FreeBuf|黑客利用Github机器人,仅100秒窃取1200美金的ETH
“一名黑客得到了我的助记词 , 在 100 秒内从我的 Metamask 钱包里偷走了价值 1200 美元的ETH 。 ”
本文插图
【FreeBuf|黑客利用Github机器人,仅100秒窃取1200美金的ETH】
这是一位名叫Ty Cooper的Reddit用户 。 不久前 , 他把钱包的助记词(recovery phrase) 留在了 GitHub 的一个在线文件存储区里 , 结果在不到两分钟内 , 损失了价值 1200 美元的 ETH 。 更可怕的是 , 他还有一笔价值近700美元的 ERC20 代币 (cETH) 锁定在DeFi借贷协议 Compound 中 , 一旦他把资金从该协议中取出来 , 钱立刻会被发送到这个钱包里 , 而虎视眈眈的恶意机器人会瞬间转走所有的ETH 。
本文插图
从某种意义上讲 , 加密货币的交易在某种程度上是不可追踪的 , 长期以来一直被吹捧为传统货币的安全替代品 , 而其货币特性使得它们更容易受到黑客攻击 。 这也是为什么在过去一年里 , 我们看到无数类似案例发生的原因 , 不仅有个人钱包账户被窃取 , 还有各种数字货币交易所遭到黑客攻击 , 损失了数百万美元 。
此外 , 在以太坊网络中 , 用户需要支付一定的交易费用来转移代币 。 而这个时候 , 如果存在两个人试图同时转移相同数量的 ETH , 那么愿意支付更高交易费的那笔交易可能会更快被确认 。 恶意机器人正是利用了这一点 , 每次自动提交更高的交易费 , 确保快速完成转账 , 窃取受害者钱包里的ETH 。
虽然这种情况并不常见 , 但事实证明 , 黑客正在利用恶意的机器人程序 , 扫描用户上传至 GitHub 的内容 , 搜寻加密货币私钥和助记词 。
助记词(recovery phrase) ——按特定顺序设置的12个单词的组合 , 允许钱包用户恢复对加密钱包的访问 , 可以说是私钥的“最后一道防线” 。 如果有恶意分子获得了你的私钥或者助记词 , 他们完全可以访问你的钱包并获取其中的资金 。 因此 , 警惕无意中把私钥或助记词上传到公开的开源软件库(比如 GitHub) , 或者任何其他公开的地方的行为 。
此外 , 最好将助记符/私钥的所有副本严格保持脱机状态、非数字状态 。 其次 , 尝试将资金最大限度地存储在Trezor / Ledger之类的硬件钱包中 , 或者是无法访问的互联网冷钱包中 。
参考来源
hackread
*本文作者:kirazhou , 转载请注明来自FreeBuf.COM
精彩推荐
本文插图
推荐阅读
- 技术编程|如何利用数据库进行世界史研究
- 推特|推特回应“史诗级漏洞”:黑客锁定130个账号,控制45个发文
- 科学|Cell:科学家首次利用DNA条形码成功绘制出大脑的连接图谱
- FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿
- 环球科技在此|推特遭大规模攻击后续:四名黑客浮出水面,有用户数据被下载
- 中年|法国研究团队利用超级计算机首次完成整台航空发动机高保真仿真
- FreeBuf|管中窥豹之工控设备解密
- FreeBuf|工控渗透框架:PLC密码检测
- InfoQ|Google早已看到未来多容器的挑战,利用Anthos能否实现多集群统一管理?
- 3DMGAME资讯号|开发者:XSX和PS5的硬件性能不重要 利用率更重要