Github'owe boty (i ich właściciele) kradną ethereum | Wiadomości | CrypS.

Github’owe boty (i ich właściciele) kradną ethereum

Marek Lesiuk
Ethereum - hacker - stolen

Automaty skanujące portal GitHub wychwyciły przypadkowo umieszczone we wpisie frazy, zawierające klucz do odzyskiwania dostępu do kryptoportfela użytkownika. Ciąg dalszy nastąpił – hakerzy uzyskali dostęp i ukradli ETH o wartości 1,2 tys. dol.

Użytkownik Reddita, którego niewątpliwie należy w najwyższym stopniu docenić za otwartość i uczciwość, podzielił się swoją mało zachęcającą przygodą. Chciał on otóż przekazać pewną kwotę w ethereum na rzecz hackatonu, przypadkowo nazywającego się Hack Money. Gdyby użytkownik był przesądny, zapewne uznałby to za przestrogę – nazwa ta bowiem pasuje tu jak żadna inna.

Dokonując tego, przypadkowo zostawił mnemonic – klucz odzyskiwania dostępu do kryptowalutowego portfela Metamask – w polu tekstowym na portalu. Okazało się (co nie powinno być wielkim zaskoczeniem), że na GitHubie działają boty, skonfigurowane przez hakerów.

Ci z ich pomocą dostrzegli i natychmiast wykorzystali klucze, transferując środki z portfela. Użytkownik zorientował się o tym, otrzymując kolejne powiadomienia od etherscan o dokonaniu kolejnych transakcji – naturalnie nie dokonanych przez niego. Zdążył w ten sposób stracić 1,2 tys. dolarów, nim udało mu się jakkolwiek zareagować.

Poszkodowanemu pozostało około 600 dolarów zastrzeżonych protokołem DeFi (dosł. Compound DeFi protocol), są one jednak – i w najbliższej, przewidywalnej przyszłości zapewne pozostaną – zablokowane. Każda bowiem próba przetransferowania ich przez właściciela napotyka się na kontrę hakerów, którzy wykorzystują swoje większe zasoby gazu.

Gaz ten w sieci ethereum, jak wiadomo, jest zasobem reprezentującym mierzalny wymiar prowizji, pobieranej przez pracujące w sieci węzły, jako wynagrodzenie za udostępnienie mocy obliczeniowej na potrzeby dokonania transakcji i w zależności od jej priorytetu.

W przypadku konfliktu między transakcjami, następuje swego rodzaju licytacja, w której użytkownik oferujący większą ilość gazu otrzymuje pierwszeństwo. Jak się okazuje, niestety hakerzy dysponują (bądź są skłonni poświęcić) większy wolumen tego zasobu – tym samym uniemożliwiając dokonanie transakcji poszkodowanemu.

Obecnie nastąpił klincz – hakerzy bowiem także nie mogą wytransferować tych środków. Na forum ethereum rozwinęła się w tej sprawie dyskusja, w której rozważane są pomysły rozwiązania (jeśli ktokolwiek miałby ideę, w jaki sposób pomóc poszkodowanemu, oczywiście nie powinien czuć skrępowania, aby podzielić się nią tam lub gdziekolwiek indziej).

Poszkodowany użytkownik przyznaje, że był bezmyślny, pozwalając na coś takiego. Podsumowuje swoje doświadczenie napomnieniem i apelem, aby nigdy nie trzymać swoich kluczy prywatnych oraz haseł odzyskiwania online. A jeśli to możliwe, to w ogóle poza nośnikiem cyfrowym.

Ethereum - hacker - stolen
reklama
reklama

Ostrzeżenie o ryzyku Kryptowaluty oraz produkty lewarowe to bardzo ryzykowne istrumenty finansowe, mogące spowodować szybką utratę kapitału.

Materiały opublikowane na tej stronie mają jedynie cel informacyjny i nie należy ich traktować jako porady inwestycyjnej (rekomendacji) w rozumieniu przepisów ustawy z dnia 29 lipca 2005r. o obrocie instrumentami finansowymi. Nie są również doradztwem prawnym ani finansowym. Opracowania zamieszczone w serwisie Cryps.pl stanowią wyłącznie wyraz poglądów redakcji i użytkowników serwisu i nie powinny być interpretowane w inny sposób.

Niektóre artykuły opatrzone są odnośnikami do innych stron. Służy to uzupełnieniu przedstawionych informacji.
Niektóre jednak linki mają charakter afiliacyjny: prowadzą do oficjalnych stron producentów, na których można kupić opisywany produkt. Jeśli użytkownik dokona transakcji po kliknięciu w link, nasz serwis pobiera z tego tytułu prowizję. Nie wpływa to na finalną cenę produktu, a w niektórych przypadkach ją obniża. Portal CrypS.pl nie ponosi odpowiedzialności za treści, które znajdują się na podlinkowanych stronach.