区块链开发人员 Murat Çeliktepe 共享了一件令人苦楚的事件,讲述了一次假期阅历,导致一名冒充“招聘人员”的个人从他的 MetaMask 钱包中丢失了 500 美元。
值得注意的是,人们最初在 LinkedIn 上以真正的网络开发作业时机为托言联系了 Çeliktepe。
开发人员陷入编码作业圈套
在所谓的作业面试中,招聘人员指示 Çeliktepe 从两个 npm 包(即“web3_nextjs”和“web3_nextjs_backend”)下载并调试代码,这两个包都托管在 GitHub 存储库上。
不幸的是,在按照指示进行操作后不久,开发人员发现他的 MetaMask 钱包已经耗尽,从他的账户中被诈骗地提取了超过 500 美元。
Upwork 职位列表要求申请人“修正网站上的过错和响应才能”,并声称为估计在一个月内完成的使命供给 15 至 20 美元的每小时酬劳。Çeliktepe 对这个时机很感兴趣,他在他的 LinkedIn 个人资料图片上显着地显现“#OpenToWork”标签后,他决议接受挑战。
他下载了招聘人员在“技能面试”中供给的 GitHub 存储库。
参加技能面试一般涉及带回家的操练或概念验证 (PoC) 作业,包含代码编写或调试等使命。
这使得该报价特别有说服力,即便对于具有技能专长的个人(例如开发人员)也是如此。
值得注意的是,在提到的 GitHub 存储库 [1, 2] 中找到的应用程序是有用的 npm 项目,其格局和 package.json 清单的存在证明了这一点。
但是,这些项目好像尚未在最大的 JavaScript 项目开源注册表 npmjs.com 上发布。
社区尽力揭开进犯之谜
在交际媒体上共享了他的不幸阅历后,Çeliktepe 向社区寻求协助,以了解进犯的机制。
虽然仔细检查了 GitHub 存储库中的代码,但他仍然不确定破坏 MetaMask 钱包的方法,因为他没有将钱包康复短语存储在他的核算机上。
为了响应 Çeliktepe 的求助恳求,社区团结起来,供给真挚的支撑和时机主义的加密机器人供给协助。
不幸的是,诈骗账户也呈现了,诱惑他连接诈骗性的“MetaMask 支撑”Gmail 地址和 Google 表单。
来自社区的见地标明,Çeliktepe 履行的 npm 项目或许答应进犯者部署反向 shell,然后或许露出开发人员核算机上的缝隙。
社区成员提出的其他理论包含这样的或许性:不合法 npm 项目或许从启用了主动填充功用的 Web 浏览器复制了暗码,而不是用恶意软件感染开发人员的核算机。
此外,一些人估测,在“技能面试”期间自愿运行的代码或许阻拦了他的网络流量,然后导致了安全缝隙。
此时快讯
【2023年Uniswap交易量突破4500亿美元】金色财经报道,过去30天去中心化交易所(DEX)的交易量达到855亿美元。Uniswap继续主导非托管交易所市场,占总成交量的55.5%。按交易量排名第二的DEX是PancakeSwap(17.8%),第三是Trader Joe(5.2%)。
2023年,DEX Uniswap上完成的交易总价值达到4540亿美元,2月份的收入达到创纪录的730亿美元,用户总交易笔数达1.63亿笔,一年来,Uniswap记录了289万个新钱包的连接和流动性提供者开设的333万个头寸。