Acheter Cryptos
Payer en
USD
USD
Acheter & Vendre
HOT
Achetez et vendez des cryptomonnaies via Apple Pay, cartes bancaires, Google Pay, virements bancaires et d'autres méthodes de paiement.
P2P
0 Fees
Zéro frais, +400 options de paiement et une expérience ultra fluide pour acheter et vendre vos cryptos
Carte Gate
Carte de paiement crypto, permettant d'effectuer des transactions mondiales en toute transparence.
Marchés
Trader
Type de trading
Outils de trading
Futures
Futures
Des centaines de contrats réglés en USDT ou en BTC
Options
HOT
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Futures Kickoff
Préparez-vous à trader des contrats futurs
Événements futures
Participez à des événements pour gagner de généreuses récompenses
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Launchpad
NEW
Soyez les premiers à participer au prochain grand projet de jetons
Points Alpha
NEW
Tradez des actifs on-chain et profitez des récompenses en airdrop !
Points Futures
NEW
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Communauté
Square
Gate Fun
Partagez votre message et restez informé sur les crypto et au-delà
Live
moments live
Analyse en temps réel du marché des cryptomonnaies
Discussion
Discutez avec des traders de cryptomonnaies
Info
Ce qu'il se passe dans le monde de la crypto
web3
Web3
Plus
Promotions
Le guide pour les débutants
giveaways
Centre de récompenses
Posts
Plus récents
Populaire
Actualités
Profil
FloorSweepervip

Récemment, la communauté de la sécurité a découvert une vulnérabilité grave : un robot de trading de suivi sur une plateforme de prédiction bien connue contient du code malveillant dans son code sur GitHub.



La situation est la suivante : dès qu'un utilisateur exécute ce programme, il lit automatiquement le fichier ".env" sur l'ordinateur. Cela semble inoffensif, n'est-ce pas ? Le problème, c'est que de nombreux développeurs stockent la clé privée du portefeuille dans ce fichier. Une fois lue, la clé privée est immédiatement envoyée au serveur du pirate, et vos fonds sont perdus.

Ce qui est encore plus déchirant, c'est que l'auteur de ce programme modifie sans cesse le code et le télécharge plusieurs fois sur GitHub, donnant l'impression d'optimiser constamment les fonctionnalités. En réalité ? Chaque mise à jour améliore la méthode de vol des clés privées, comme si on "affûtait les outils".

Ce type d'attaque est particulièrement insidieux : le code a l'air normal, les fonctionnalités fonctionnent, mais en secret, vos actifs fondamentaux ont déjà été vendus. Cela peut facilement piéger les nouveaux venus dans le secteur.

