Ana içeriğe geç

Hex Veri + 0 Değerli İşlemler: Zincir Üzerindeki Varlıkları Boşaltan Görünmez Tuzak

0 ETH'luk bir işlemde "Onayla"ya tıkladınız ve paranız gitti

Dün güncellendi

1. Sesi Olmayan Bir Kabus

Geçtiğimiz yıl, uyarı olmaksızın bir anda tüm portföylerini kaybeden çok sayıda kullanıcı gördük.

Daha da şok edici olan ne?
Saldırganın herhangi bir token göndermesine bile gerek kalmadı.

Tek gereken tek bir imzaydı — Hex Veri taşıyan bir işlem.

Basit bir eylem gibi görünebilirdi: bir NFT talep etmek, bir airdrop'a katılmak, bir DApp'e bağlanmak veya bir siteye giriş yapmak.

Zararsız görünen:
0 ETH, bir akıllı sözleşme adresine gönderildi.

Ancak gerçek tehdit Hex Veri içinde gizliydi.

Saldırganların kötü amaçlı fonksiyon çağrılarını kodladığı yer burasıdır:

  • approve()

  • increaseAllowance()

  • transferFrom()

  • setApprovalForAll()

  • sweepToken() (özel kötü amaçlı sözleşme fonksiyonları)

Bu fonksiyonların her biri, varlıklarınızın kontrolünü saldırgana devreder.

İmzalandıktan sonra, oyun bitti — daha fazla onay gerektirmeden istediği zaman ERC-20 tokenlarınızı veya NFT'lerinizi boşaltabilir.

2. Hex Veri: Kör Nokta Olmak İçin Tasarlanmadı

Varlıkları transfer etmese bile — zincir üzerindeki her işlem temelde bir akıllı sözleşme çağrısıdır.

Sözde Hex Veri, ABI kodlanmış "metot + parametreler"den ibarettir.

Örnek:

0xa9059cbb0000000000000000000000008e80000000000000000000000000000000000000000000000000000000005f5e100

  • İlk 4 bayt 0xa9059cbb: fonksiyon seçicisi, bu durumda transfer(address,uint256)

  • Geri kalanı: kodlanmış parametreler — token adresi, alıcı, değer vb.

Saldırgan için bu, rastgele mantık yürütmek için tek bir geçiş biletidir.

Farkında olmayan bir kullanıcı için bu, anlamadıkları bir dilde şifreli bir büyü gibi anlamsız bir dizedir.

Kör nokta işte buradadır: kör imzalama.

Sana 0 değerli bir işlem gibi görünen şey…
…saldırgana cüzdanına tam erişim gibi görünüyor.

3. Kör İmzalama, Hex İmzalama ve İmzalama Cehennemi

Bu dolandırıcılıklar belirli ortak özelliklere sahip olma eğilimindedir:

  • 💸 0 ETH veya düşük değerli işlem: şüpheciliğini kırmak için.

  • 🧬 Hex Veri kötü niyet taşır: basit bir eylem gibi gizlenmiş.

  • 🧠 Alıcı bir akıllı sözleşmedir: bir kişi değil — bir tuzak.

  • ⚠️ İmza = yürütme: tek bir tıklama onlara tam kontrol sağlar.

Ve daha da kötüsü:
Bu saldırılar tamamen otomatiktir.

Dolandırıcılar, kötü amaçlı sözleşmeleri toplu olarak dağıtmak, kimlik avı web siteleri kurmak, dolandırıcılık bağlantıları oluşturmak ve bunları şu kanallar aracılığıyla tanıtmak için komut dosyaları kullanır:

  • Arama motoru reklamları

  • Discord grupları

  • Twitter/X yanıtları

  • Sahte çekilişler ve NFT airdrop'ları

Tek ihtiyaçları olan o anı bekliyorlar — sen tıklayana kadar.
Tek bir imza, ve varlıklar senindir.

4. OneKey Nasıl Karşılık Veriyor

Güvenlik asla kullanıcının tek yükü olmamalıdır.
OneKey olarak, bu gizli boşlukları kapatmak için çok katmanlı bir savunma inşa ediyoruz.

Yaptıklarımız (ve geliştirmeye devam ettiklerimiz) şunlardır:

(1) Hex Veri Uyarıları — İlk Zihinsel Bariyer

Kullanıcı bir işlemin "Hex Veri göster" seçeneğini etkinleştirdiğinde,OneKey hemen net bir uyarı görüntüler:

⚠️ Bu işlem Hex Veri içerir ve akıllı sözleşme etkileşimi veya token onayları içerebilir. Dikkatli olun.

İmzadan sonraki bir pişmanlık değil.
Bu, ilk tıklamada önleyici bir savunmadır.

Kullanıcıların tetikte kalmasını istiyoruz — çünkü Hex Veri güçlü bir araçtır, ancak yanlış ellerde bir silahtır.

(2) Hex Veri Ayrıştırma + Yüksek Riskli Fonksiyon Uyarıları

Tüm EVM zincirleri için OneKey, gerçek zamanlı ABI kod çözme + fonksiyon risk analizi sunar:

  • Çağrılan metodu açıkça gösterir

  • İmzalamadan önce yüksek riskli davranışı vurgular, şunları içerir:

    • 🧾 Hedef adres görünürlüğü — Bu bilinen güvenli bir sözleşme mi yoksa şüpheli bir adres mi?

    • 🕵️ Geçmiş etkileşimler — Daha önce bu adresle imzaladınız mı?

    • 💰 Token ve miktar — Tam olarak neyi onaylıyorsunuz veya gönderiyorsunuz?

Bununla birlikte, kullanıcılar artık körü körüne imzalamaz — gerçek bağlam ve tam farkındalık ile.

(3) Donanım Cüzdanı Onayı

OneKey Pro ile ham Hex dizilerini görmezsiniz.

Doğrudan cihaz ekranınızda gerçek, insan tarafından okunabilir bilgileri görürsünüz:

  • 🔍 Fonksiyon adı — Gerçekten neyi imzaladığınızı bilin.

  • 💵 Token türü ve miktarı — Tüm bakiyenizi mi yetkilendiriyorsunuz?

  • 📍 Hedef adres — Tanıdık mı, yoksa kırmızı bir bayrak mı?

Her alan, bilinçli bir karar vermenize yardımcı olmak içindir,
kör bir tahmin değil.

5. Son Sözler

Blockchain'de geri alma seçeneği yoktur.
Her imza nihaidir.

Şöyle düşünmenin ne kadar kolay olduğunu biliyoruz:

"Sadece cüzdanımı bağladığımı sanıyordum…"

Bu yüzden OneKey'in her katmanını gerçek kullanıcı koruması düşünülerek inşa ettik.

Her imza bir güven meselesidir.
Ve OneKey, sahip olduğunuz en güvenilir savunma olmak için burada.

🛡️ OneKey Uygulamasını şimdi indirin

İlgili Makaleler
OneKey Card Kullanıcı Sözleşmesi
Kullanıcı Hizmet Sözleşmesi
OneKey Uygulama Değişiklik Günlüğü
Ücretsiz Tron Transferleri + Sıfır Ücretli Stabil Koin Değişimleri — Zincir Üzeri İşlemler İçin Daha Fazla Özgürlük
SignGuard ve Clear Signing: Web3 Kimlik Avı ve Dolandırıcılıklardan Sizi Nasıl Korurlar
Bu cevap sorunuzu yanıtladı mı?