Nowe zagrożenie dla posiadaczy Bitcoinów i Altcoinów

Użytkownik Reddita, który przypadkowo zostawił frazę odzyskiwania portfela w repozytorium GitHup, internetowej przestrzeni do przechowywania plików, stracił Ethereum o wartości 1200 dolarów. Choć może się to wydawać trudne do zrealizowania, okazało się, że hakerzy przygotowywali złośliwe boty. 

Jak stracono Ethereum

Użytkownik Reddita – haker wziął moje frazy odzyskiwania i ukradł 1200 dolarów Ethereum z mojego portfela Metamask w niecałe 100 sekund. Hakerzy używali bota do skanowania mnemonicznych emotikonów w GitHub, a ja przypadkowo zostawiłem go w repozytorium GitHub, wysyłając go do hakera Hack Money.

Frazy mnemoniczne to kombinacje 12 słów ułożonych w określonej kolejności, które pozwalają przywrócić dostęp do portfela kryptowalut.  Klucze prywatne to „ostatnia linia obrony”. Jeśli ktoś dostanie chociaż jeden, może uzyskać pełny dostęp do Twojego portfela i przechowywanych w nim środków.  Nie należy przesyłać kluczy prywatnych ani frazy odzyskiwania do repozytoriów typu open source, takich jak GitHup lub gdziekolwiek indziej, które są publicznie dostępne w tym zakresie. Użytkownik oświadczył, że ma tokeny ERC-20 o wartości 700 dolarów zablokowane w protokole DeFi o nazwie Compound, który służy do pożyczania kryptowalut innym osobom. Jednak wycofując pieniądze stwierdził, że bot może wysłać każde ETH do wskazanego przez niego portfela. W Ethereum potrzebujesz tokena, aby płacić opłaty transakcyjne za transfer tokenów. Kiedy dwie osoby próbują przenieść tę samą ilość Ethereum w tym samym czasie, prawdopodobnie zostanie przetworzona ta, która pobiera wyższą opłatę. Ale bot automatycznie przetwarza wyższe opłaty i za każdym razem wygrywa wyścig.

„Chociaż niektóre kryptowaluty i tokeny pozostaną, bot pobierze dowolne Ethereum, aby uniemożliwić mi przenoszenie kryptowalut i/lub wyprzedzić moje próby, zapewniając więcej gazu” – powiedział użytkownik. Podobną sytuację odnotowano we wrześniu ubiegłego roku, kiedy hakerzy złamali portfel zawierający zestaw rzadkich Crypto Kitties, czyli zestaw rzadkich tokenów Ethereum reprezentujących unikalnego cyfrowego „kota”.

Haker ukradł Ethereum o wartości 1200 dolarów w mniej niż 100 sekund. Gdy złośliwy bot przyłącza się do portfela, w podobny sposób przekierowuje wszystkie przychodzące ETH, skutecznie zamieniając napad w sytuację zakładnika. Ze względu na brak środków na opłacenie paliwa nie było innej możliwości wydania tokenów.  Pomimo tej sytuacji właścicielom ostatecznie udało się uwolnić złe kotki. Choć niektórzy mogą winić za takie sytuacje brak osobistego cyberbezpieczeństwa, indywidualni użytkownicy nie powinni popełniać takich błędów.   Jak już informowaliśmy, grupa hakerów mających dobre intencje odkryła niedawno, że dwie giełdy kryptowalut przypadkowo ujawniły klucze prywatne tysięcy użytkowników na łączną kwotę ponad 18 milionów dolarów.