Ana içeriğe geç

Hex Verisi + 0 Değerli İşlemler: Zincir Üzerindeki Varlıkları Boşaltan Görünmez Tuzak

0 ETH'lik bir işlemi "Onayla"dınız ve paranız gitti

Bugün güncellendi

1. Sessiz Bir Kabus

Geçtiğimiz yıl boyunca, uyarı olmadan bir anda tüm portföylerini kaybeden çok sayıda kullanıcı gördük.

Daha da şok edici olan ne?
Saldırganın herhangi bir token göndermelerine bile gerek kalmadı.

Tek gereken tek bir imzaydı — Hex Verisi taşıyan bir işlem.

Basit bir eylem gibi görünebilirdi: bir NFT talep etmek, bir airdrop'a katılmak, bir DApp'e bağlanmak veya bir siteye giriş yapmak.

Görünüşte zararsız:
0 ETH, bir akıllı sözleşme adresine gönderildi.

Ancak gerçek tehdit Hex Verisi içinde gizliydi.

Saldırganların kötü niyetli fonksiyon çağrılarını kodladığı yer burasıdır, örneğin:

  • approve()

  • increaseAllowance()

  • transferFrom()

  • setApprovalForAll()

  • sweepToken() (özel kötü niyetli sözleşme fonksiyonları)

Bu fonksiyonların her biri, saldırgana varlıklarınızın kontrolünü verir.

İmzalandıktan sonra, iş bitti — daha fazla onay olmadan istedikleri zaman ERC-20 token'larınızı veya NFT'lerinizi boşaltabilirler.

2. Hex Verisi: Bir Kör Nokta Olması Amaçlanmamıştır

Varlıkları transfer etmeyen işlemler bile — temelde bir akıllı sözleşme çağrısıdır.

Sözde Hex Verisi sadece ABI ile kodlanmış "metot + parametrelerdir".

Örnek:

0xa9059cbb0000000000000000000000008e80000000000000000000000000000000000000000000000000000000005f5e100

  • İlk 4 bayt 0xa9059cbb: fonksiyon seçici, bu durumda transfer(address,uint256)

  • Geri kalanı: kodlanmış parametreler — token adresi, alıcı, değer vb.

Saldırgan için bu, rastgele mantığı yürütmek için evrensel bir geçiştir.

Farkında olmayan bir kullanıcı için, bu sadece anlamsız bir dizedir — anlamadıkları bir dilde şifreli bir büyü gibi.

Ve işte tuzak burada yatıyor: kör imzalama.

Sizin için 0 değerli işlem gibi görünen şey…
…saldırgan için cüzdanınıza tam erişim anlamına gelir.

3. Kör İmzalama, Hex İmzalama ve İmza Cehennemi

Bu dolandırıcılıklar ortak özellikler sergileme eğilimindedir:

  • 💸 0 ETH veya düşük değerli işlem: şüphelerinizi gidermek için.

  • 🧬 Hex Verisi kötü niyet taşır: basit bir eylem gibi gizlenmiş.

  • 🧠 Alıcı bir akıllı sözleşmedir: bir kişi değil — bir tuzak.

  • ⚠️ İmza = yürütme: tek bir tıklama onlara tam kontrol verir.

Ve daha da kötüsü:
Bu saldırılar tamamen otomatiktir.

Dolandırıcılar, kötü niyetli sözleşmeleri toplu olarak dağıtmak, kimlik avı web siteleri kurmak, dolandırıcılık bağlantıları oluşturmak ve bunları şu yollarla tanıtmak için komut dosyaları kullanırlar:

  • Arama motoru reklamları

  • Discord grupları

  • Twitter/X yanıtları

  • Sahte çekilişler ve NFT airdropları

Sadece o anı bekliyorlar — tıkladığınız anı.
Tek bir imza, ve varlıklarınız onların olur.

4. OneKey Nasıl Karşı Koyuyor

Güvenlik asla tek başına kullanıcının yükü olmamalıdır.
OneKey'de, bu gizli boşlukları kapatmak için çok katmanlı bir savunma inşa ediyoruz.

Yaptıklarımız (ve geliştirmeye devam ettiklerimiz) şunlardır:

(1) Hex Verisi Uyarıları — İlk Zihinsel Bariyer

Bir kullanıcı işlemde "Hex Verisi göster" seçeneğini etkinleştirdiğinde,OneKey hemen net bir uyarı görüntüler:

⚠️ Bu işlem Hex Verisi içeriyor ve akıllı sözleşme etkileşimi veya token onayları içerebilir. Dikkatli olun.

Bu imza sonrası bir pişmanlık değil.
Bu, ilk tıklamada önleyici bir savunmadır.

Kullanıcıların tetikte olmasını istiyoruz — çünkü Hex Verisi güçlü bir araçtır, ama aynı zamanda yanlış ellerde bir silahtır.

(2) Hex Verisi Ayrıştırma + Yüksek Riskli Fonksiyon Uyarıları

Tüm EVM zincirleri için OneKey artık gerçek zamanlı ABI kod çözme + fonksiyon risk analizi sunmaktadır:

  • Çağrılan metodu açıkça gösterir

  • İmzalama-dan önce yüksek riskli davranışı vurgular, şunları içerir:

    • 🧾 Hedef adres görünürlüğü — Bu bilinen güvenli bir sözleşme mi yoksa şüpheli bir adres mi?

    • 🕵️ Geçmiş etkileşimler — Daha önce bu adrese imza attınız mı?

    • 💰 Token ve miktar — Neyi onaylıyor veya gönderiyorsunuz?

Bununla birlikte, kullanıcılar artık körlemesine imza atmıyorlar — gerçek bağlam ve tam farkındalıkla.

(3) Donanım Cüzdanı Onayı

OneKey Pro ile ham Hex dizilerini görmezsiniz.

Doğrudan cihaz ekranınızda gerçek, insan tarafından okunabilir bilgileri görürsünüz:

  • 🔍 Fonksiyon adı — Gerçekten neyi imzaladığınızı bilin.

  • 💵 Token türü ve miktarı — Tüm bakiyenizi mi yetkilendiriyorsunuz?

  • 📍 Hedef adres — Bu tanıdık mı, yoksa kırmızı bir bayrak mı?

Her alan, bilinçli bir karar vermenize yardımcı olmak için buradadır,
kör bir tahminde bulunmak için değil.

5. Son Sözler

Blok zincirinde "geri al" diye bir şey yoktur.
Her imza nihaidir.

Şöyle düşünmenin ne kadar kolay olduğunu biliyoruz:

"Sadece cüzdanımı bağlıyordum sanmıştım…"

Bu yüzden OneKey'in her katmanını gerçek kullanıcı koruması düşüncesiyle inşa ettik.

Her imza bir güven meselesidir.
Ve OneKey, sahip olduğunuz en güvenilir savunma olmak için burada.

🛡️ Şimdi OneKey Uygulamasını İndirin

İlgili Makaleler
OneKey Kart Kullanım Sözleşmesi
OneKey Uygulama Değişiklik Günlüğü
SignGuard ve Clear Signing: Sizi Web3 Kimlik Avı ve Dolandırıcılıklardan Nasıl Korurlar
Bu cevap sorunuzu yanıtladı mı?