1. Un Cauchemar Silencieux
Au cours de la dernière année, nous avons vu bien trop d'utilisateurs perdre la totalité de leur portefeuille en un instant — sans avertissement.
Qu'est-ce qui est encore plus choquant ?
L'attaquant n'a même pas eu besoin qu'ils envoient de tokens.
Une seule signature a suffi — une transaction contenant des Données Hex.
Cela aurait pu ressembler à une action simple : réclamer un NFT, rejoindre un airdrop, connecter une DApp, ou se connecter à un site.
Apparemment inoffensif :
0 ETH, envoyé à une adresse de contrat intelligent.
Mais la véritable menace était cachée dans les Données Hex.
C'est là que les attaquants encodent des appels de fonction malveillants tels que :
approve()increaseAllowance()transferFrom()setApprovalForAll()sweepToken()(fonctions de contrat malveillant personnalisées)
Chacune de ces fonctions accorde le contrôle de vos actifs à l'attaquant.
Une fois signée, c'est terminé — ils peuvent drainer vos tokens ERC-20 ou vos NFT à volonté, sans approbation supplémentaire.
2. Les Données Hex : Pas Censées Être un Angle Mort
Chaque transaction on-chain — même sans transfert d'actifs — est essentiellement un appel à un contrat intelligent.
Les soi-disant Données Hex ne sont que des "méthode + paramètres" encodés en ABI.
Exemple :
0xa9059cbb0000000000000000000000008e80000000000000000000000000000000000000000000000000000000005f5e100
Les 4 premiers octets
0xa9059cbb: sélecteur de fonction, dans ce castransfer(address,uint256)Le reste : paramètres encodés — adresse du token, destinataire, valeur, etc.
Pour un attaquant, c'est un passe-partout universel pour exécuter une logique arbitraire.
Pour un utilisateur non averti, ce n'est qu'une chaîne dénuée de sens — comme un sortilège cryptique dans une langue qu'il ne comprend pas.
Et c'est là que réside le piège : la signature à l'aveugle.
Ce qui vous semble être une transaction de valeur nulle…
…ressemble à un accès complet à votre portefeuille pour l'attaquant.
3. Signature à l'Aveugle, Signature Hex et l'Enfer de la Signature
Ces escroqueries ont tendance à partager un ensemble de caractéristiques communes :
💸 Transaction de 0 ETH ou de faible valeur : pour désarmer votre scepticisme.
🧬 Les Données Hex cachent une intention malveillante : déguisées en action simple.
🧠 Le destinataire est un contrat intelligent : pas une personne — mais un piège.
⚠️ Une signature = une exécution : un clic leur donne le contrôle total.
Et ce qui est pire :
Ces attaques sont entièrement automatisées.
Les escrocs utilisent des scripts pour déployer en masse des contrats malveillants, créer des sites de phishing, générer des liens d'arnaque et les promouvoir via :
Publicités sur les moteurs de recherche
Groupes Discord
Réponses sur Twitter/X
Faux cadeaux et airdrops de NFT
Ils n'attendent que ce moment — celui où vous cliquerez.
Une signature, et vos actifs leur appartiennent.
4. Comment OneKey Contre-Attaque
La sécurité ne devrait jamais être la seule charge de l'utilisateur.
Chez OneKey, nous construisons une défense multicouche pour combler ces lacunes cachées.
Voici ce que nous avons fait (et continuons d'améliorer) :
(1) Avertissements sur les Données Hex — La Première Barrière Mentale
Lorsqu'un utilisateur active l'option "afficher les Données Hex" dans une transaction,OneKey affiche immédiatement un avertissement clair :
⚠️ Cette transaction inclut des Données Hex et peut impliquer une interaction avec un contrat intelligent ou des approbations de token. Soyez prudent.
Ce n'est pas un regret après signature.
C'est une défense préventive, dès le premier clic.
Nous voulons que les utilisateurs restent vigilants — car les Données Hex sont un outil puissant, mais aussi une arme entre de mauvaises mains.
(2) Analyse des Données Hex et Alertes de Fonctions à Haut Risque
Pour toutes les chaînes EVM, OneKey fournit désormais un décodage ABI en temps réel + une analyse des risques de fonction :
Affiche clairement la méthode appelée
Met en évidence les comportements à haut risque avant de signer, y compris :
🧾 Visibilité de l'adresse cible — S'agit-il d'un contrat sûr connu ou d'une adresse suspecte ?
🕵️ Interactions historiques — Avez-vous déjà signé avec cette adresse ?
💰 Token et montant — Qu'approuvez-vous ou envoyez-vous exactement ?
Avec cela, les utilisateurs ne signent plus aveuglément — mais avec un contexte réel et une pleine conscience.
(3) Confirmation par Portefeuille Matériel
Avec OneKey Pro, vous ne voyez pas de chaînes Hex brutes.
Vous voyez des informations réelles et lisibles par l'homme directement sur l'écran de votre appareil :
🔍 Nom de la fonction — Sachez ce que vous signez réellement.
💵 Type et montant du token — Autorisez-vous tout votre solde ?
📍 Adresse de destination — Est-elle familière, ou un signal d'alarme ?
Chaque champ est là pour vous aider à prendre une décision éclairée,
pas une supposition aveugle.
5. Derniers Mots
Il n'y a pas d'""undo"" sur la blockchain.
Chaque signature est définitive.
Nous savons à quel point il est facile de penser :
« Je pensais juste connecter mon portefeuille… »
C'est pourquoi nous avons conçu chaque couche de OneKey avec la protection réelle de l'utilisateur à l'esprit.
Chaque signature est une question de confiance.
Et OneKey est là pour être la défense la plus digne de confiance que vous ayez.