1. Кошмар без звука
За последний год мы видели слишком много пользователей, которые мгновенно потеряли весь свой портфель — без предупреждения.
Что еще более шокирует?
Злоумышленнику даже не нужно было, чтобы они отправляли какие-либо токены.
Все, что требовалось, — это одна подпись — транзакция, содержащая шестнадцатеричные данные.
Это могло выглядеть как простое действие: получение NFT, участие в аирдропе, подключение DApp или вход на сайт.
Казалось бы, безобидно:
0 ETH, отправленные на адрес смарт-контракта.
Но настоящая угроза была скрыта внутри шестнадцатеричных данных.
Именно там злоумышленники кодируют вредоносные вызовы функций, такие как:
approve()increaseAllowance()transferFrom()setApprovalForAll()sweepToken()(пользовательские вредоносные функции контракта)
Каждая из этих функций предоставляет злоумышленнику контроль над вашими активами.
После подписания игра окончена — они могут по своему усмотрению выводить ваши токены ERC-20 или NFT без дальнейшего одобрения.
2. Шестнадцатеричные данные: не должны быть слепой зоной
Каждая ончейн-транзакция — даже без перевода активов — по сути является вызовом смарт-контракта.
Так называемые шестнадцатеричные данные — это просто ABI-закодированный «метод + параметры».
Пример:
0xa9059cbb0000000000000000000000008e80000000000000000000000000000000000000000000000000000000005f5e100
Первые 4 байта
0xa9059cbb: селектор функции, в данном случаеtransfer(address,uint256)Остальное: закодированные параметры — адрес токена, получатель, значение и т. д.
Для злоумышленника это универсальный пропуск для выполнения произвольной логики.
Для неосведомленного пользователя это просто бессмысленная строка — как загадочное заклинание на языке, который они не понимают.
И именно здесь кроется ловушка: слепая подпись.
То, что для вас выглядит как транзакция с нулевой стоимостью
для злоумышленника выглядит как полный доступ к вашему кошельку.
3. Слепая подпись, шестнадцатеричная подпись и ад подписей
Эти мошенничества, как правило, имеют ряд общих черт:
💸 Транзакция с 0 ETH или небольшой суммой: чтобы развеять ваше недоверие.
🧬 Шестнадцатеричные данные содержат вредоносный умысел: замаскированный под простое действие.
🧠 Получатель — смарт-контракт: не человек — а ловушка.
⚠️ Подпись = выполнение: один клик дает им полный контроль.
И что еще хуже:
Эти атаки полностью автоматизированы.
Мошенники используют скрипты для массового развертывания вредоносных контрактов, создания фишинговых веб-сайтов, генерации мошеннических ссылок и их продвижения через:
Реклама в поисковых системах
Группы в Discord
Ответы в Twitter/X
Фейковые розыгрыши и аирдропы NFT
Они просто ждут того момента — когда вы нажмете.
Одна подпись, и ваши активы — их.
4. Как OneKey сражается
Безопасность никогда не должна быть только бременем пользователя.
В OneKey мы создаем многоуровневую защиту, чтобы закрыть эти скрытые пробелы.
Вот что мы сделали (и продолжаем совершенствовать):
(1) Предупреждения о шестнадцатеричных данных — первый ментальный барьер
Когда пользователь включает опцию «показать шестнадцатеричные данные» в транзакции,OneKey немедленно отображает четкое предупреждение:
⚠️ Эта транзакция включает шестнадцатеричные данные и может включать взаимодействие со смарт-контрактом или одобрение токенов. Будьте осторожны.
Это не сожаление после подписи.
Это превентивная защита, при первом же клике.
Мы хотим, чтобы пользователи оставались бдительными — потому что шестнадцатеричные данные — это мощный инструмент, но также и оружие в неправильных руках.
(2) Парсинг шестнадцатеричных данных + оповещения о высокорискованных функциях
Для всех EVM-сетей OneKey теперь предоставляет декодирование ABI в реальном времени + анализ риска функций:
Четко показывает вызываемый метод
Выделяет высокорискованное поведение до того, как вы подпишете, включая:
🧾 Видимость целевого адреса — Это известный безопасный контракт или подозрительный адрес?
🕵️ История взаимодействий — Вы подписывали с этим адресом раньше?
💰 Токен и сумма — Что именно вы одобряете или отправляете?
Благодаря этому пользователи больше не подписывают вслепую — а с реальным контекстом и полным осознанием.
(3) Подтверждение аппаратным кошельком
С OneKey Pro вы не видите необработанные шестнадцатеричные строки.
Вы видите реальную, читаемую человеком информацию прямо на экране вашего устройства:
🔍 Название функции — Знайте, что вы фактически подписываете.
💵 Тип и сумма токена — Авторизуете ли вы весь свой баланс?
📍 Адрес назначения — Знакомый он или подозрительный?
Каждое поле здесь, чтобы помочь вам принять обоснованное решение,
а не слепую догадку.
5. Заключительные слова
В блокчейне нет функции «отмены».
Каждая подпись окончательна.
Мы знаем, как легко подумать:
«Я думал, я просто подключаю свой кошелек…»
Вот почему мы создали каждый уровень OneKey с учетом реальной защиты пользователей.
Каждая подпись — это вопрос доверия.
И OneKey — это самая надежная защита, которую вы можете иметь.