黑客利用Github机器人,仅100秒窃取1200美金的ETH

安全
“一名黑客得到了我的助记词,在 100 秒内从我的 Metamask 钱包里偷走了价值 1200 美元的ETH。”

“一名黑客得到了我的助记词,在 100 秒内从我的 Metamask 钱包里偷走了价值 1200 美元的ETH。”

这是一位名叫Ty Cooper的Reddit用户。不久前,他把钱包的助记词(recovery phrase) 留在了 GitHub 的一个在线文件存储区里,结果在不到两分钟内,损失了价值 1200 美元的 ETH。更可怕的是,他还有一笔价值近700美元的 ERC20 代币 (cETH) 锁定在DeFi借贷协议 Compound 中,一旦他把资金从该协议中取出来,钱立刻会被发送到这个钱包里,而虎视眈眈的恶意机器人会瞬间转走所有的ETH。

从某种意义上讲,加密货币的交易在某种程度上是不可追踪的,长期以来一直被吹捧为传统货币的安全替代品,而其货币特性使得它们更容易受到黑客攻击。这也是为什么在过去一年里,我们看到无数类似案例发生的原因,不仅有个人钱包账户被窃取,还有各种数字货币交易所遭到黑客攻击,损失了数百万美元。

此外,在以太坊网络中,用户需要支付一定的交易费用来转移代币。而这个时候,如果存在两个人试图同时转移相同数量的 ETH,那么愿意支付更高交易费的那笔交易可能会更快被确认。恶意机器人正是利用了这一点,每次自动提交更高的交易费,确保快速完成转账,窃取受害者钱包里的ETH。

虽然这种情况并不常见,但事实证明,黑客正在利用恶意的机器人程序,扫描用户上传至 GitHub 的内容,搜寻加密货币私钥和助记词。

助记词(recovery phrase) ——按特定顺序设置的12个单词的组合,允许钱包用户恢复对加密钱包的访问,可以说是私钥的“最后一道防线”。如果有恶意分子获得了你的私钥或者助记词,他们完全可以访问你的钱包并获取其中的资金。因此,警惕无意中把私钥或助记词上传到公开的开源软件库(比如 GitHub),或者任何其他公开的地方的行为。

此外,最好将助记符/私钥的所有副本严格保持脱机状态、非数字状态。其次,尝试将资金最大限度地存储在Trezor / Ledger之类的硬件钱包中,或者是无法访问的互联网冷钱包中。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2015-01-04 09:22:58

2020-10-15 15:42:00

人工智能

2021-11-08 09:04:11

黑客双因素身份验证2FA

2021-03-02 09:10:11

黑客恶意软件网络安全

2014-08-12 11:21:32

2013-11-07 09:31:22

2015-12-10 21:49:32

IM机器人

2020-04-26 17:04:31

安全机器学习数据

2021-07-22 10:17:55

加密机器人加密货币机器人

2022-09-13 11:15:40

黑客网络攻击钓鱼攻击

2022-01-25 09:17:44

黑客漏洞网络攻击

2015-07-28 09:36:11

机器人

2021-08-19 15:44:20

机器人人工智能机器学习

2023-11-24 11:20:20

2017-03-28 12:21:21

机器人定义

2022-07-28 11:26:41

人工智能机器人

2021-08-06 06:31:53

Facebook开源机器人开发平台

2022-05-20 13:47:47

黑客网络攻击
点赞
收藏

51CTO技术栈公众号