黑客利用Github机器人,仅100秒窃取1200美金的ETH

Posted FreeBuf

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了黑客利用Github机器人,仅100秒窃取1200美金的ETH相关的知识,希望对你有一定的参考价值。

“一名黑客得到了我的助记词,在 100 秒内从我的 Metamask 钱包里偷走了价值 1200 美元的ETH。”

这是一位名叫Ty Cooper的Reddit用户。不久前,他把钱包的助记词(recovery phrase) 留在了 GitHub 的一个在线文件存储区里,结果在不到两分钟内,损失了价值 1200 美元的 ETH。更可怕的是,他还有一笔价值近700美元的 ERC20 代币 (cETH) 锁定在DeFi借贷协议 Compound 中,一旦他把资金从该协议中取出来,钱立刻会被发送到这个钱包里,而虎视眈眈的恶意机器人会瞬间转走所有的ETH。

黑客利用Github机器人,仅100秒窃取1200美金的ETH

从某种意义上讲,加密货币的交易在某种程度上是不可追踪的,长期以来一直被吹捧为传统货币的安全替代品,而其货币特性使得它们更容易受到黑客攻击。这也是为什么在过去一年里,我们看到无数类似案例发生的原因,不仅有个人钱包账户被窃取,还有各种数字货币交易所遭到黑客攻击,损失了数百万美元。

此外,在以太坊网络中,用户需要支付一定的交易费用来转移代币。而这个时候,如果存在两个人试图同时转移相同数量的 ETH,那么愿意支付更高交易费的那笔交易可能会更快被确认。恶意机器人正是利用了这一点,每次自动提交更高的交易费,确保快速完成转账,窃取受害者钱包里的ETH。

虽然这种情况并不常见,但事实证明,黑客正在利用恶意的机器人程序,扫描用户上传至 GitHub 的内容,搜寻加密货币私钥和助记词。

助记词(recovery phrase) ——按特定顺序设置的12个单词的组合,允许钱包用户恢复对加密钱包的访问,可以说是私钥的“最后一道防线”。如果有恶意分子获得了你的私钥或者助记词,他们完全可以访问你的钱包并获取其中的资金。因此,警惕无意中把私钥或助记词上传到公开的开源软件库(比如 GitHub),或者任何其他公开的地方的行为。

此外,最好将助记符/私钥的所有副本严格保持脱机状态、非数字状态。其次,尝试将资金最大限度地存储在Trezor / Ledger之类的硬件钱包中,或者是无法访问的互联网冷钱包中。

参考来源

hackread

黑客利用Github机器人,仅100秒窃取1200美金的ETH

黑客利用Github机器人,仅100秒窃取1200美金的ETH 交易担保 FreeBuf+ FreeBuf+小程序:把安全装进口袋

精彩推荐






以上是关于黑客利用Github机器人,仅100秒窃取1200美金的ETH的主要内容,如果未能解决你的问题,请参考以下文章

余承东:华为技术走在产业前列,别人想超越很难;理想销量夺冠后,员工不满年终奖打折;黑客窃取GitHub代码签名证书|极客头条

黑客教父郭盛华:不要让互联网公司窃取你的脸

黑客窃取 4 亿 Twitter 用户记录,勒索马斯克破财消灾

Token窃取与利用

微软的GitHub帐户涉嫌被黑:黑客声称盗取500GB数据

黑客攻击web,窃取信息(或破解加密流通数据)的手段都有哪些,请列举并简要说明原理