2025-12-21 03:44:37

Gần đây, cộng đồng an ninh đã phát hiện ra một lỗ hổng nghiêm trọng: mã nguồn của robot giao dịch theo dõi trên một nền tảng dự đoán nổi tiếng được ẩn chứa mã độc trên GitHub.

Tình hình là như thế này - một khi người dùng chạy chương trình này, nó sẽ tự động đọc tệp ".env" trong máy tính. Nghe có vẻ vô hại đúng không? Vấn đề là, nhiều nhà phát triển lưu trữ khóa riêng của ví trong tệp này. Ngay khi được đọc, khóa riêng sẽ ngay lập tức được gửi đến máy chủ của hacker, và tiền của bạn sẽ biến mất.

Điều đau lòng hơn là, tác giả của chương trình này liên tục sửa đổi mã, nhiều lần tải lên GitHub, trông có vẻ như đang tối ưu hóa chức năng. Thực tế thì sao? Mỗi lần cập nhật đều cải thiện phương pháp đánh cắp khóa riêng, giống như đang "mài dũa công cụ".

Loại tấn công này có tính ẩn giấu đặc biệt mạnh - mã nhìn có vẻ bình thường, chức năng cũng có thể hoạt động, nhưng ngầm đã bán đi tài sản cốt lõi của bạn. Đặc biệt đối với những người mới bước vào vòng tròn, rất dễ bị lừa.

**Gợi ý bảo vệ:** Trước khi tải bất kỳ robot giao dịch nào, tốt nhất là tìm người hiểu về mã để giúp bạn xem xét mã nguồn GitHub; Không bao giờ đặt khóa riêng vào các tệp cấu hình như .env; Sử dụng ví đa chữ ký, ví phần cứng có thể giảm thiểu rủi ro đáng kể. Trong thế giới Web3, nhận thức về an ninh chính là tường lửa tốt nhất.

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.

18 thích

Phần thưởng
18
9
Đăng lại
Retweed

Bình luận

0/400

TokenTherapist

· 2025-12-24 03:08

Ôi, chuyện này còn dám công khai sửa mã, thật là buồn cười Thật sự, người để khóa riêng trong env nên suy nghĩ lại Một câu chuyện nữa về giấc mơ "sao chép giao dịch làm giàu" bị vỡ nát Đó là lý do tại sao tôi không bao giờ động vào đồ của người lạ trên GitHub Mỗi lần đều nói phải xem xét mã nhưng có bao nhiêu người thực sự sẽ xem? Ví tiền cứng thật sự yyds, chuyện này đã hoàn toàn chấm dứt Người mới quá dễ bị chơi đùa với mọi người, ý thức an toàn phải bắt đầu từ 0.

Xem bản gốcTrả lời0

tx_or_didn't_happen

· 2025-12-22 20:58

Ôi, hacker này thật biết chơi, vừa chỉnh sửa mã vừa ăn cắp chìa khóa, lén lút mài giũa công cụ phạm tội.

Xem bản gốcTrả lời0

NullWhisperer

· 2025-12-22 13:23

không nói dối, thủ thuật .env gần như quá dễ đoán ở thời điểm này... đã thấy nhiều biến thể của điều này trong nhiều năm thật lòng. điều làm tôi khó chịu là việc cam kết lặp đi lặp lại, như bạn, nếu bạn đang lấy cắp khóa ít nhất hãy cố gắng giấu nó đi.

Xem bản gốcTrả lời0

PuzzledScholar

· 2025-12-21 04:12

Ôi trời, cái này thật quá tàn nhẫn, GitHub giờ đây đã trở thành công cụ cho người khác rồi. Các anh em để khóa riêng trong .env giờ chắc phải khóc chết. Lại là cái trò đổi tên và tải lên lặp đi lặp lại, thực sự có thể lừa được nhiều người mới. Ví cứng thực sự cần được phổ biến, không thì sớm muộn gì cũng bị bẫy. Hình như phải tìm một coder đáng tin cậy để xem xét mã mới dám sử dụng. Không ngạc nhiên khi nói Web3 là trò chơi của lòng tin, thật khó để phòng ngừa.

