跳至主要內容

Hex Data + 0 轉帳:看不見的陷阱,正在吞噬鏈上資產

這是一場無聲無息的騙局。沒有系統提示,沒有警鈴大作,甚至沒有資金動用的跡象。 你看到的是一筆 0 金額的鏈上交易,你點了「確認」。 你以為什麼都沒發生,但實際上,你的錢已經走了。

今日已更新

一、悄無聲息的噩夢

過去一年,我們目睹了太多用戶在毫無預警的情況下,資產被瞬間清空。

更令人震驚的是——攻擊者甚至不需要你主動發送任何 Token。

他們只需要一個簽名,一個包含 Hex Data 的「交易請求」。

你以為那只是你在領取 NFT、參與空投、加入白名單、連接 DApp 時的常規操作。

看似沒有風險:金額為 0,轉給的是某個智能合約地址。

但真正的危險,藏在這筆交易的 Hex Data 裏。

裏面往往是 ABI 編碼的函數調用,比如:

  • approve()

  • increaseAllowance()

  • transferFrom()

  • setApprovalForAll()

  • sweepToken()(攻擊者自訂合約函數)

這些函數的共同點是:授權對方使用你的資產。

一旦簽名確認,就等於你親手交出了錢包中 ERC-20 或 NFT 的控制權。

攻擊者只需等待,便能在你毫不知情的情況下清空資產。


二、溯源:Hex Data,本不該是盲區

每一筆鏈上交易,無論是否涉及資產轉移,本質上都是對智能合約的函數調用

所謂 Hex Data,其實是對「方法 + 參數」的 ABI 編碼。

比如這一串:

0xa9059cbb0000000000000000000000008e80000000000000000000000000000000000000000000000000000000005f5e100
  • 前 4 個字節:0xa9059cbb,是函數選擇器(Selector),對應的是 transfer()

  • 後面:一般是代幣地址、授權對象、目標合約地址等,被編碼成了 64 字節的十六進制字符串。

對攻擊者來說,這是一張通行證,可以在鏈上精確執行任何他們設計的操作。

而對不了解它的用戶來說,這不過是一串亂碼,彷彿一本「看不懂的天書」。

這,正是騙局的核心——盲簽

你看到的是一筆 0 金額的交易請求。

但攻擊者看到的,是你親手為他們打開錢包大門


三、盲簽、Hex 簽、簽名地獄

這類釣魚攻擊,往往具備以下典型特徵:

  • 金額為 0 或極小:讓人放下戒心,看似「什麼都沒發生」;

  • Hex Data 攜帶惡意調用:你以為是領取空投,實際上是執行授權;

  • 轉帳對象是智能合約:並非正常的錢包間轉帳,而是預設陷阱;

  • 簽名即執行:無需授權一步步確認,只憑一次簽名就喪失資產控制權;

更可怕的是,這一切已高度自動化。

攻擊者利用腳本工具批量部署誘餌合約,生成欺詐連結,搭配偽裝精良的釣魚網站,通過搜索引擎投放、Discord 群組、X 回覆甚至廣告植入等方式撒網——精準捕捉每一個用戶的猶豫與點擊。

在你毫無察覺的那一刻,簽名,就成了你走向「地獄」的鑰匙。


四、OneKey 的反擊

安全,不只是用戶的責任。我們必須站出來,對抗這場技術層面的信息不對稱。

OneKey 正在做的,是全方位的,堵住這些盲點。


(1)Hex Data 功能預警:第一層心理防線

當用戶開啟「顯示留言(十六進制數據)」功能時,OneKey 會立即彈出風險提示,明確告知用戶:交易附帶 Hex Data 可能涉及智能合約調用、資產授權等敏感操作,存在被釣魚的風險。

這不是事後提醒,而是在用戶打開相關功能的第一刻,就開始構築起一層心理防線。我們希望用戶在每一次互動中都能保持足夠警覺,意識到 Hex Data 雖然常見,但也常被濫用於攻擊。


(2)Hex Data 智能解析 + 高危函數預警

針對所有 EVM 鏈上附帶 Hex Data 的交易,OneKey 已全面支持 ABI 反解與風險提示

  • 自動解析交易調用的合約方法,清晰展示用戶正在進行的操作;

  • 在簽名前主動彈出高風險操作展示,包括:

    • 授權對象地址識別:明確標示目標地址是否為陌生合約;

    • 歷史互動記錄檢測:提醒用戶是否曾與該合約安全互動過;

    • 授權資產詳情提示:精確展示即將授權的代幣種類與額度。

我們希望用戶在每一次簽名前,不再盲目確認,而是真正知情同意


(3)硬體錢包雙重確認

在 OneKey Pro 上,你看到的不再是一串冰冷冷的 raw data,而是清晰明了的交易信息:

  • 調用的合約函數名:這不是普通轉帳?一眼識破。

  • 授權的 Token 名稱與數量:你真的想授權這麼多嗎?

  • 目標地址:是熟悉的地址,還是從未見過的陷阱?

每一項細節,都在幫你重建鏈上的安全感。

每一次簽名,都必須通過你真正的確認,而不是「猜測」。


五、最後總結

鏈上世界沒有「撤回鍵」。

每一次簽名,都是一次不可逆的選擇。

我們理解,那些看似「只是連接錢包」的瞬間,可能藏著整個資產的風險。

所以我們不斷打磨每一層安全細節,只為在關鍵時刻拉你一把。

每一筆簽名,都是一次信任。

OneKey,願做你可以信賴的最後一道防線。

是否回答了您的問題?