1. 音のない悪夢
過去1年で、あまりにも多くのユーザーが予告なく一瞬でポートフォリオ全体を失うのを目にしました。
さらに衝撃的なのは、攻撃者はユーザーにトークンを送らせる必要すらなかったことです。
必要だったのはたった一つの署名 — Hexデータを含むトランザクションだけでした。
それは単純な操作に見えたかもしれません: NFTのクレーム、エアドロップへの参加、DAppへの接続、サイトへのサインインなど。
一見無害: 0 ETH がスマートコントラクトアドレスへ送られるだけ。
しかし本当の脅威はHexデータの中に隠れていました。
そこに攻撃者は次のような悪意のある関数呼び出しをエンコードします:
approve()
increaseAllowance()
transferFrom()
setApprovalForAll()
sweepToken() (custom malicious contract functions)
これらの関数はいずれも、あなたの資産の管理権を攻撃者に与えてしまいます。
一度署名すると終わりです — 攻撃者は追加の承認なしにあなたのERC-20トークンやNFTを好きなように引き出せます。
2. Hexデータ: 見落とすべき盲点ではない
オンチェーンのすべてのトランザクションは、資産を転送しない場合でも、本質的にスマートコントラクトの呼び出しです。
いわゆるHexデータは、ABIでエンコードされた "メソッド+パラメータ" にすぎません。
例:
0xa9059cbb0000000000000000000000008e8...0000000000000000000000000000000000000000000000000000000005f5e100
The first 4 bytes 0xa9059cbb: function selector, in this case transfer(address,uint256)
The rest: encoded parameters — token address, recipient, value, etc.
無知なユーザーにとってはそれはただの意味のない文字列にすぎず、彼らが理解できない言語での不可解な呪文のように見えます。
そして罠はそこにあります: ブラインド署名。
あなたにとっては0価値のトランザクションに見えても...攻撃者にとってはウォレットへの完全なアクセスに見えます。
What looks like a 0-value transaction to you…
…looks like full access to your wallet to the attacker.
3. Blind Signing, Hex Signing, and the Signature Hell
These scams tend to share a set of common traits:
💸 0 ETH or small-value transaction: to disarm your skepticism.
🧬 Hex Data carries malicious intent: disguised as a simple action.
🧠 Recipient is a smart contract: not a person — but a trap.
さらに悪いことに、これらの攻撃は完全に自動化されています。
詐欺師はスクリプトを使って悪意あるコントラクトを大量にデプロイし、フィッシングサイトを立ち上げ、詐欺リンクを生成して、次のような経路で拡散します:
Scammers use scripts to mass-deploy malicious contracts, spin up phishing websites, generate scam links, and promote them via:
Search engine ads
Discord groups
Twitter/X replies
彼らはあなたがクリックするその一瞬をただ待っています。1つの署名で、あなたの資産は彼らのものになります。
They’re just waiting for that one moment — when you click.
One signature, and your assets are theirs.
4. How OneKey Fights Back
以下が私たちが実施したこと(そして改善を続けていること)です:
Here’s what we’ve done (and keep improving):
(1) Hex Data Warnings — The First Mental Barrier
⚠️ このトランザクションにはHexデータが含まれており、スマートコントラクトのやり取りやトークン承認が関与している可能性があります。ご注意ください。
それは署名後の後悔ではありません。最初のクリック時点での予防的な防御です。
ユーザーには警戒を続けてほしいと考えています — Hexデータは強力なツールですが、悪意ある手に渡れば武器にもなります。
We want users to stay vigilant — because Hex Data is a powerful tool, but also a weapon in the wrong hands.
(2) Hex Data Parsing + High-Risk Function Alerts
For all EVM chains, OneKey now provides real-time ABI decoding + function risk analysis:
Clearly shows the method being called
Highlights high-risk behavior before you sign, including:
🧾 Target address visibility — Is this a known safe contract or a suspicious address?
🕵️ Historical interactions — Have you signed with this address before?
これにより、ユーザーはもはや盲目的に署名するのではなく、実際の文脈と十分な認識を持って署名できます。
With this, users no longer sign blindly — but with real context and full awareness.
OneKey Proでは、未加工のHex文字列は表示されません。
(3) Hardware Wallet Confirmation
With OneKey Pro, you don’t see raw Hex strings.
🔍 関数名 — 実際に何に署名しているかを把握できます。
💵 Token type & amount — Are you authorizing your entire balance?
📍 Destination address — Is this familiar, or a red flag?
📍 Destination address — Is this familiar, or a red flag?
ブロックチェーンには「取り消し」はありません。すべての署名は最終的なものです。
人は簡単に次のように考えてしまうことを私たちは理解しています:
5. Final Words
だからこそ、OneKeyはすべてのレイヤーをユーザー保護を念頭に設計しています。
すべての署名は信頼の問題です。OneKeyはあなたが最も信頼できる防御となるためにここにあります。
🛡️ 今すぐOneKeyアプリをダウンロードしてください
That’s why we’ve built every layer of OneKey with real user protection in mind.
Every signature is a matter of trust.
And OneKey is here to be the most trustworthy defense you have.