Bỏ qua đến nội dung chính

Dữ liệu Hex + Giao dịch 0-Value: Vòng bẫy vô hình rút cạn tài sản trên chuỗi

Bạn đã nhấp vào "Xác nhận" trên giao dịch 0 ETH, và tiền của bạn đã biến mất

Đã cập nhật hôm nay

1. Cơn ác mộng không tiếng động

Trong năm qua, chúng ta đã chứng kiến quá nhiều người dùng mất toàn bộ danh mục đầu tư của mình chỉ trong chớp mắt — mà không hề có cảnh báo.

Điều gì gây sốc hơn?
Kẻ tấn công thậm chí không cần họ gửi bất kỳ token nào.

Tất cả những gì cần là một chữ ký — một giao dịch mang theo Dữ liệu Hex.

Nó có thể trông giống như một hành động đơn giản: yêu cầu NFT, tham gia airdrop, kết nối DApp hoặc đăng nhập vào một trang web.

Có vẻ vô hại:
0 ETH, được gửi đến một địa chỉ hợp đồng thông minh.

Nhưng mối đe dọa thực sự ẩn giấu bên trong Dữ liệu Hex.

Đó là nơi kẻ tấn công mã hóa các lệnh gọi hàm độc hại như:

  • approve()

  • increaseAllowance()

  • transferFrom()

  • setApprovalForAll()

  • sweepToken() (các hàm hợp đồng độc hại tùy chỉnh)

Mỗi hàm này đều cấp quyền kiểm soát tài sản của bạn cho kẻ tấn công.

Một khi đã ký, trò chơi kết thúc — chúng có thể rút cạn token ERC-20 hoặc NFT của bạn theo ý muốn, mà không cần sự chấp thuận nào nữa.

2. Dữ liệu Hex: Không nên là điểm mù

Mọi giao dịch trên chuỗi — ngay cả khi không chuyển tài sản — về cơ bản là một lệnh gọi hợp đồng thông minh.

Cái gọi là Dữ liệu Hex chỉ đơn giản là "phương thức + tham số" được mã hóa ABI.

Ví dụ:

0xa9059cbb0000000000000000000000008e80000000000000000000000000000000000000000000000000000000005f5e100

  • 4 byte đầu tiên 0xa9059cbb: bộ chọn hàm, trong trường hợp này là transfer(address,uint256)

  • Phần còn lại: các tham số được mã hóa — địa chỉ token, người nhận, giá trị, v.v.

Đối với kẻ tấn công, đây là thẻ thông hành toàn năng để thực thi logic tùy ý.

Đối với người dùng không nhận thức được, đó chỉ là một chuỗi vô nghĩa — giống như một câu thần chú bí ẩn trong một ngôn ngữ họ không hiểu.

Và đó là nơi cạm bẫy nằm: ký mù quáng.

Điều trông giống như một giao dịch có giá trị 0 đối với bạn…
…trông giống như toàn quyền truy cập vào ví của bạn đối với kẻ tấn công.

3. Ký mù quáng, Ký Hex và Địa ngục Chữ ký

Những vụ lừa đảo này thường có chung một số đặc điểm:

  • 💸 Giao dịch 0 ETH hoặc giá trị nhỏ: để làm giảm sự nghi ngờ của bạn.

  • 🧬 Dữ liệu Hex mang ý đồ xấu: được ngụy trang thành một hành động đơn giản.

  • 🧠 Người nhận là một hợp đồng thông minh: không phải là một người — mà là một cái bẫy.

  • ⚠️ Chữ ký = thực thi: một cú nhấp chuột trao cho họ toàn quyền kiểm soát.

Và điều tồi tệ hơn:
Các cuộc tấn công này hoàn toàn tự động hóa.

