Ir para conteúdo principal

Dados hexadecimais + Transações com valor zero: A armadilha invisível que drena ativos on-chain

Você clicou em "Confirmar" em uma transação de 0 ETH, e seus fundos desapareceram. Sem avisos. Sem transferências. Apenas uma assinatura, tudo desapareceu.

1. Um Pesadelo Sem Som

No último ano, vimos muitos usuários perderem seus portfólios inteiros num instante — sem aviso.

O que é ainda mais chocante?
O atacante nem precisava que eles enviassem tokens.

Tudo o que foi preciso foi uma assinatura — uma transação contendo Hex Data.

Pode ter parecido uma ação simples: reivindicar um NFT, participar de um airdrop, conectar um DApp ou fazer login em um site.

Aparentemente inofensivo:
0 ETH, enviado para um endereço de contrato inteligente.

Mas a ameaça real estava escondida dentro do Hex Data.

É aí que os atacantes codificam chamadas de função maliciosas como:

  • approve()

  • increaseAllowance()

  • transferFrom()

  • setApprovalForAll()

  • sweepToken() (funções personalizadas maliciosas de contrato)

Cada uma dessas funções concede controle dos seus ativos ao atacante.

Uma vez assinado, acabou — eles podem drenar seus tokens ERC-20 ou NFTs à vontade, sem aprovação adicional.

2. Hex Data: Não Deve Ser um Ponto Cego

Toda transação on-chain — mesmo sem transferir ativos, é essencialmente uma chamada a um contrato inteligente.

O chamado Hex Data é apenas ABI-encoded "method + parameters".

Exemplo:

0xa9059cbb0000000000000000000000008e8...0000000000000000000000000000000000000000000000000000000005f5e100

  • Os primeiros 4 bytes 0xa9059cbb: seletor da função, neste caso transfer(address,uint256)

  • O resto: parâmetros codificados — endereço do token, destinatário, valor, etc.

Para um atacante, isto é uma passagem universal para executar lógica arbitrária.

Para um usuário desavisado, é apenas uma sequência sem sentido — como um feitiço críptico em uma língua que ele não entende.

E é aí que está a armadilha: assinatura cega.

O que para você parece uma transação de valor zero…
…para o atacante parece um acesso total à sua carteira.

3. Assinatura Cega, Assinatura Hex e o Inferno das Assinaturas

Esses golpes tendem a compartilhar um conjunto de características comuns:

  • 💸 0 ETH ou transação de baixo valor: para desarmar seu ceticismo.

  • 🧬 Hex Data carrega intenção maliciosa: disfarçado como uma ação simples.

  • 🧠 O destinatário é um contrato inteligente: não uma pessoa — mas uma armadilha.

  • ⚠️ Assinatura = execução: um clique lhes dá controle total.

E o que é pior:
Esses ataques são totalmente automatizados.

Os golpistas usam scripts para implantar em massa contratos maliciosos, criar sites de phishing, gerar links fraudulentos e promovê-los via:

  • Anúncios em mecanismos de busca

  • Grupos no Discord

  • Respostas no Twitter/X

  • Promoções falsas e airdrops de NFT

Eles estão apenas esperando por aquele momento — quando você clicar.
Uma assinatura, e seus ativos são deles.

4. Como a OneKey Combate

A segurança nunca deve ser responsabilidade apenas do usuário.
Na OneKey, estamos construindo uma defesa em camadas para fechar essas brechas ocultas.

Isto é o que fizemos (e continuamos melhorando):

(1) Alertas de Hex Data — A Primeira Barreira Mental

Quando um usuário ativa a opção de "mostrar Hex Data" em uma transação,a OneKey exibe imediatamente um aviso claro:

⚠️ Esta transação inclui Hex Data e pode envolver interação com contrato inteligente ou aprovações de token. Seja cauteloso.

Não é um arrependimento pós-assinatura.
É uma defesa preventiva, já no primeiro clique.

Queremos que os usuários permaneçam vigilantes — porque Hex Data é uma ferramenta poderosa, mas também uma arma nas mãos erradas.

(2) Análise de Hex Data + Alertas de Funções de Alto Risco

Para todas as cadeias EVM, a OneKey agora fornece decodificação ABI em tempo real + análise de risco da função:

  • Mostra claramente o método que está sendo chamado

  • Destaca comportamentos de alto risco antes de você assinar, incluindo:

    • 🧾 Visibilidade do endereço alvo — Este é um contrato conhecido e seguro ou um endereço suspeito?

    • 🕵️ Interações históricas — Você já assinou para este endereço antes?

    • 💰 Token e valor — O que exatamente você está aprovando ou enviando?

Com isso, os usuários não assinam mais às cegas — e sim com contexto real e plena consciência.

(3) Confirmação na Carteira de Hardware

Com o OneKey Pro, você não vê strings Hex brutas.

Você vê informações reais e legíveis por humanos diretamente na tela do seu dispositivo:

  • 🔍 Nome da função — Saiba o que você está realmente assinando.

  • 💵 Tipo de token e valor — Você está autorizando todo o seu saldo?

  • 📍 Endereço de destino — Isso é familiar ou um sinal de alerta?

Cada campo está aqui para ajudá-lo a tomar uma decisão informada,
não um palpite às cegas.

5. Palavras Finais

Não há 'desfazer' na blockchain.
Cada assinatura é final.

Sabemos como é fácil pensar:

'Achei que estava apenas conectando minha carteira...'

É por isso que construímos cada camada da OneKey com a proteção real do usuário em mente.

Cada assinatura é uma questão de confiança.
E a OneKey está aqui para ser a defesa mais confiável que você tem.

🛡️ Baixe o aplicativo OneKey agora

Artigos relacionados
SignGuard pela OneKey: Pré-visualização clara de assinaturas com detecção de golpes em tempo real
Isto respondeu à sua pergunta?