Langkau ke kandungan utama

Data Hex + Transaksi Nilai 0: Jebakan Tak Terlihat yang Menguras Aset On-Chain

Anda mengklik "Konfirmasi" pada transaksi 0 ETH, dan dana Anda hilang

Dikemas kini semalam

1. Mimpi Buruk Tanpa Suara

Selama setahun terakhir, kami telah melihat terlalu banyak pengguna kehilangan seluruh portofolio mereka dalam sekejap — tanpa peringatan.

Apa yang lebih mengejutkan?
Penyerang bahkan tidak perlu mereka mengirim token apa pun.

Yang diperlukan hanyalah satu tanda tangan — sebuah transaksi yang membawa Data Hex.

Tampaknya tindakan sederhana: mengklaim NFT, bergabung dalam airdrop, menghubungkan DApp, atau masuk ke sebuah situs.

Tampak tidak berbahaya:
0 ETH, dikirim ke alamat smart contract.

Tetapi ancaman sebenarnya tersembunyi di dalam Data Hex.

Di situlah penyerang mengenkode panggilan fungsi berbahaya seperti:

  • approve()

  • increaseAllowance()

  • transferFrom()

  • setApprovalForAll()

  • sweepToken() (fungsi kontrak berbahaya kustom)

Setiap fungsi ini memberikan kontrol aset Anda kepada penyerang.

Setelah ditandatangani, permainan berakhir — mereka dapat menguras token ERC-20 atau NFT Anda sesuka hati, tanpa persetujuan lebih lanjut.

2. Data Hex: Bukan Untuk Menjadi Titik Buta

Setiap transaksi on-chain — bahkan tanpa mentransfer aset , pada dasarnya adalah panggilan smart contract.

Yang disebut Data Hex hanyalah "metode + parameter" yang dienkode ABI.

Contoh:

0xa9059cbb0000000000000000000000008e80000000000000000000000000000000000000000000000000000000005f5e100

  • 4 byte pertama 0xa9059cbb: pemilih fungsi, dalam hal ini transfer(address,uint256)

  • Sisanya: parameter yang dienkode — alamat token, penerima, nilai, dll.

Bagi penyerang, ini adalah kunci universal untuk menjalankan logika arbitrer.

Bagi pengguna yang tidak sadar, itu hanyalah string yang tidak berarti — seperti mantra samar dalam bahasa yang tidak mereka pahami.

Dan di situlah jebakannya terletak: penandatanganan buta.

Apa yang terlihat seperti transaksi bernilai 0 bagi Anda…
…terlihat seperti akses penuh ke dompet Anda bagi penyerang.

3. Penandatanganan Buta, Penandatanganan Hex, dan Neraka Tanda Tangan

Penipuan ini cenderung memiliki serangkaian ciri umum:

  • 💸 Transaksi 0 ETH atau bernilai kecil: untuk meredakan keraguan Anda.

  • 🧬 Data Hex membawa niat jahat: disamarkan sebagai tindakan sederhana.

  • 🧠 Penerima adalah smart contract: bukan orang — melainkan jebakan.

  • ⚠️ Tanda tangan = eksekusi: satu klik memberi mereka kontrol penuh.

Dan yang lebih buruk:
Serangan ini sepenuhnya otomatis.

Penipu menggunakan skrip untuk menerapkan kontrak berbahaya secara massal, membuat situs web phishing, menghasilkan tautan penipuan, dan mempromosikannya melalui:

  • Iklan mesin pencari

  • Grup Discord

  • Balasan Twitter/X

  • Giveaway palsu & airdrop NFT

Mereka hanya menunggu satu momen itu — saat Anda mengklik.
Satu tanda tangan, dan aset Anda menjadi milik mereka.

4. Cara OneKey Melawan Balik

Keamanan seharusnya tidak pernah menjadi beban pengguna semata.
Di OneKey, kami membangun pertahanan berlapis-lapis untuk menutup celah tersembunyi ini.

Inilah yang telah kami lakukan (dan terus tingkatkan):

(1) Peringatan Data Hex — Penghalang Mental Pertama

Ketika pengguna mengaktifkan opsi untuk "tampilkan Data Hex" dalam sebuah transaksi,OneKey segera menampilkan peringatan yang jelas:

⚠️ Transaksi ini menyertakan Data Hex dan mungkin melibatkan interaksi smart contract atau persetujuan token. Berhati-hatilah.

Ini bukan penyesalan setelah tanda tangan.
Ini adalah pertahanan preemptif, pada klik pertama.

Kami ingin pengguna tetap waspada — karena Data Hex adalah alat yang ampuh, tetapi juga senjata di tangan yang salah.

(2) Penguraian Data Hex + Peringatan Fungsi Berisiko Tinggi

Untuk semua rantai EVM, OneKey sekarang menyediakan dekode ABI waktu nyata + analisis risiko fungsi:

  • Menampilkan dengan jelas metode yang dipanggil

  • Menyoroti perilaku berisiko tinggi sebelum Anda menandatangani, termasuk:

    • 🧾 Visibilitas alamat target — Apakah ini kontrak yang aman atau alamat yang mencurigakan?

    • 🕵️ Interaksi historis — Pernahkah Anda menandatangani dengan alamat ini sebelumnya?

    • 💰 Token & jumlah — Apa sebenarnya yang Anda setujui atau kirimkan?

Dengan ini, pengguna tidak lagi menandatangani secara membabi buta — tetapi dengan konteks nyata dan kesadaran penuh.

(3) Konfirmasi Dompet Perangkat Keras

Dengan OneKey Pro, Anda tidak melihat string Hex mentah.

Anda melihat informasi nyata yang dapat dibaca manusia langsung di layar perangkat Anda:

  • 🔍 Nama fungsi — Ketahui apa yang sebenarnya Anda tandatangani.

  • 💵 Jenis & jumlah token — Apakah Anda mengotorisasi seluruh saldo Anda?

  • 📍 Alamat tujuan — Apakah inifamiliar, atau tanda bahaya?

Setiap bidang ada di sini untuk membantu Anda membuat keputusan yang terinformasi,
bukan tebakan buta.

5. Kata Terakhir

Tidak ada "undo" di blockchain.
Setiap tanda tangan adalah final.

Kami tahu betapa mudahnya berpikir:

"Saya pikir saya hanya menghubungkan dompet saya…"

Itulah mengapa kami membangun setiap lapisan OneKey dengan mempertimbangkan perlindungan pengguna yang nyata.

Setiap tanda tangan adalah masalah kepercayaan.
Dan OneKey hadir untuk menjadi pertahanan paling tepercaya yang Anda miliki.

🛡️ Unduh Aplikasi OneKey sekarang

Artikel Berkaitan
Perjanjian Perkhidmatan Pengguna
Log perubahan perisian tegar untuk OneKey Pro
Adakah ini menjawab soalan anda?