[乌西丹加拉迪马]区块链开发商MetaMask钱包被清空

区块链开发人员 Murat Çeliktepe 共享了一件令人痛苦的事情，叙述了一次假日阅历，导致一名假充“招聘人员”的个人从他的 MetaMask 钱包中损失了 500 美元。

值得注意的是，人们最初在 LinkedIn 上以真实的网络开发作业时机为托言联系了 Çeliktepe。

开发人员堕入编码作业圈套

在所谓的作业面试中，招聘人员指示 Çeliktepe 从两个 npm 包（即“web3_nextjs”和“web3_nextjs_backend”）下载并调试代码，这两个包都托管在 GitHub 存储库上。

不幸的是，在按照指示进行操作后不久，开发人员发现他的 MetaMask 钱包已经耗尽，从他的账户中被欺诈地提取了超过 500 美元。

Upwork 职位列表要求申请人“修正网站上的过错和响应才能”，并声称为估计在一个月内完结的任务供给 15 至 20 美元的每小时报酬。Çeliktepe 对这个时机很感兴趣，他在他的 LinkedIn 个人资料图片上显着地显示“#OpenToWork”标签后，他决定承受挑战。

他下载了招聘人员在“技能面试”中供给的 GitHub 存储库。

参与技能面试一般涉及带回家的操练或概念验证 (PoC) 作业，包含代码编写或调试等任务。

这使得该报价特别有说服力，即便关于具有技能特长的个人（例如开发人员）也是如此。

值得注意的是，在说到的 GitHub 存储库 [1, 2] 中找到的应用程序是有用的 npm 项目，其格局和 package.json 清单的存在证明了这一点。

但是，这些项目好像尚未在最大的 JavaScript 项目开源注册表 npmjs.com 上发布。

社区努力揭开进犯之谜

在社交媒体上共享了他的不幸阅历后，Çeliktepe 向社区寻求协助，以了解进犯的机制。

尽管仔细检查了 GitHub 存储库中的代码，但他仍然不确定破坏 MetaMask 钱包的办法，由于他没有将钱包恢复短语存储在他的核算机上。

为了响应 Çeliktepe 的求助恳求，社区团结起来，供给真挚的支撑和时机主义的加密机器人供给协助。

不幸的是，欺诈账户也出现了，引诱他连接欺诈性的“MetaMask 支撑”Gmail 地址和 Google 表单。

来自社区的见地表明，Çeliktepe 执行的 npm 项目或许允许进犯者布置反向 shell，然后或许露出开发人员核算机上的缝隙。

社区成员提出的其他理论包含这样的或许性：非法 npm 项目或许从启用了自动填充功能的 Web 浏览器仿制了密码，而不是用歹意软件感染开发人员的核算机。

此外，一些人估测，在“技能面试”期间自愿运行的代码或许阻拦了他的网络流量，然后导致了安全缝隙。

此时快讯

【用于推广Terra生态的Chai支付应用从未在区块链上运行】金色财经报道，在一项新的简易判决裁决中，纽约南区法院法官Jed Rakoff裁定Do Kwon和他共同创立的公司TerraformLabs出售了四种符合未注册证券资格的加密货币：TerraUSD(UST))、LUNA、wLUNA和Mirror Protocol(MIR)。在判决中，Rakoff法官还详细提供了证据，证明用于推广Terra生态系统的Chai支付应用程序从未在Terra区块链上运行，据称付款是使用传统方法结算的，然后由Kwon控制的服务器镜像到Terra区块链上。