Passar para o conteúdo principal

Dados hexadecimais + transações de valor zero: a armadilha invisível que drena ativos on-chain

Você clicou em "Confirmar" em uma transação de 0 ETH, e seus fundos desapareceram. Sem avisos. Sem transferências. Apenas uma assinatura, tudo desapareceu.

Atualizado hoje

1. Um Pesadelo Sem Som

Ao longo do último ano, vimos usuários perderem seus portfólios inteiros de uma vez — sem aviso.

O que é ainda mais chocante?
O atacante nem sequer precisava que eles enviassem tokens.

Tudo o que foi necessário foi uma assinatura — uma transação contendo Dados Hex.

Pode ter parecido uma ação simples: reivindicar um NFT, participar de um airdrop, conectar a um DApp ou fazer login em um site.

Aparentemente inofensivo:
0 ETH, enviado para um endereço de contrato inteligente.

Mas a ameaça real estava escondida dentro dos Dados Hex.

É aí que os atacantes codificam chamadas de função maliciosas, tais como:

  • approve()

  • increaseAllowance()

  • transferFrom()

  • setApprovalForAll()

  • sweepToken() (funções personalizadas maliciosas de contratos)

Cada uma dessas funções concede controle de seus ativos ao atacante.

Uma vez assinada, acabou — eles podem drenar seus tokens ERC-20 ou NFTs à vontade, sem mais aprovações.

2. Dados Hex: Não Devem Ser Um Ponto Cego

Toda transação on-chain — mesmo sem transferência de ativos, é essencialmente uma chamada de contrato inteligente.

O chamado Dados Hex é apenas "método + parâmetros" codificados em ABI.

Exemplo:

0xa9059cbb0000000000000000000000008e8...0000000000000000000000000000000000000000000000000000000005f5e100

  • Os primeiros 4 bytes 0xa9059cbb: seletor de função, neste caso transfer(address,uint256)

  • O restante: parâmetros codificados — endereço do token, destinatário, valor, etc.

Para um atacante, isto é uma senha universal para executar lógica arbitrária.

Para um usuário desavisado, é apenas uma string sem sentido — como um feitiço críptico em uma língua que não compreendem.

E é aí que está a armadilha: assinatura cega.

O que parece uma transação de valor 0 para você…
…parece acesso total à sua carteira para o atacante.

3. Assinatura Cega, Assinatura Hex e o Inferno da Assinatura

Esses golpes tendem a compartilhar um conjunto de características comuns:

  • 💸 Transação de 0 ETH ou de baixo valor: para desarmar seu ceticismo.

  • 🧬 Dados Hex carregam intenção maliciosa: disfarçada como uma ação simples.

  • 🧠 O destinatário é um contrato inteligente: não uma pessoa — mas uma armadilha.

  • ⚠️ Assinatura = execução: um clique lhes dá controle total.

E o que é pior:
Esses ataques são totalmente automatizados.

Os golpistas usam scripts para implantar massivamente contratos maliciosos, criar sites de phishing, gerar links de golpe e promovê-los via:

  • Anúncios em motores de busca

  • Grupos no Discord

  • Respostas no Twitter/X

  • Distribuições falsas e airdrops de NFT

Eles estão apenas esperando aquele momento — quando você clica.
Uma assinatura, e seus ativos são deles.

4. Como a OneKey Contra-Ataca

Segurança nunca deve ser apenas um fardo do usuário.
Na OneKey, estamos construindo uma defesa em múltiplas camadas para fechar essas lacunas ocultas.

Isto é o que fizemos (e continuamos aprimorando):

(1) Avisos de Dados Hex — A Primeira Barreira Mental

Quando um usuário habilita a opção para "mostrar Dados Hex" em uma transação,a OneKey exibe imediatamente um aviso claro:

⚠️ Esta transação inclui Dados Hex e pode envolver interação com contrato inteligente ou aprovações de token. Tenha cautela.

Não é um arrependimento pós-assinatura.
É uma defesa preemptiva, no primeiro clique.

Queremos que os usuários permaneçam vigilantes — porque Dados Hex são uma ferramenta poderosa, mas também uma arma nas mãos erradas.

(2) Análise de Dados Hex + Alertas de Funções de Alto Risco

Para todas as redes EVM, a OneKey agora fornece decodificação ABI em tempo real + análise de risco da função:

  • Mostra claramente o método sendo chamado

  • Destaca comportamentos de alto risco antes de você assinar, incluindo:

    • 🧾 Visibilidade do endereço alvo — Este é um contrato conhecido e seguro ou um endereço suspeito?

    • 🕵️ Interações históricas — Você já assinou com este endereço antes?

    • 💰 Token e quantidade — O que exatamente você está aprovando ou enviando?

Com isso, os usuários não assinam mais às cegas — mas com contexto real e plena consciência.

(3) Confirmação na Carteira de Hardware

Com a OneKey Pro, você não vê strings Hex brutas.

Você vê informações reais e legíveis por humanos diretamente na tela do seu dispositivo:

  • 🔍 Nome da função — Saiba o que você está realmente assinando.

  • 💵 Tipo de token e quantidade — Você está autorizando seu saldo inteiro?

  • 📍 Endereço de destino — Isto é familiar ou um sinal de alerta?

Cada campo existe para ajudá-lo a tomar uma decisão informada,
não um palpite às cegas.

5. Palavras Finais

Não existe "desfazer" na blockchain.
Cada assinatura é final.

Sabemos como é fácil pensar:

"Achei que estava apenas conectando minha carteira…"

Por isso construímos cada camada da OneKey com proteção real ao usuário em mente.

Cada assinatura é uma questão de confiança.
E a OneKey está aqui para ser a defesa mais confiável que você tem.

🛡️ Baixe o aplicativo OneKey agora

Artigos relacionados
SignGuard da OneKey: Pré-visualização clara da assinatura com detecção de golpes em tempo real
Respondeu à sua pergunta?