Passar para o conteúdo principal

Dados Hex + Transações de Valor Zero: A Armadilha Invisível que Drena Ativos On-Chain

Você clicou em "Confirmar" em uma transação de 0 ETH, e seus fundos desapareceram. Sem avisos. Sem transferências. Apenas uma assinatura, tudo desapareceu.

Atualizado hoje

1. Um Pesadelo Silencioso

No último ano, vimos muitos usuários perderem todo o seu portfólio num instante — sem aviso.

O que é mais chocante?
O atacante nem precisou que eles enviassem tokens.

Bastou uma assinatura — uma transação contendo Hex Data.

Pode ter parecido uma ação simples: reivindicar um NFT, participar de um airdrop, conectar um DApp ou fazer login em um site.

Aparentemente inofensivo:
0 ETH, enviado para um endereço de contrato inteligente.

Mas a verdadeira ameaça estava escondida dentro do Hex Data.

É aí que os atacantes codificam chamadas de função maliciosas como:

  • approve()

  • increaseAllowance()

  • transferFrom()

  • setApprovalForAll()

  • sweepToken() (funções personalizadas maliciosas de contratos)

Cada uma dessas funções concede controle dos seus ativos ao atacante.

Uma vez assinada, acabou — eles podem drenar seus tokens ERC-20 ou NFTs à vontade, sem necessidade de aprovação adicional.

2. Hex Data: Não Deve Ser um Ponto Cego

Toda transação on-chain — mesmo sem transferir ativos — é essencialmente uma chamada a um contrato inteligente.

O chamado Hex Data é apenas “método + parâmetros” codificados em ABI.

Exemplo:

0xa9059cbb0000000000000000000000008e8...0000000000000000000000000000000000000000000000000000000005f5e100

  • Os primeiros 4 bytes 0xa9059cbb: seletor de função, neste caso transfer(address,uint256)

  • O restante: parâmetros codificados — endereço do token, destinatário, valor, etc.

Para um atacante, isso é um passe universal para executar lógica arbitrária.

Para um usuário desavisado, é apenas uma sequência sem sentido — como um feitiço críptico em uma língua que ele não entende.

E é aí que está a armadilha: assinatura cega.

O que parece uma transação de valor 0 para você…
…parece acesso total à sua carteira para o atacante.

3. Assinatura Cega, Assinatura Hex e o Inferno da Assinatura

Esses golpes tendem a compartilhar um conjunto de características comuns:

  • 💸 Transação de 0 ETH ou de baixo valor: para neutralizar seu ceticismo.

  • 🧬 Hex Data carrega intenção maliciosa: disfarçada como uma ação simples.

  • 🧠 O destinatário é um contrato inteligente: não uma pessoa — mas uma armadilha.

  • ⚠️ Assinatura = execução: um clique lhes dá controle total.

E o que é pior:
Esses ataques são totalmente automatizados.

Golpistas usam scripts para implantar em massa contratos maliciosos, criar sites de phishing, gerar links de golpe e promovê-los via:

  • Anúncios em mecanismos de busca

  • Grupos do Discord

  • Respostas no Twitter/X

  • Sorteios falsos e airdrops de NFT

Eles estão apenas esperando por aquele momento — quando você clicar.
Uma assinatura, e seus ativos são deles.

4. Como a OneKey Reage

A segurança nunca deve ser responsabilidade apenas do usuário.
Na OneKey, estamos construindo uma defesa em múltiplas camadas para fechar essas brechas ocultas.

Veja o que fizemos (e continuamos aprimorando):

(1) Alertas de Hex Data — a Primeira Barreira Mental

Quando um usuário habilita a opção de “mostrar Hex Data” em uma transação,a OneKey exibe imediatamente um aviso claro:

⚠️ Esta transação inclui Hex Data e pode envolver interação com contrato inteligente ou aprovações de token. Tenha cautela.

Não é um arrependimento pós-assinatura.
É uma defesa preventiva, no primeiro clique.

Queremos que os usuários se mantenham vigilantes — porque o Hex Data é uma ferramenta poderosa, mas também uma arma nas mãos erradas.

(2) Parsing de Hex Data + Alertas de Funções de Alto Risco

Para todas as cadeias EVM, a OneKey agora fornece decodificação ABI em tempo real + análise de risco das funções:

  • Mostra claramente o método que está sendo chamado

  • Destaca comportamentos de alto risco antes de você assinar, incluindo:

    • 🧾 Visibilidade do endereço de destino — Este é um contrato conhecido e seguro ou um endereço suspeito?

    • 🕵️ Interações históricas — Você já assinou com este endereço antes?

    • 💰 Token e quantia — O que exatamente você está aprovando ou enviando?

Com isso, os usuários não assinam mais às cegas — mas com contexto real e plena consciência.

(3) Confirmação pela Carteira de Hardware

Com OneKey Pro, você não vê strings Hex brutas.

Você vê informações reais, legíveis por humanos diretamente na tela do seu dispositivo:

  • 🔍 Nome da função — Saiba o que você está realmente assinando.

  • 💵 Tipo de token e quantia — Você está autorizando seu saldo inteiro?

  • 📍 Endereço de destino — Isso é familiar ou um sinal de alerta?

Cada campo está aqui para ajudar você a tomar uma decisão informada,
não um palpite às cegas.

5. Palavras Finais

Não há 'desfazer' na blockchain.
Cada assinatura é definitiva.

Sabemos como é fácil pensar:

“Achei que estava apenas conectando minha carteira…”

É por isso que construímos cada camada da OneKey com a proteção real do usuário em mente.

Cada assinatura é uma questão de confiança.
E a OneKey está aqui para ser a defesa mais confiável que você tem.

🛡️ Baixe o app OneKey agora

Artigos relacionados
OneKey "Guardião de Assinaturas" tecnologia: visualização clara das transações e detecção de phishing em tempo real
Respondeu à sua pergunta?