以太坊核心开发人员扎克·科尔(Dev Zak Cole)在恶意光标扩展偷走了他的私钥后损失了资金,突显了对建筑商的钱包排水量增加的攻击。
一位核心以太坊开发人员说,他被与流氓代码助理相关的加密货币钱包漏斗击中,强调了即使是经验丰富的建筑商也会被日益抛光的骗局抓住。
核以太坊开发人员扎克·科尔(Zak Cole)成为光标AI的恶意人工智能扩展的受害者,这使攻击者能够在排出资金之前访问他的热钱包三天,他说在星期二X帖子中。
开发人员安装了contractshark.solisity-langâ,它们似乎具有专业图标,描述性副本和超过54,000个下载,但它默默地淘汰了他的私钥。他说,该插件阅读了我的.ENV文件,并将钥匙发送到了攻击者的服务器,在周日耗尽资金之前,可以访问三天的热钱包。
在十多年的时间里,我从未输给黑客。然后,我上周赶往签订合同,”科尔说,并补充说,损失仅限于以太的几百美元(eth)因为他使用小型的,项目隔离的热钱包进行测试,并在硬件设备上保持主要持有量。
钱包排水器旨在窃取数字资产的恶意软件正在成为对加密货币投资者的日益威胁。
2024年9月,钱包排水器伪装成WalletConnect协议在Google Play商店居住了五个月后,从投资者那里偷走了价值超过70,000美元的数字资产。
扩展正在成为加密构建者的主要攻击载体
根据区块链安全公司Cyvers的高级安全业务负责人Hakan Unal的说法,恶意和扩展正在成为主要的攻击向量,使用假发行商并使用错字来窃取私钥。
``建筑商应审查扩展,避免在纯文本或.env文件中存储秘密,使用硬件钱包并在孤立的环境中开发。
同时,骗子的加密排水器变得越来越容易进入。
有关的:自2020年以来,拉撒路集团(Lazarus Group
加密法证和合规公司Amlbot的4月22日报告显示排水器被出售作为软件即服务模型,使骗子可以以低至100美元的价格租用它们(USDT),cointelegraph报道。