“一名黑客得到了我的助记词,在 100 秒内从我的 Metamask 钱包里偷走了价值 1200 美元的ETH。”
这是一位名叫Ty Cooper的Reddit用户。不久前,他把钱包的助记词(recovery phrase) 留在了 GitHub 的一个在线文件存储区里,结果在不到两分钟内,损失了价值 1200 美元的 ETH。更可怕的是,他还有一笔价值近700美元的 ERC20 代币 (cETH) 锁定在DeFi借贷协议 Compound 中,一旦他把资金从该协议中取出来,钱立刻会被发送到这个钱包里,而虎视眈眈的恶意机器人会瞬间转走所有的ETH。
从某种意义上讲,加密货币的交易在某种程度上是不可追踪的,长期以来一直被吹捧为传统货币的安全替代品,而其货币特性使得它们更容易受到黑客攻击。这也是为什么在过去一年里,我们看到无数类似案例发生的原因,不仅有个人钱包账户被窃取,还有各种数字货币交易所遭到黑客攻击,损失了数百万美元。
此外,在以太坊网络中,用户需要支付一定的交易费用来转移代币。而这个时候,如果存在两个人试图同时转移相同数量的 ETH,那么愿意支付更高交易费的那笔交易可能会更快被确认。恶意机器人正是利用了这一点,每次自动提交更高的交易费,确保快速完成转账,窃取受害者钱包里的ETH。
虽然这种情况并不常见,但事实证明,黑客正在利用恶意的机器人程序,扫描用户上传至 GitHub 的内容,搜寻加密货币私钥和助记词。
助记词(recovery phrase) ——按特定顺序设置的12个单词的组合,允许钱包用户恢复对加密钱包的访问,可以说是私钥的“最后一道防线”。如果有恶意分子获得了你的私钥或者助记词,他们完全可以访问你的钱包并获取其中的资金。因此,警惕无意中把私钥或助记词上传到公开的开源软件库(比如 GitHub),或者任何其他公开的地方的行为。
此外,最好将助记符/私钥的所有副本严格保持脱机状态、非数字状态。其次,尝试将资金最大限度地存储在Trezor / Ledger之类的硬件钱包中,或者是无法访问的互联网冷钱包中。
参考来源
*本文作者:kirazhou,转载请注明来自FreeBuf.COM