一、悄無聲息的噩夢
過去一年,我們目睹了太多用戶在毫無預警的情況下,資產被瞬間清空。
更令人震驚的是——攻擊者甚至不需要你主動發送任何 Token。
他們只需要一個簽名,一個包含 Hex Data
的「交易請求」。
你以為那只是你在領取 NFT、參與空投、加入白名單、連接 DApp 時的常規操作。
看似沒有風險:金額為 0,轉給的是某個智能合約地址。
但真正的危險,藏在這筆交易的 Hex Data
裏。
裏面往往是 ABI 編碼的函數調用,比如:
approve()
increaseAllowance()
transferFrom()
setApprovalForAll()
sweepToken()
(攻擊者自訂合約函數)
這些函數的共同點是:授權對方使用你的資產。
一旦簽名確認,就等於你親手交出了錢包中 ERC-20 或 NFT 的控制權。
攻擊者只需等待,便能在你毫不知情的情況下清空資產。
二、溯源:Hex Data,本不該是盲區
每一筆鏈上交易,無論是否涉及資產轉移,本質上都是對智能合約的函數調用。
所謂 Hex Data
,其實是對「方法 + 參數」的 ABI 編碼。
比如這一串:
0xa9059cbb0000000000000000000000008e80000000000000000000000000000000000000000000000000000000005f5e100
對攻擊者來說,這是一張通行證,可以在鏈上精確執行任何他們設計的操作。
而對不了解它的用戶來說,這不過是一串亂碼,彷彿一本「看不懂的天書」。
這,正是騙局的核心——盲簽。
你看到的是一筆 0 金額的交易請求。
但攻擊者看到的,是你親手為他們打開錢包大門。
三、盲簽、Hex 簽、簽名地獄
這類釣魚攻擊,往往具備以下典型特徵:
金額為 0 或極小:讓人放下戒心,看似「什麼都沒發生」;
Hex Data 攜帶惡意調用:你以為是領取空投,實際上是執行授權;
轉帳對象是智能合約:並非正常的錢包間轉帳,而是預設陷阱;
簽名即執行:無需授權一步步確認,只憑一次簽名就喪失資產控制權;
更可怕的是,這一切已高度自動化。
攻擊者利用腳本工具批量部署誘餌合約,生成欺詐連結,搭配偽裝精良的釣魚網站,通過搜索引擎投放、Discord 群組、X 回覆甚至廣告植入等方式撒網——精準捕捉每一個用戶的猶豫與點擊。
在你毫無察覺的那一刻,簽名,就成了你走向「地獄」的鑰匙。
四、OneKey 的反擊
安全,不只是用戶的責任。我們必須站出來,對抗這場技術層面的信息不對稱。
OneKey 正在做的,是全方位的,堵住這些盲點。
(1)Hex Data 功能預警:第一層心理防線
當用戶開啟「顯示留言(十六進制數據)」功能時,OneKey 會立即彈出風險提示,明確告知用戶:交易附帶 Hex Data 可能涉及智能合約調用、資產授權等敏感操作,存在被釣魚的風險。
這不是事後提醒,而是在用戶打開相關功能的第一刻,就開始構築起一層心理防線。我們希望用戶在每一次互動中都能保持足夠警覺,意識到 Hex Data 雖然常見,但也常被濫用於攻擊。
(2)Hex Data 智能解析 + 高危函數預警
針對所有 EVM 鏈上附帶 Hex Data 的交易,OneKey 已全面支持 ABI 反解與風險提示:
自動解析交易調用的合約方法,清晰展示用戶正在進行的操作;
在簽名前主動彈出高風險操作展示,包括:
授權對象地址識別:明確標示目標地址是否為陌生合約;
歷史互動記錄檢測:提醒用戶是否曾與該合約安全互動過;
授權資產詳情提示:精確展示即將授權的代幣種類與額度。
我們希望用戶在每一次簽名前,不再盲目確認,而是真正知情同意。
(3)硬體錢包雙重確認
在 OneKey Pro 上,你看到的不再是一串冰冷冷的 raw data
,而是清晰明了的交易信息:
調用的合約函數名:這不是普通轉帳?一眼識破。
授權的 Token 名稱與數量:你真的想授權這麼多嗎?
目標地址:是熟悉的地址,還是從未見過的陷阱?
每一項細節,都在幫你重建鏈上的安全感。
每一次簽名,都必須通過你真正的確認,而不是「猜測」。
五、最後總結
鏈上世界沒有「撤回鍵」。
每一次簽名,都是一次不可逆的選擇。
我們理解,那些看似「只是連接錢包」的瞬間,可能藏著整個資產的風險。
所以我們不斷打磨每一層安全細節,只為在關鍵時刻拉你一把。
每一筆簽名,都是一次信任。
OneKey,願做你可以信賴的最後一道防線。