Github’owe boty (i ich właściciele) kradną ethereum

Automaty skanujące portal GitHub wychwyciły przypadkowo umieszczone we wpisie frazy, zawierające klucz do odzyskiwania dostępu do kryptoportfela użytkownika. Ciąg dalszy nastąpił – hakerzy uzyskali dostęp i ukradli ETH o wartości 1,2 tys. dol.

Użytkownik Reddita, którego niewątpliwie należy w najwyższym stopniu docenić za otwartość i uczciwość, podzielił się swoją mało zachęcającą przygodą. Chciał on otóż przekazać pewną kwotę w ethereum na rzecz hackatonu, przypadkowo nazywającego się Hack Money. Gdyby użytkownik był przesądny, zapewne uznałby to za przestrogę – nazwa ta bowiem pasuje tu jak żadna inna.

Dokonując tego, przypadkowo zostawił mnemonic – klucz odzyskiwania dostępu do kryptowalutowego portfela Metamask – w polu tekstowym na portalu. Okazało się (co nie powinno być wielkim zaskoczeniem), że na GitHubie działają boty, skonfigurowane przez hakerów.

Ci z ich pomocą dostrzegli i natychmiast wykorzystali klucze, transferując środki z portfela. Użytkownik zorientował się o tym, otrzymując kolejne powiadomienia od etherscan o dokonaniu kolejnych transakcji – naturalnie nie dokonanych przez niego. Zdążył w ten sposób stracić 1,2 tys. dolarów, nim udało mu się jakkolwiek zareagować.

Poszkodowanemu pozostało około 600 dolarów zastrzeżonych protokołem DeFi (dosł. Compound DeFi protocol), są one jednak – i w najbliższej, przewidywalnej przyszłości zapewne pozostaną – zablokowane. Każda bowiem próba przetransferowania ich przez właściciela napotyka się na kontrę hakerów, którzy wykorzystują swoje większe zasoby gazu.

Gaz ten w sieci ethereum, jak wiadomo, jest zasobem reprezentującym mierzalny wymiar prowizji, pobieranej przez pracujące w sieci węzły, jako wynagrodzenie za udostępnienie mocy obliczeniowej na potrzeby dokonania transakcji i w zależności od jej priorytetu.

W przypadku konfliktu między transakcjami, następuje swego rodzaju licytacja, w której użytkownik oferujący większą ilość gazu otrzymuje pierwszeństwo. Jak się okazuje, niestety hakerzy dysponują (bądź są skłonni poświęcić) większy wolumen tego zasobu – tym samym uniemożliwiając dokonanie transakcji poszkodowanemu.

Obecnie nastąpił klincz – hakerzy bowiem także nie mogą wytransferować tych środków. Na forum ethereum rozwinęła się w tej sprawie dyskusja, w której rozważane są pomysły rozwiązania (jeśli ktokolwiek miałby ideę, w jaki sposób pomóc poszkodowanemu, oczywiście nie powinien czuć skrępowania, aby podzielić się nią tam lub gdziekolwiek indziej).

Poszkodowany użytkownik przyznaje, że był bezmyślny, pozwalając na coś takiego. Podsumowuje swoje doświadczenie napomnieniem i apelem, aby nigdy nie trzymać swoich kluczy prywatnych oraz haseł odzyskiwania online. A jeśli to możliwe, to w ogóle poza nośnikiem cyfrowym.