【2024-04-21 09:42】23btc报道,区块链安全研究员 dm 在 X 平台发文提醒大家要小心下载和运行 Github 上的 Web3 项目。他表示,他今天偶尔看到一个开源项目,发现它竟然偷窃用户 Solana 私钥。该项目的 checkrug.py 用 base64/zlib 循环编码,然后暗中执行,项目链接为:hxxps://github.com/HELIPOX/solana-sniper-bot。
针对此事件,慢雾创始人余弦在 X 平台评论称,“这个开源 bot 存在偷私钥后门代码,如果你不熟悉代码,看到花里胡哨的代码(‘乱码’)就需要警惕了,可能还会有其他隐藏的风险。”并指出,由于加密货币社区注重开源,因此开源项目的代码应该具有较高的可读性,相信有这方面需求的设备与技术人员会使用合适的方式和代码。此外,据他透露,似乎已有封闭版的后门被作者删去。如果你已经使用了这个 bot,请联系作者。
这条新闻提醒了我们在使用加密货币相关软件和工具时需要非常小心谨慎,尤其是开源项目。尽管开源的代码有助于代码审计,但也会带来潜在的安全隐患。在这种情况下,如果不了解代码的内容,可能不会意识到代码存在漏洞或默认值,从而造成不可挽回的损失。
这个 bot 可能会盗取用户的 Solana 私钥,这意味着黑客将能够访问和控制用户的 Solana 钱包,并可能在没有用户许可的情况下转移资产。这个漏洞的影响可能不仅仅局限于这个 bot,可能还会影响其他互联网工具和软件应用。
此外,这个事件还提醒我们关注加密货币技术社区的安全和保安方面的工作。加密货币技术采用的是去中心化的模式,没有中心化机构来监管交易和资产。因此,加密货币社区需要特别警惕和保护,以确保资产安全。加密货币行业需要为技术和用户提供充分的教育和培训,以便他们能够识别风险和采取必要的安全措施。 
原创文章,作者:海博社,如若转载,请注明出处:https://www.23btc.com/10756/
