1. ฝันร้ายที่ไร้เสียง

ตลอดปีที่ผ่านมา เราเห็นผู้ใช้จำนวนมากสูญเสียพอร์ตการลงทุนทั้งหมดในชั่วพริบตา — โดยไม่มีคำเตือน

ที่น่าตกใจยิ่งกว่าคืออะไร?
ผู้โจมตีไม่จำเป็นต้องให้พวกเขาส่งโทเค็นใดๆ เลย

ทั้งหมดที่ต้องใช้คือการเซ็นชื่อ — ธุรกรรมที่ถือ Hex Data

ดูเหมือนจะเป็นการกระทำง่ายๆ: การเคลม NFT, การเข้าร่วม airdrop, การเชื่อมต่อ DApp, หรือการลงชื่อเข้าใช้เว็บไซต์

ดูเหมือนไม่เป็นอันตราย:
0 ETH, ส่งไปยังที่อยู่ smart contract

แต่ภัยคุกคามที่แท้จริงนั้นซ่อนอยู่ใน Hex Data

นั่นคือที่ที่ผู้โจมตีเข้ารหัสการเรียกใช้ฟังก์ชันที่เป็นอันตราย เช่น:

approve()
increaseAllowance()
transferFrom()
setApprovalForAll()
sweepToken() (ฟังก์ชันสัญญาอัจฉริยะที่เป็นอันตรายที่กำหนดเอง)

แต่ละฟังก์ชันเหล่านี้ให้สิทธิ์การควบคุมสินทรัพย์ของคุณแก่ผู้โจมตี

เมื่อเซ็นชื่อแล้ว ก็จบ — พวกเขาสามารถสูบโทเค็น ERC-20 หรือ NFT ของคุณได้ตามต้องการ โดยไม่ต้องมีการอนุมัติเพิ่มเติม

2. Hex Data: ไม่ได้มีไว้เป็นจุดบอด

ทุกธุรกรรมบนเชน — แม้จะไม่มีการโอนสินทรัพย์ — ก็คือ การเรียกใช้ smart contract

ที่เรียกว่า Hex Data เป็นเพียงการเข้ารหัส ABI ของ "เมธอด + พารามิเตอร์"

ตัวอย่าง:

0xa9059cbb0000000000000000000000008e80000000000000000000000000000000000000000000000000000000005f5e100

4 ไบต์แรก 0xa9059cbb: ตัวเลือกฟังก์ชัน ในกรณีนี้คือ transfer(address,uint256)
ส่วนที่เหลือ: พารามิเตอร์ที่เข้ารหัส — ที่อยู่โทเค็น, ผู้รับ, มูลค่า, ฯลฯ

สำหรับผู้โจมตี นี่คือ บัตรผ่านสากล เพื่อเรียกใช้ตรรกะตามอำเภอใจ

สำหรับผู้ใช้ที่ไม่ทราบ มันเป็นเพียงสตริงที่ไม่มีความหมาย — เหมือนคาถาที่เข้าใจยากในภาษาที่พวกเขาไม่เข้าใจ

และนั่นคือกับดัก: การเซ็นชื่อแบบปิดตา

สิ่งที่ดูเหมือนธุรกรรม 0 มูลค่าสำหรับคุณ…
…ดูเหมือน การเข้าถึงกระเป๋าเงินของคุณได้อย่างเต็มที่ สำหรับผู้โจมตี

3. การเซ็นชื่อแบบปิดตา, การเซ็นชื่อ Hex, และนรกของการเซ็นชื่อ

กลโกงเหล่านี้มักจะมีลักษณะร่วมกัน:

💸 ธุรกรรม 0 ETH หรือมูลค่าต่ำ: เพื่อลดความสงสัยของคุณ
🧬 Hex Data มีเจตนาที่เป็นอันตราย: ปลอมตัวเป็นการกระทำง่ายๆ
🧠 ผู้รับคือ smart contract: ไม่ใช่บุคคล — แต่เป็นกับดัก
⚠️ การเซ็นชื่อ = การดำเนินการ: คลิกเดียวให้พวกเขามีการควบคุมเต็มที่

และที่แย่กว่านั้นคือ:
การโจมตีเหล่านี้เป็นแบบอัตโนมัติเต็มรูปแบบ

นักต้มตุ๋นใช้สคริปต์เพื่อติดตั้งสัญญาที่เป็นอันตรายจำนวนมาก, สร้างเว็บไซต์ฟิชชิ่ง, สร้างลิงก์หลอกลวง, และโปรโมตผ่าน:

โฆษณาในเครื่องมือค้นหา
กลุ่ม Discord
การตอบกลับ Twitter/X
การแจกของรางวัลปลอม & airdrops NFT

พวกเขากำลังรอเพียงช่วงเวลาเดียว — เมื่อคุณคลิก
การเซ็นชื่อครั้งเดียว สินทรัพย์ของคุณก็จะเป็นของพวกเขา

4. OneKey ต่อสู้กลับอย่างไร

ความปลอดภัยไม่ควรเป็นภาระของผู้ใช้เพียงลำพัง
ที่ OneKey เรากำลังสร้าง การป้องกันหลายชั้น เพื่อปิดช่องว่างที่ซ่อนอยู่เหล่านี้

นี่คือสิ่งที่เราได้ทำ (และกำลังปรับปรุงอย่างต่อเนื่อง):

(1) คำเตือน Hex Data — เกราะป้องกันทางจิตใจแรก

เมื่อผู้ใช้เปิดใช้งานตัวเลือก "แสดง Hex Data" ในธุรกรรม, OneKey จะแสดงคำเตือนที่ชัดเจนทันที:

⚠️ ธุรกรรมนี้มี Hex Data และอาจเกี่ยวข้องกับการโต้ตอบ smart contract หรือการอนุมัติโทเค็น โปรดใช้ความระมัดระวัง

ไม่ใช่การเสียใจหลังการเซ็นชื่อ
มันคือ การป้องกันเชิงรุก ตั้งแต่คลิกแรก

เราต้องการให้ผู้ใช้ระมัดระวัง — เพราะ Hex Data เป็นเครื่องมือที่มีประสิทธิภาพ แต่ก็เป็นอาวุธในมือของผู้ไม่ประสงค์ดี

(2) การแยกวิเคราะห์ Hex Data + การแจ้งเตือนฟังก์ชันความเสี่ยงสูง

สำหรับทุกเชน EVM, OneKey ขณะนี้มีการ ถอดรหัส ABI แบบเรียลไทม์ + การวิเคราะห์ความเสี่ยงของฟังก์ชัน:

แสดงเมธอดที่กำลังถูกเรียกอย่างชัดเจน
เน้นย้ำพฤติกรรมความเสี่ยงสูง ก่อนที่คุณจะเซ็นชื่อ ซึ่งรวมถึง:
- 🧾 การมองเห็นที่อยู่เป้าหมาย — เป็นสัญญาที่ปลอดภัยหรือที่อยู่ต้องสงสัย?
- 🕵️ การโต้ตอบในอดีต — คุณเคยเซ็นชื่อกับที่อยู่นี้มาก่อนหรือไม่?
- 💰 โทเค็น & จำนวน — คุณกำลังอนุมัติหรือส่งอะไรกันแน่?