**Conseils de protection :** Avant de télécharger un robot de trading, il est préférable de demander à quelqu'un qui comprend le code de vous aider à examiner le code source sur GitHub ; ne mettez jamais votre clé privée dans un fichier de configuration comme .env ; l'utilisation d'un portefeuille multi-signatures ou d'un portefeuille matériel peut réduire considérablement les risques. Dans le monde de Web3, la sensibilisation à la sécurité est le meilleur pare-feu.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • 7
  • Reposter
  • Partager
Commentaire
0/400
NullWhisperervip
· Il y a 2h
franchement, le truc .env est presque trop prévisible à ce stade... j'ai vu des variantes de cela depuis des années pour être honnête. ce qui me choque, c'est ce truc des commits répétés, comme mon pote, si tu exfiltrés des clés, essaie au moins de le cacher.
Voir l'originalRépondre0
PuzzledScholarvip
· 12-21 04:12
C'est vraiment trop dur, GitHub est maintenant devenu un outil Les gars qui mettent leur clé privée dans .env doivent pleurer Encore une fois, c'est le même vieux stratagème de changer de pseudo et de télécharger à répétition, ça peut vraiment tromper pas mal de débutants Les portefeuilles matériels doivent vraiment être popularisés, sinon on finira tôt ou tard par être pris au piège Il semble que je doive trouver un coder fiable pour revoir le code avant de pouvoir l'utiliser Pas étonnant qu'on dise que Web3 est un jeu de confiance, c'est vraiment difficile d'échapper à cela.
Voir l'originalRépondre0
LiquidityWitchvip
· 12-21 04:12
Oh putain, encore ce piège, c'est vraiment absurde de laisser la clé privée à découvert. C'est pourquoi je ne cours jamais les bots des autres, écrire mes propres scripts est bien meilleur. Débutants, réveillez-vous, oser courir sans vérifier le code source, c'est vraiment être fatigué de vivre. C'est toujours comme ça, des belles paroles mais en réalité, ils volent de l'argent discrètement. Le portefeuille matériel est vraiment un équipement standard, comment cela se fait-il qu'il y ait encore des gens qui ne l'utilisent pas. Il faut prendre l'habitude de consulter ces repos sur GitHub, sinon c'est de l'argent perdu.
Voir l'originalRépondre0
MEVHunterWangvip
· 12-21 04:10
Mince, encore ce piège, ceux qui mettent leur clé privée dans l'env devraient vraiment réfléchir C'est pourquoi je conseille aux gens autour de moi d'utiliser un portefeuille matériel, ne lésinez vraiment pas sur cet argent On ne peut pas négliger la révision de code, les choses sur GitHub ne sont pas toujours fiables Les débutants sont les plus susceptibles de se faire avoir de cette manière, pensant que c'est une itération de fonctionnalités normale Un portefeuille à signatures multiples est vraiment intéressant, même si vous êtes piraté, ils ne peuvent pas vider toute votre argent Ce type d'attaque sournoise est vraiment dégoûtant, tout semble normal en surface mais vous vide en secret Il faut vraiment être vigilant, le coût de la confiance dans le Web3 est trop élevé
Voir l'originalRépondre0
SchrodingerAirdropvip
· 12-21 04:03
Oh là là, encore cette méthode ? Le code a l'air correct, mais tourne et il te vole ton Portefeuille. Clé privée en texte clair dans env, c'est vraiment mérité. Sur GitHub, ces renards exposés finiront par se faire attraper, ce qui fait peur, ce sont ceux qui se cachent bien. Les Débutants feraient mieux de ne pas trop s'agiter, un portefeuille matériel n'est vraiment pas cher. De nos jours, pour chaque nouvelle chose, il faut faire vérifier par quelqu'un avant de se lancer. C'est un Trojan typique, fonction parfaite mais la clé privée a disparu. Je repense à cette vague de pots de miel de l'année dernière, la méthode change mais pas le fond.
Voir l'originalRépondre0
BrokenRugsvip
· 12-21 03:58
Waouh, encore ce piège, il y a vraiment des pièges partout sur GitHub. Les gens qui mettent leur clé privée dans .env doivent vraiment être suicidaires. C'est pourquoi j'utilise seulement un portefeuille matériel, je suis vraiment épuisé de tout ça. La revue de code ne peut vraiment pas être négligée, les débutants, faites attention, s'il vous plaît. Cette génération de hackers est trop compétitive, leurs méthodes sont vraiment variées.
Voir l'originalRépondre0
FalseProfitProphetvip
· 12-21 03:55
Encore une fois, il a déterré des produits de merde, GitHub est vraiment devenu un repaire de voleurs. Ceux qui mettent leur clé privée dans .env devraient réfléchir, n'est-ce pas une question de bon sens ? Ce gars modifie le code avec une telle aisance, on dirait qu'il a un niveau professionnel. Un portefeuille matériel, ce n'est pas attrayant ? Pourquoi jouer avec le feu ? Ceux qui gagnent de l'argent rapidement avec de telles méthodes finiront tôt ou tard en prison. Les débutants sont vraiment susceptibles de se faire avoir, pas étonnant que le milieu soit chaotique.
Voir l'originalRépondre0
  • Épingler
plan du site
Trader les cryptos partout et à tout moment
qrCode
Scan pour télécharger Gate app
Communauté
Français (Afrique)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • À propos de nousCarrièresNewsroomSponsor de Oracle Red Bull Racing Partenaire officiel sur la manche du maillot de l’Inter de MilanConsulter les clauses contractuellesAvertissement Consulter les clauses contractuelles et notre Politique de confidentialitéPolitique des cookiesKit médiaPreuve de réservesLicenseSécuritéGateToken (GT)GUSDGate ChainGate EventsApplication de la loiSommetsGate Ventures
    P2PConversion & Trading en blocs Trading spotTrading FuturesActionsAlphaMargeTokens à effet de levierNFTGate PayGate LifeGift CardGate OTCGate CharityBoutique GateWeb3Gate Perp DEXGate Vault
    Avantages VIPInstitutionnelCommentaires des utilisateursAnnoncesFraisAideEnvoyer une demandeListingVérifiez la sécurité d'un smart contractDéveloppeursRecherche de vérificationApplication pour les marchands P2PProgramme d'affiliationCalendrier CryptoSolution Cross-Chain de
    Gate LearnCours cryptoGlossaire des cryptomonnaiesCours des cryptomonnaiesBig DataHalving du BitcoinMise à niveau d’Ethereum (ETH)Crypto WikiCalculateur crypto