freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

黑客利用Github机器人,仅100秒窃取1200美金的ETH
2020-06-04 11:31:38

“一名黑客得到了我的助记词,在 100 秒内从我的 Metamask 钱包里偷走了价值 1200 美元的ETH。”

01.jpg

这是一位名叫Ty Cooper的Reddit用户。不久前,他把钱包的助记词(recovery phrase) 留在了 GitHub 的一个在线文件存储区里,结果在不到两分钟内,损失了价值 1200 美元的 ETH。更可怕的是,他还有一笔价值近700美元的 ERC20 代币 (cETH) 锁定在DeFi借贷协议 Compound 中,一旦他把资金从该协议中取出来,钱立刻会被发送到这个钱包里,而虎视眈眈的恶意机器人会瞬间转走所有的ETH。

02.jpg

从某种意义上讲,加密货币的交易在某种程度上是不可追踪的,长期以来一直被吹捧为传统货币的安全替代品,而其货币特性使得它们更容易受到黑客攻击。这也是为什么在过去一年里,我们看到无数类似案例发生的原因,不仅有个人钱包账户被窃取,还有各种数字货币交易所遭到黑客攻击,损失了数百万美元。

此外,在以太坊网络中,用户需要支付一定的交易费用来转移代币。而这个时候,如果存在两个人试图同时转移相同数量的 ETH,那么愿意支付更高交易费的那笔交易可能会更快被确认。恶意机器人正是利用了这一点,每次自动提交更高的交易费,确保快速完成转账,窃取受害者钱包里的ETH。

虽然这种情况并不常见,但事实证明,黑客正在利用恶意的机器人程序,扫描用户上传至 GitHub 的内容,搜寻加密货币私钥和助记词。

助记词(recovery phrase) ——按特定顺序设置的12个单词的组合,允许钱包用户恢复对加密钱包的访问,可以说是私钥的“最后一道防线”。如果有恶意分子获得了你的私钥或者助记词,他们完全可以访问你的钱包并获取其中的资金。因此,警惕无意中把私钥或助记词上传到公开的开源软件库(比如 GitHub),或者任何其他公开的地方的行为。

此外,最好将助记符/私钥的所有副本严格保持脱机状态、非数字状态。其次,尝试将资金最大限度地存储在Trezor / Ledger之类的硬件钱包中,或者是无法访问的互联网冷钱包中。

参考来源

hackread

*本文作者:kirazhou,转载请注明来自FreeBuf.COM

# github # 加密货币 # ETH
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者