“一名黑客得到了我的助记词，在 100 秒内从我的 Metamask 钱包里偷走了价值 1200 美元的ETH。”

这是一位名叫Ty Cooper的Reddit用户。不久前，他把钱包的助记词(recovery phrase) 留在了 GitHub 的一个在线文件存储区里，结果在不到两分钟内，损失了价值 1200 美元的 ETH。更可怕的是，他还有一笔价值近700美元的 ERC20 代币 (cETH) 锁定在DeFi借贷协议 Compound 中，一旦他把资金从该协议中取出来，钱立刻会被发送到这个钱包里，而虎视眈眈的恶意机器人会瞬间转走所有的ETH。

从某种意义上讲，加密货币的交易在某种程度上是不可追踪的，长期以来一直被吹捧为传统货币的安全替代品，而其货币特性使得它们更容易受到黑客攻击。这也是为什么在过去一年里，我们看到无数类似案例发生的原因，不仅有个人钱包账户被窃取，还有各种数字货币交易所遭到黑客攻击，损失了数百万美元。

此外，在以太坊网络中，用户需要支付一定的交易费用来转移代币。而这个时候，如果存在两个人试图同时转移相同数量的 ETH，那么愿意支付更高交易费的那笔交易可能会更快被确认。恶意机器人正是利用了这一点，每次自动提交更高的交易费，确保快速完成转账，窃取受害者钱包里的ETH。

虽然这种情况并不常见，但事实证明，黑客正在利用恶意的机器人程序，扫描用户上传至 GitHub 的内容，搜寻加密货币私钥和助记词。

助记词(recovery phrase) ——按特定顺序设置的12个单词的组合，允许钱包用户恢复对加密钱包的访问，可以说是私钥的“最后一道防线”。如果有恶意分子获得了你的私钥或者助记词，他们完全可以访问你的钱包并获取其中的资金。因此，警惕无意中把私钥或助记词上传到公开的开源软件库(比如 GitHub)，或者任何其他公开的地方的行为。

此外，最好将助记符/私钥的所有副本严格保持脱机状态、非数字状态。其次，尝试将资金最大限度地存储在Trezor / Ledger之类的硬件钱包中，或者是无法访问的互联网冷钱包中。

参考来源

hackread

*本文作者：kirazhou，转载请注明来自FreeBuf.COM