지난 1년 동안 너무나 많은 사용자가 예고 없이 순식간에 포트폴리오 전체를 잃는 모습을 보았습니다.

더 충격적인 점은?
공격자는 사용자에게 토큰을 전송하도록조차 요구하지 않았습니다.

필요했던 것은 단 하나의 서명 — Hex 데이터를 담은 트랜잭션이었습니다.

NFT를 클레임하거나, 에어드랍에 참여하거나, DApp에 연결하거나, 사이트에 로그인하는 간단한 행동처럼 보였을 수 있습니다.

겉보기에는 무해해 보입니다:
​0 ETH, 스마트 컨트랙트 주소로 전송됨.

하지만 실제 위협은 Hex 데이터 내부에 숨겨져 있었습니다.

공격자들이 악성 함수 호출을 인코딩하는 곳은 다음과 같습니다:

이 함수들 각각은 공격자에게 자산을 통제할 수 있는 권한을 부여합니다.

한 번 서명하면 끝입니다 — 추가 승인 없이도 공격자는 ERC-20 토큰이나 NFT를 마음대로 탈취할 수 있습니다.

체인 상의 모든 트랜잭션은 — 자산을 전송하지 않더라도 — 본질적으로 스마트 컨트랙트 호출입니다.

이른바 Hex 데이터는 단지 ABI로 인코딩된 “메서드 + 파라미터”일 뿐입니다.

예시:

공격자에게 이것은 임의의 로직을 실행할 수 있는 만능 통행증과 같습니다.

무지한 사용자에게는 그저 의미 없는 문자열일 뿐 — 이해할 수 없는 언어의 암호 같은 것이죠.

바로 그 지점이 함정입니다: 블라인드 서명.

당신에게는 0값 트랜잭션처럼 보여도…
공격자에게는 지갑에 대한 완전한 접근 권한으로 보입니다.

이러한 사기들은 공통된 특징을 지니는 경향이 있습니다:

더 심각한 점은:
​이 공격들은 완전히 자동화되어 있습니다.

사기꾼들은 스크립트를 사용해 악성 컨트랙트를 대량 배포하고, 피싱 웹사이트를 만들고, 사기 링크를 생성하여 다음과 같은 채널로 홍보합니다:

그들은 당신이 클릭하는 그 한 순간만을 기다립니다.
한 번의 서명으로 당신의 자산은 그들의 것이 됩니다.

보안은 결코 사용자 개인의 부담이어서는 안 됩니다.
OneKey에서는 이러한 숨겨진 구멍을 막기 위해 다층 방어를 구축하고 있습니다.

우리가 한 일(그리고 계속 개선하고 있는 사항)은 다음과 같습니다:

사용자가 트랜잭션에서 "Hex 데이터 보기" 옵션을 활성화하면,OneKey는 즉시 명확한 경고를 표시합니다:

⚠️ 이 트랜잭션에는 Hex 데이터가 포함되어 있으며 스마트 컨트랙트 상호작용 또는 토큰 승인과 관련될 수 있습니다. 주의하세요.

이것은 서명 후의 후회가 아닙니다.
첫 클릭에서의 사전 방어입니다.

사용자가 경계심을 유지하길 바랍니다 — Hex 데이터는 강력한 도구지만 잘못된 손에 들어가면 무기가 됩니다.

모든 EVM 체인에 대해 OneKey는 이제 실시간 ABI 디코딩 + 함수 위험 분석을 제공합니다:

이를 통해 사용자는 더 이상 맹목적으로 서명하지 않습니다 — 실제 맥락과 완전한 인식을 가지고 서명합니다.

OneKey Pro를 사용하면 원시 Hex 문자열을 보지 않습니다.

기기 화면에서 사람이 읽을 수 있는 실제 정보를 확인합니다:

모든 필드는 정보에 근거한 결정을 내릴 수 있도록 돕기 위한 것입니다 — 맹목적인 추측이 아닙니다.

블록체인에는 '되돌리기'가 없습니다.
모든 서명은 최종적입니다.

우리는 사람들이 쉽게 이렇게 생각할 수 있다는 것을 압니다:

“나는 단지 지갑을 연결하려고 했을 뿐인데…”

그래서 우리는 OneKey의 모든 층을 실질적인 사용자 보호를 염두에 두고 설계했습니다.

모든 서명은 신뢰의 문제입니다.
OneKey는 여러분이 가질 수 있는 가장 신뢰할 수 있는 방어가 되기 위해 여기 있습니다.

🛡️ 지금 OneKey 앱을 다운로드하세요