Один из пользователей Reddit рассказал историю о том, как потерял $1 200 в криптовалюте, случайно загрузив фразу для восстановления доступа к кошельку вместе с кодом в репозиторий на GitHub. К своему удивлению он обнаружил, что у злоумышленников уже был заготовлен бот на случай подобных оплошностей.
«Хакер получил мою мнемоническую фразу и украл $1 200 в Ethereum с кошелька Metamask меньше чем за 100 секунд. Хакеры использовали бот для поиска мнемонических фраз на GitHub, и я случайно оставил свою фразу в коде над GitHub, пока отправлял его на хакатон Hack Money», – заявил пользователь.
По его словам, он проводил локальное тестирование и забыл отредактировать код перед выгрузкой в сеть. Оперативность автоматизированной программы не оставила шансов на исправление ошибки.
«Я просто хочу предупредить вас о том, чтобы вы не держали цифровые копии своих мнемонических фраз или приватных ключей в цифровом виде. Особенно в сети», – поделился вынесенным уроком пользователь.
Он также отметил, что у него остаётся ещё около $700 в ERC20-токенах, заблокированных в смарт-контракте DeFi-протокола Compound. Однако если он попытается вывести их на свой кошелёк, бот сразу же опустошит его. Более того, бот настроен таким образом, чтобы перекрывать транзакции пользователя собственными транзакциями с более высокой комиссией, из-за чего запросы злоумышленников всегда будут оставаться в приоритете.
Похожая ситуация произошла в прошлом сентябре с пользователем CryptoKitties, кошелёк которого содержал несколько уникальных игровых идентификаторов. В его случае бот также устанавливал более высокие комиссии, однако тогда настоящий владелец смог найти недоработку хакеров и переиграть скрипт.