1. 소리 없는 악몽
지난 한 해 동안 너무 많은 사용자가 경고 없이 한순간에 전체 자산을 잃는 것을 보았습니다.
더 충격적인 사실은? 공격자는 사용자에게 토큰을 보내도록 요구조차 하지 않았습니다.
필요한 것은 단 하나의 서명뿐이었습니다 — Hex 데이터가 포함된 트랜잭션.
NFT 클레임, 에어드롭 참여, DApp 연결, 사이트 로그인 등 간단한 행동처럼 보였을 수 있습니다.
언뜻 해가 없어 보임: 0 ETH, 스마트 계약 주소로 전송됨.
하지만 실제 위협은 Hex 데이터 안에 숨겨져 있었습니다.
공격자들이 다음과 같은 악성 함수 호출을 인코딩하는 곳이 바로 그곳입니다:
approve()
increaseAllowance()
transferFrom()
setApprovalForAll()
sweepToken() (맞춤형 악성 계약 함수)
이들 각각의 함수는 공격자에게 자산에 대한 통제권을 부여합니다.
한번 서명하면 끝입니다 — 추가 승인 없이 공격자가 ERC-20 토큰이나 NFT를 마음대로 소모할 수 있습니다.
2. Hex 데이터: 간과해서는 안 되는 부분
자산을 전송하지 않는 경우에도 모든 온체인 트랜잭션은 본질적으로 스마트 계약 호출입니다.
소위 말하는 Hex 데이터는 단지 ABI로 인코딩된 '메서드 + 매개변수'입니다.
예시:
0xa9059cbb0000000000000000000000008e8...0000000000000000000000000000000000000000000000000000000005f5e100
처음 4바이트 0xa9059cbb: 함수 선택자, 이 경우 transfer(address,uint256)
나머지: 인코딩된 매개변수 — 토큰 주소, 수신자, 값 등
무지한 사용자에게는 단지 의미 없는 문자열일 뿐입니다 — 이해할 수 없는 언어로 된 수수께끼 같은 주문처럼 보일 수 있습니다.
바로 그 지점에 함정이 있습니다: 블라인드 서명.
당신에게는 0가치 트랜잭션처럼 보여도... 공격자에게는 지갑에 대한 전체 접근 권한으로 보입니다.
What looks like a 0-value transaction to you…
…looks like full access to your wallet to the attacker.
3. Blind Signing, Hex Signing, and the Signature Hell
These scams tend to share a set of common traits:
💸 0 ETH or small-value transaction: to disarm your skepticism.
🧬 Hex Data carries malicious intent: disguised as a simple action.
🧠 Recipient is a smart contract: not a person — but a trap.
더 심각한 점은: 이러한 공격은 완전히 자동화되어 있다는 것입니다.
사기꾼들은 스크립트를 사용해 악성 계약을 대량 배포하고, 피싱 사이트를 개설하며, 사기 링크를 생성하고 다음을 통해 이를 홍보합니다:
Scammers use scripts to mass-deploy malicious contracts, spin up phishing websites, generate scam links, and promote them via:
Search engine ads
Discord groups
Twitter/X replies
그들은 단지 당신이 클릭하는 그 한순간을 기다리고 있습니다. 한 번의 서명으로 당신의 자산은 그들의 것이 됩니다.
They’re just waiting for that one moment — when you click.
One signature, and your assets are theirs.
4. How OneKey Fights Back
다음은 우리가 수행했으며 계속 개선하고 있는 사항들입니다:
Here’s what we’ve done (and keep improving):
(1) Hex Data Warnings — The First Mental Barrier
⚠️ 이 트랜잭션에는 Hex 데이터가 포함되어 있으며 스마트 계약 상호작용 또는 토큰 승인과 관련될 수 있습니다. 주의하세요.
이것은 서명 후 후회가 아닙니다. 첫 클릭 시점의 사전 방어입니다.
사용자들이 경계를 유지하길 바랍니다 — Hex 데이터는 강력한 도구이지만 잘못된 손에 들어가면 무기가 될 수 있습니다.
We want users to stay vigilant — because Hex Data is a powerful tool, but also a weapon in the wrong hands.
(2) Hex Data Parsing + High-Risk Function Alerts
For all EVM chains, OneKey now provides real-time ABI decoding + function risk analysis:
Clearly shows the method being called
Highlights high-risk behavior before you sign, including:
🧾 Target address visibility — Is this a known safe contract or a suspicious address?
🕵️ Historical interactions — Have you signed with this address before?
이를 통해 사용자는 더 이상 맹목적으로 서명하지 않고 실제 맥락과 충분한 인식을 바탕으로 서명합니다.
With this, users no longer sign blindly — but with real context and full awareness.
OneKey Pro에서는 원시 Hex 문자열을 보지 않습니다.
(3) Hardware Wallet Confirmation
With OneKey Pro, you don’t see raw Hex strings.
🔍 함수 이름 — 실제로 무엇에 서명하는지 확인
💵 토큰 유형 및 수량 — 전체 잔액을 승인하는 것인가?
📍 대상 주소 — 친숙한 주소인지 아니면 위험 신호인지?
📍 Destination address — Is this familiar, or a red flag?
블록체인에는 "되돌리기"가 없습니다. 모든 서명은 최종적입니다.
사람들이 얼마나 쉽게 이렇게 생각하는지 우리는 잘 압니다:
5. Final Words
그렇기 때문에 OneKey의 모든 계층을 실제 사용자 보호를 염두에 두고 설계했습니다.
모든 서명은 신뢰의 문제입니다. OneKey는 가장 신뢰할 수 있는 방어막이 되기 위해 존재합니다.
🛡️ 지금 OneKey 앱을 다운로드하세요
That’s why we’ve built every layer of OneKey with real user protection in mind.
Every signature is a matter of trust.
And OneKey is here to be the most trustworthy defense you have.