一、悄无声息的噩梦
过去一年,我们目睹了太多用户在毫无预警的情况下,资产被瞬间清空。
更令人震惊的是——攻击者甚至不需要你主动发送任何 Token。
他们只需要一个签名,一个包含 Hex Data 的“交易请求”。
你以为那只是你在领取 NFT、参与空投、加入白名单、连接 DApp 时的常规操作。
看似没有风险:金额为 0,转给的是某个智能合约地址。
但真正的危险,藏在这笔交易的 Hex Data 里。
这里面往往是ABI 编码的函数调用,比如:
approve()increaseAllowance()transferFrom()setApprovalForAll()sweepToken()(攻击者自定义合约函数)
这些函数的共同点是:授权对方使用你的资产。
一旦签名确认,就等于你亲手交出了钱包中 ERC-20 或 NFT 的控制权。
攻击者只需等待,便能在你毫不知情的情况下清空资产。
二、溯源:Hex Data,本不该是盲区
每一笔链上交易,无论是否涉及资产转移,本质上都是对智能合约的函数调用。
所谓 Hex Data,其实是对「方法 + 参数」的 ABI 编码。
比如这一串:
0xa9059cbb0000000000000000000000008e8...0000000000000000000000000000000000000000000000000000000005f5e100
前 4 个字节:
0xa9059cbb,是函数选择器(Selector),对应的是transfer();后面:一般是代币地址、授权对象、目标合约地址等,被编码成了 64 字节的十六进制字符串。
对攻击者来说,这是一张通行证,可以在链上精确执行任何他们设计的操作。
而对不了解它的用户来说,这不过是一串乱码,仿佛一本「看不懂的天书」。
这,正是骗局的核心——盲签。
你看到的是一笔 0 金额的交易请求。
但攻击者看到的,是你亲手为他们打开钱包大门。
三、盲签、Hex 签、签名地狱
这类钓鱼攻击,往往具备以下典型特征:
金额为 0 或者极小:让人放下戒心,看似“什么都没发生”;
Hex Data 携带恶意调用:你以为是领取空投,实际上是执行授权;
转账对象是智能合约:并非正常的钱包间转账,而是预设陷阱;
签名即执行:无需授权一步步确认,只凭一次签名就丧失资产控制权;
更可怕的是,这一切已高度自动化。
攻击者利用脚本工具批量部署诱饵合约,生成欺诈链接,搭配伪装精良的钓鱼网站,通过搜索引擎投放、Discord 群组、X 回复甚至广告植入等方式撒网——精准捕捉每一个用户的犹豫与点击。
在你毫无察觉的那一刻,签名,就成了你走向“地狱”的钥匙。
四、OneKey 的反击
安全,不只是用户的责任。我们必须站出来,对抗这场技术层面的信息不对称。
OneKey 正在做的,是全方位的,堵住这些盲点。
(1)Hex Data 功能预警:第一层心理防线
当用户开启「显示留言(十六进制数据)」功能时,OneKey 会立即弹出风险提示,明确告知用户:交易附带 Hex Data 可能涉及智能合约调用、资产授权等敏感操作,存在被钓鱼的风险。
这不是事后提醒,而是在用户打开相关功能的第一刻,就开始构建起一层心理防线。我们希望用户在每一次交互中都能保持足够警觉,意识到 Hex Data 虽然常见,但也常被滥用于攻击。
(2)Hex Data 智能解析 + 高危函数预警
针对所有 EVM 链上附带 Hex Data 的交易,OneKey 已全面支持 ABI 反解与风险提示:
自动解析交易调用的合约方法,清晰展示用户正在进行的操作;
在签名前主动弹出高风险操作展示,包括:
授权对象地址识别:明确标示目标地址是否为陌生合约;
历史交互记录检测:提醒用户是否曾与该合约安全交互过;
授权资产详情提示:精确展示即将授权的代币种类与额度。
我们希望用户在每一次签名前,不再盲目确认,而是真正知情同意。
(3)硬件钱包双重确认
在 OneKey Pro 上,你看到的不再是一串冷冰冰的 raw data,而是清晰明了的交易信息:
调用的合约函数名:这不是普通转账?一眼识破。
授权的 Token 名称与数量:你真的想授权这么多吗?
目标地址:是熟悉的地址,还是从未见过的陷阱?
每一项细节,都在帮你重建链上的安全感。
每一次签名,都必须通过你真正的确认,而不是“猜测”。
五、最后
链上世界没有“撤回键”,
每一次签名,都是一次不可逆的选择。
我们理解,那些看似“只是连接钱包”的瞬间,可能藏着整个资产的风险。
所以我们不断打磨每一层安全细节,只为在关键时刻拉你一把。
每一笔签名,都是一次信任。
OneKey,愿做你可以信赖的最后一道防线。