

Die sogenannten Hex-Daten sind einfach ABI-kodierte "Methode + Parameter".

Beispiel:

0xa9059cbb0000000000000000000000008e8...0000000000000000000000000000000000000000000000000000000005f5e100

  • The first 4 bytes 0xa9059cbb: function selector, in this case transfer(address,uint256)

  • The rest: encoded parameters — token address, recipient, value, etc.

Für einen unwissenden Nutzer ist es nur eine bedeutungslose Zeichenfolge — wie ein kryptischer Zauberspruch in einer Sprache, die er nicht versteht.

Und genau hier liegt die Falle: blindes Signieren.

Was für Sie wie eine 0-Wert-Transaktion aussieht... sieht für den Angreifer wie vollständiger Zugriff auf Ihre Wallet aus.

What looks like a 0-value transaction to you…
…looks like full access to your wallet to the attacker.

3. Blind Signing, Hex Signing, and the Signature Hell

These scams tend to share a set of common traits:

  • 💸 0 ETH or small-value transaction: to disarm your skepticism.

  • 🧬 Hex Data carries malicious intent: disguised as a simple action.

  • 🧠 Recipient is a smart contract: not a person — but a trap.

  • Und was noch schlimmer ist: Diese Angriffe sind vollautomatisiert.

Betrüger verwenden Skripte, um bösartige Verträge massenhaft bereitzustellen, Phishing-Websites aufzusetzen, Betrugslinks zu generieren und diese über:

Scammers use scripts to mass-deploy malicious contracts, spin up phishing websites, generate scam links, and promote them via:

  • Search engine ads

  • Discord groups

  • Twitter/X replies

  • Sie warten nur auf den einen Moment — wenn Sie klicken. Eine Signatur, und Ihre Vermögenswerte gehören ihnen.

They're just waiting for that one moment — when you click.
One signature, and your assets are theirs.

4. How OneKey Fights Back

Das haben wir bereits umgesetzt (und verbessern es ständig):

Here's what we've done (and keep improving):

(1) Hex Data Warnings — The First Mental Barrier

⚠️ Diese Transaktion enthält Hex-Daten und kann eine Interaktion mit einem Smart Contract oder Token-Berechtigungen beinhalten. Vorsicht ist geboten.

Es ist kein Bedauern nach der Signatur. Es ist eine präventive Verteidigung, beim allerersten Klick.

Wir wollen, dass Nutzer wachsam bleiben — denn Hex-Daten sind ein mächtiges Werkzeug, aber in falschen Händen auch eine Waffe.

We want users to stay vigilant — because Hex Data is a powerful tool, but also a weapon in the wrong hands.

(2) Hex Data Parsing + High-Risk Function Alerts

For all EVM chains, OneKey now provides real-time ABI decoding + function risk analysis:

  • Clearly shows the method being called

  • Highlights high-risk behavior before you sign, including:

    • 🧾 Target address visibility — Is this a known safe contract or a suspicious address?

    • 🕵️ Historical interactions — Have you signed with this address before?

    • Damit signieren Nutzer nicht mehr blind — sondern mit echtem Kontext und voller Bewusstheit.

With this, users no longer sign blindly — but with real context and full awareness.

Mit OneKey Pro sehen Sie keine rohen Hex-Strings.

(3) Hardware Wallet Confirmation

With OneKey Pro, you don't see raw Hex strings.

🔍 Funktionsname — Wissen Sie, was Sie tatsächlich signieren.

  • 💵 Token-Typ & Betrag — Autorisieren Sie Ihr gesamtes Guthaben?

  • 📍 Zieladresse — Ist diese vertraut oder ein Warnsignal?

  • 📍 Destination address — Is this familiar, or a red flag?

Auf der Blockchain gibt es kein Zurück. Jede Signatur ist endgültig.

Wir wissen, wie leicht man denken kann:

5. Final Words

Deshalb haben wir jede Ebene von OneKey mit echtem Nutzerschutz im Blick entwickelt.

Jede Signatur ist eine Frage des Vertrauens. Und OneKey ist hier, um die vertrauenswürdigste Verteidigung zu sein, die Sie haben.

🛡️ Laden Sie jetzt die OneKey App herunter

That's why we've built every layer of OneKey with real user protection in mind.

Every signature is a matter of trust.
And OneKey is here to be the most trustworthy defense you have.

🛡️ Download the OneKey App now

Verwandte Artikel
OneKey App Nutzungsvereinbarung
Nutzer-Servicevereinbarung
Datenschutzerklärung
OneKey App Änderungsprotokoll
Firmware-Änderungsprotokoll für OneKey Pro
Hat dies deine Frage beantwortet?