Những kẻ lừa đảo sử dụng các tập lệnh để triển khai hàng loạt hợp đồng độc hại, tạo các trang web lừa đảo, tạo các liên kết lừa đảo và quảng bá chúng thông qua:

  • Quảng cáo công cụ tìm kiếm

  • Các nhóm Discord

  • Các phản hồi trên Twitter/X

  • Các chương trình tặng quà & airdrop NFT giả mạo

Họ chỉ chờ đợi khoảnh khắc đó — khi bạn nhấp vào.
Một chữ ký, và tài sản của bạn thuộc về họ.

4. OneKey Chống trả như thế nào

Bảo mật không bao giờ nên là gánh nặng duy nhất của người dùng.
Tại OneKey, chúng tôi đang xây dựng hệ thống phòng thủ đa lớp để giải quyết những lỗ hổng ẩn giấu này.

Đây là những gì chúng tôi đã làm (và tiếp tục cải thiện):

(1) Cảnh báo Dữ liệu Hex — Rào cản tinh thần đầu tiên

Khi người dùng bật tùy chọn "hiển thị Dữ liệu Hex" trong giao dịch,OneKey sẽ hiển thị ngay lập tức cảnh báo rõ ràng:

⚠️ Giao dịch này bao gồm Dữ liệu Hex và có thể liên quan đến tương tác hợp đồng thông minh hoặc phê duyệt token. Hãy cẩn thận.

Đây không phải là sự hối tiếc sau khi ký.
Đây là phòng thủ chủ động, ngay từ lần nhấp đầu tiên.

Chúng tôi muốn người dùng luôn cảnh giác — bởi vì Dữ liệu Hex là một công cụ mạnh mẽ, nhưng cũng là một vũ khí trong tay kẻ xấu.

(2) Phân tích Dữ liệu Hex + Cảnh báo Hàm rủi ro cao

Đối với tất cả các chuỗi EVM, OneKey hiện cung cấp giải mã ABI thời gian thực + phân tích rủi ro hàm:

  • Hiển thị rõ ràng phương thức đang được gọi

  • Làm nổi bật các hành vi rủi ro cao trước khi bạn ký, bao gồm:

    • 🧾 Khả năng hiển thị địa chỉ mục tiêu — Đây có phải là hợp đồng an toàn đã biết hay địa chỉ đáng ngờ?

    • 🕵️ Tương tác lịch sử — Bạn đã ký với địa chỉ này trước đây chưa?

    • 💰 Token & số lượng — Bạn đang phê duyệt hoặc gửi chính xác những gì?

Với điều này, người dùng không còn ký mù quáng — mà với ngữ cảnh thực tế và nhận thức đầy đủ.

(3) Xác nhận Ví cứng

Với OneKey Pro, bạn không thấy các chuỗi Hex thô.

Bạn thấy thông tin thực tế, dễ đọc ngay trên màn hình thiết bị của mình:

  • 🔍 Tên hàm — Biết bạn thực sự đang ký cái gì.

  • 💵 Loại token & số lượng — Bạn có đang ủy quyền toàn bộ số dư của mình không?

  • 📍 Địa chỉ đích — Địa chỉ này có quen thuộc không, hay là một dấu hiệu đáng ngờ?

Mọi trường đều ở đây để giúp bạn đưa ra quyết định sáng suốt,
chứ không phải một phỏng đoán mù quáng.

5. Lời kết

Không có chức năng "hoàn tác" trên blockchain.
Mọi chữ ký đều cuối cùng.

Chúng tôi biết dễ dàng như thế nào khi nghĩ rằng:

"Tôi chỉ nghĩ tôi đang kết nối ví của mình

Đó là lý do tại sao chúng tôi đã xây dựng mọi lớp của OneKey với tâm niệm bảo vệ người dùng thực tế.

Mọi chữ ký là một vấn đề tin cậy.
Và OneKey ở đây để trở thành sự bảo vệ đáng tin cậy nhất bạn có.

🛡️ Tải xuống Ứng dụng OneKey ngay bây giờ

Những bài viết liên quan
SignGuard và Clear Signing: Cách chúng bảo vệ bạn khỏi lừa đảo và các vụ lừa đảo trên Web3
Nội dung này có giải đáp được câu hỏi của bạn không?