Xem bản gốcTrả lời0

LiquidityWitch

· 2025-12-21 04:12

Ôi, lại cái bẫy này, khóa riêng chạy tự do thật sự quá quắt Đó là lý do tại sao tôi không bao giờ chạy đơn của những Bots khác, tự viết script vẫn ngon hơn Người mới ơi, tỉnh táo lại đi, không xem xét mã nguồn mà dám chạy thật sự là đã chán sống rồi Mỗi lần đều như vậy, nói lời hay thì rất trơn tru nhưng thực tế lại âm thầm ăn cắp tiền Ví cứng thật sự là tiêu chuẩn rồi, sao vẫn còn người không sử dụng được Những repo trên GitHub cần phải hình thành thói quen xem qua, nếu không thì thật sự là mất tiền đau lòng.

Xem bản gốcTrả lời0

MEVHunterWang

· 2025-12-21 04:10

Ôi, lại đến cái bẫy này rồi, những người để khóa riêng trong env thực sự nên suy nghĩ lại. Đó là lý do tại sao tôi khuyên những người xung quanh nên sử dụng ví cứng, thực sự đừng tiết kiệm chút tiền này. Việc review mã không thể tiết kiệm, những thứ trên GitHub không nhất thiết phải đáng tin cậy đâu. Người mới dễ bị mắc bẫy kiểu này, còn tưởng là quá trình phát triển tính năng bình thường. Ví đa chữ ký thực sự rất tốt, bị hack cũng không thể lấy hết vàng của bạn. Cú tấn công ẩn này thật sự rất ghê tởm, bề ngoài thì bình thường nhưng ngấm ngầm rút cạn bạn. Cần phải tỉnh táo hơn, chi phí tin tưởng trong Web3 quá cao.

Xem bản gốcTrả lời0

SchrodingerAirdrop

· 2025-12-21 04:03

Ôi, lại là chiêu trò này? Mã nhìn thì không có vấn đề gì, quay lưng lại là mất ví của bạn. Khóa riêng văn bản thuần túy để trong env, thật sự đáng đời. Trên GitHub, những cái đuôi cáo này sớm muộn cũng bị bắt, chỉ sợ những cái giấu kín. Người mới vẫn là đừng có lộn xộn, ví cứng thật sự không đắt. Thời này, cái gì cũng phải tìm người xem xét một lần mới dám chạy. Điển hình của Trojan, chức năng hoàn hảo nhưng khóa riêng thì mất. Lại nhớ đến đợt hợp đồng honeypot năm trước, chiêu trò đổi mới nhưng bản chất không thay đổi.

Xem bản gốcTrả lời0

BrokenRugs

· 2025-12-21 03:58

Ôi trời, lại đến bẫy này, trên GitHub thật sự đầy rẫy những cái bẫy. Những người để khóa riêng trong .env chắc chắn là có bao nhiêu khả năng tự hủy hoại bản thân mới làm được như vậy. Đó là lý do tại sao tôi chỉ sử dụng ví cứng, thật sự mệt mỏi không thể yêu nổi. Code review thật sự không thể bỏ qua, các người mới hãy cẩn thận hơn nhé. Lần này hacker quá khéo léo, chiêu trò thật sự rất đa dạng.

Xem bản gốcTrả lời0

FalseProfitProphet

· 2025-12-21 03:55

Lại một món hàng tồi tệ được khai thác ra, GitHub thật sự đã trở thành ổ trộm. Những ai để khóa riêng trong .env đều nên suy ngẫm lại, đây không phải là kiến thức cơ bản sao. Gã này sửa mã nhanh như chớp, nhìn là biết thuộc cấp độ chuyên nghiệp. Ví cứng không phải là tốt sao, sao phải chơi với lửa như vậy. Những người kiếm tiền nhanh bằng cách này, sớm muộn gì cũng vào tù. Người mới thật dễ bị mắc bẫy, không trách được vì sao trong圈子 lại hỗn loạn.

Xem bản gốcTrả lời0

Xem thêm