当前位置:主页 > 区块链 > 资讯 > Replit 平台注册钱包造成的助记词泄漏

警惕因使用 Replit 平台注册钱包造成的助记词泄漏

2023-12-13 10:42:37 | 来源:本站整理 | 作者:佚名
这篇文章主要为大家介绍了这篇文章主要介绍了警惕因使用 Replit 平台注册钱包造成的助记词泄漏的相关资料,需要的朋友可以参考下本文详细内容

背景

近日有受害者联系慢雾安全团队,其因使用在线编程平台 Replit 创建 Atomicals 协议钱包并分批打入 ATOM(Atomicals 协议 mint 的 ARC20 代币),导致被盗走 90,000 个 ATOM。据受害者描述,私钥/助记词是因在网页上复制粘贴而泄漏。

Replit 创建钱包分析

atomicals-js (https://github.com/atomicals/atomicals-js) 是由 Atomicals 官方开发并发布在 Github 上的命令行接口和 JavaScript 库,方便用户使用 JavaScript 和 Atomicals 进行交互。

Replit 是一个知名的在线编程平台,其 Web 端是一个在线的 IDE,支持 Python、JavaScript 等多种编程语言,具有直接在浏览器中编写代码,快速启动项目,代码共享等功能。

在微博、推特、YouTube 等平台上有许多 ARC20 钱包注册教程:

然而其中有些教程是讲解如何使用 Replit 在线部署 atomicals-js 项目来生成钱包,以及如何转入 ATOM ARC20 代币等。

(https://weibo.com/ttarticle/p/show?id=2309404950524427632902)

(https://twitter.com/Web3heinu/status/1730186061744136654)

类似的教程虽不局限于 ARC20 打新教程,但却也是推荐使用 Replit 平台。

(https://twitter.com/Coinowodrop/status/1728042508687475187)

由于 Replit 平台的公开性,在其上部署的代码均是公开的,允许所有人访问。atomicals-js 项目部署运行后会在项目目录生成一个 wallet.json 文件,这个文件包含了如生成的助记词、私钥以及地址等敏感信息。

值得注意的是,通过简单搜索或者利用 Google Hacking 等技术,可以轻易地发现使用了atomicals-js 并在 Replit 上运行的项目,进而找到包含 wallet.json 文件的案例。

因此,依据这些所谓的教程创建钱包是存在巨大风险的,应该避免在公开可访问的平台上运行此类包含敏感信息的代码,尤其是涉及加密货币钱包或私钥的情况,应该选择更加安全可靠的环境来生成和管理加密货币钱包。

恶意地址分析

使用 MistTrack 分析发现,受害者 9 月 23 日转入了多笔 ATOM(据受害者描述有 98,000 个)到创建的 ARC20 钱包地址bc1pt046u0mew4yq83ftwrp3eqfalvf8d6g6lncnmnf3l4zaaalpl54qwvxuqp中,而这些代币在 9 月 24 日就被转入了黑客的地址bc1psanyvngxqgwxcssfwryl8mva7em4pmp37jcck2m67xtux8l887js7ezvev。

使用 https://satsx.io/ 查询,可以看到目前黑客盗取的 ATOM ARC20 代币还有 68,000 个没有被转移。

总结

本文讲解的这类攻击成本极低,攻击者只需掌握基本的搜索和扫描技能即可发起攻击。慢雾安全团队在此提醒,若不慎使用 Replit 生成钱包,请第一时间转移相关资金并删除敏感文件!并且,在陌生的 Web 平台上使用生成的钱包或助记词时,请务必保持警惕,慢雾安全团队建议用户选择经过安全审计且知名的钱包服务,以降低泄漏风险。

声明:文章内容不代表本站观点及立场,不构成本平台任何投资建议。本文内容仅供参考,风险自担!

你可能感兴趣的文章

币圈快讯

  • 前美 SEC 诉讼顾问:预计新的一年针对加密货币公司提起的案件将会减少

    2024-12-26 17:12
    据 The Block 报道,美国证券交易委员会前诉讼顾问、BakerHostetler 律师事务所合伙人 Teresa Goody Guillén 表示,预计美国证券交易委员会在新的一年里针对加密货币公司提起的案件将会减少。美国证券交易委员会也只能在涉及证券的情况下提起诉讼,因此,如果诉讼不涉及...

  • 前美SEC诉讼顾问:预计新的一年针对加密货币公司提起的案件将会减少

    2024-12-26 17:11
    美国证券交易委员会前诉讼顾问、BakerHostetler律师事务所合伙人TeresaGoodyGuillén表示,预计美国证券交易委员会在新的一年里针对加密货币公司提起的案件将会减少,未来美国证券交易委员会也只能在涉及证券的情况下提起诉讼,因此,如果诉讼不涉及证券,该机构会将这些不良行为者转交给司法部和其他监管机构,例如美国商品期货交易委员会。

  • 业内人士:若GaryGensler卸任前未批准针对去中心化项目的ATS监管,美SEC或将放弃

    2024-12-26 17:01
    美国证券交易委员会主席GaryGensler已表示将在明年一月特朗普就职时辞职,可能会对过程中的一些监管规则产生影响。美国证券交易委员会此前制订了一项可能在加密货币行业循环的规则,称为“RegulationATS”,今年四月重新开放征求意见,旨在扩大交易所的定义并最终可能要求去中心化项目在该机构注册为替代交易系统。不过,DeFi教育基金首席执行官MillerWhitehouse-Levine认为,如果GaryGensler在特朗普就职之前不采用ATS法规,未来可能不会以相同方式确认该法规,“或者他们可以将其全部废弃”,但取决于美国证券交易委员会的优先事项是什么。

  • LBank 将首发上线 Oncology Network(ONC)

    2024-12-26 17:00
    据官方消息,LBank 将于12月26日18:00(SGT)首发上线Oncology Network(ONC),并开放 ONC/USDT 交易对。充币业务将于12月26日17:00开放,提币业务将于12月27日17:00开放。

  • WEEX交易所WE-Launch上线WYZth,向WXT持有者空投76万WYZ

    2024-12-26 16:58
    ChainCatcher消息,据WEEX交易所公告,该平台已于12月25日17:00UTC+8上线第45期WE-Launch项目WYZth,用户于12月30日17:00UTC+8之前投入≥1,000WXT,即可按有效投入占比瓜分76万枚WYZ空投。 此外,WEEX第43、44期WE-Launch正在进行中,将分别空投160万VSG和1万USDT,用户可同时参与以获得更大收益。 WYZth是下一代权威证明(PoA)第1层EVM区块链,旨在通过使开发人员能够构建安全、可扩展且用户友好的dApp来彻底改变Web3,其TPS可达10,000。
    • 查看更多

最新资讯

区块链百科