1. ฝันร้ายที่ไร้เสียง

ตลอดปีที่ผ่านมา เราได้เห็นผู้ใช้จำนวนมากเกินไปสูญเสียพอร์ตโฟลิโอทั้งหมดในทันที — โดยไม่มีคำเตือน

ที่น่าตกใจยิ่งกว่านั้นคืออะไร?
ผู้โจมตีไม่ต้องให้พวกเขาส่งโทเค็นใดๆ ด้วยซ้ำ

ทั้งหมดที่ต้องใช้คือลายเซ็นเดียว — ธุรกรรมที่มี Hex Data

อาจดูเหมือนเป็นการกระทำง่ายๆ: การเคลม NFT, เข้าร่วม Airdrop, การเชื่อมต่อ DApp หรือการลงชื่อเข้าใช้เว็บไซต์

ดูเหมือนไม่มีอันตราย:
0 ETH, ส่งไปยังที่อยู่สัญญาอัจฉริยะ

แต่ภัยคุกคามที่แท้จริงซ่อนอยู่ใน Hex Data

ที่นั่นคือที่ที่ผู้โจมตีเข้ารหัสการเรียกใช้ฟังก์ชันที่เป็นอันตราย เช่น:

approve()
increaseAllowance()
transferFrom()
setApprovalForAll()
sweepToken() (ฟังก์ชันสัญญาที่เป็นอันตรายที่กำหนดเอง)

แต่ละฟังก์ชันเหล่านี้ให้การควบคุมสินทรัพย์ของคุณแก่ผู้โจมตี

เมื่อลงนามแล้ว เกมก็จบ — พวกเขาสามารถสูบโทเค็น ERC-20 หรือ NFT ของคุณได้ตามต้องการ โดยไม่ต้องได้รับการอนุมัติเพิ่มเติม

2. Hex Data: ไม่ได้มีไว้เป็นจุดบอด

ธุรกรรมทุกรูปแบบบนเชน — แม้ว่าจะไม่มีการโอนสินทรัพย์ — โดยพื้นฐานแล้วคือการเรียกใช้สัญญาอัจฉริยะ

ที่เรียกว่า Hex Data เป็นเพียงการเข้ารหัส ABI ของ "เมธอด + พารามิเตอร์"

ตัวอย่าง:

0xa9059cbb0000000000000000000000008e80000000000000000000000000000000000000000000000000000000005f5e100

4 ไบต์แรก 0xa9059cbb: ตัวเลือกฟังก์ชัน ในกรณีนี้คือ transfer(address,uint256)
ส่วนที่เหลือ: พารามิเตอร์ที่เข้ารหัส — ที่อยู่โทเค็น, ผู้รับ, มูลค่า ฯลฯ

สำหรับผู้โจมตี นี่คือบัตรผ่านสากลเพื่อเรียกใช้ตรรกะใดๆ

สำหรับผู้ใช้ที่ไม่รู้ มันก็เป็นเพียงสตริงที่ไม่มีความหมาย — เหมือนคาถาที่เข้าใจยากในภาษาที่พวกเขาไม่เข้าใจ

และนั่นคือที่ที่กับดักอยู่: การลงนามแบบปิดตา

สิ่งที่ดูเหมือนธุรกรรมมูลค่า 0 สำหรับคุณ
ดูเหมือนการเข้าถึงกระเป๋าเงินของคุณเต็มรูปแบบ สำหรับผู้โจมตี

3. Blind Signing, Hex Signing และ Signature Hell

การหลอกลวงเหล่านี้มีแนวโน้มที่จะมีลักษณะทั่วไปหลายประการ:

💸 ธุรกรรม 0 ETH หรือมูลค่าต่ำ: เพื่อปลดอาวุธความสงสัยของคุณ
🧬 Hex Data มีเจตนาที่เป็นอันตราย: ปลอมตัวเป็นการกระทำง่ายๆ
🧠 ผู้รับคือสัญญาอัจฉริยะ: ไม่ใช่บุคคล — แต่เป็นกับดัก
⚠️ ลายเซ็น = การดำเนินการ: คลิกเดียวทำให้พวกเขามีการควบคุมเต็มที่

และที่แย่กว่านั้นคือ:
การโจมตีเหล่านี้เป็นแบบอัตโนมัติเต็มรูปแบบ

นักต้มตุ๋นใช้สคริปต์เพื่อปรับใช้สัญญาที่เป็นอันตรายจำนวนมาก, สร้างเว็บไซต์ฟิชชิ่ง, สร้างลิงก์หลอกลวง และโปรโมตผ่าน:

โฆษณาเครื่องมือค้นหา
กลุ่ม Discord
การตอบกลับ Twitter/X
การแจกของรางวัลปลอม & Airdrop NFT

พวกเขาเพียงแค่รอช่วงเวลาหนึ่ง — เมื่อคุณคลิก
ลายเซ็นเดียว สินทรัพย์ของคุณก็เป็นของพวกเขา

4. OneKey ต่อสู้กลับอย่างไร

ความปลอดภัยไม่ควรเป็นภาระของผู้ใช้เพียงฝ่ายเดียว
ที่ OneKey เรากำลังสร้างการป้องกันหลายชั้นเพื่อปิดช่องว่างที่ซ่อนอยู่นี้

นี่คือสิ่งที่เราได้ทำ (และปรับปรุงอย่างต่อเนื่อง):

(1) คำเตือน Hex Data — ด่านป้องกันทางจิตใจด่านแรก

เมื่อผู้ใช้เปิดใช้งานตัวเลือก "แสดง Hex Data" ในธุรกรรมOneKey จะแสดงคำเตือนที่ชัดเจนทันที:

⚠️ ธุรกรรมนี้รวม Hex Data และอาจเกี่ยวข้องกับการโต้ตอบกับสัญญาอัจฉริยะหรือการอนุมัติโทเค็น โปรดระมัดระวัง

ไม่ใช่การเสียใจหลังลงนาม
มันคือการป้องกันเชิงรุก ตั้งแต่คลิกแรก

เราต้องการให้ผู้ใช้ระมัดระวัง — เพราะ Hex Data เป็นเครื่องมือที่ทรงพลัง แต่ก็เป็นอาวุธในมือที่ผิดเช่นกัน

(2) การแยกวิเคราะห์ Hex Data + การแจ้งเตือนฟังก์ชันความเสี่ยงสูง

สำหรับเชน EVM ทั้งหมด OneKey ให้การถอดรหัส ABI แบบเรียลไทม์ + การวิเคราะห์ความเสี่ยงของฟังก์ชัน:

แสดงเมธอดที่กำลังเรียกใช้อย่างชัดเจน
เน้นพฤติกรรมความเสี่ยงสูงก่อนที่คุณจะลงนาม รวมถึง:
- 🧾 การมองเห็นที่อยู่เป้าหมาย — นี่เป็นสัญญาที่ปลอดภัยที่รู้จักหรือเป็นที่อยู่ผู้ต้องสงสัย?
- 🕵️ การโต้ตอบในอดีต — คุณเคยลงนามกับที่อยู่นี้มาก่อนหรือไม่?
- 💰 โทเค็น & จำนวน — คุณกำลังอนุมัติหรือส่งอะไรกันแน่?