币圈聚合(268btc.cc)讯:在连日赶工的深夜,以太坊核心开发者Zak Cole为了提高效率,下载了名为「contractshark.solidity-lang」的Cursor AI扩展功能。然而不到三天,他的加密货币钱包却因这一扩展功能惨遭清空!
短短数分钟,私钥外流的关键缺口
根据Cole在X平台的自述,他本人拥有十多年的从业经验,且对安全问题十分重视,此前从来没有出现过加密货币被盗的情况。但是这次下载的恶意扩展功能在安装后,就立即扫描了他的开发目录,并读取了他在.env档案中的私钥,然后迅速把资料回传至攻击者服务器中。仅仅三天之内,在8月10日,黑客就完成了转帐,Cole预留在热钱包中的少量资产也尽数被盗。
Cole补充称,自己在事后检视中发现,其实危险讯号非常清晰:发行者名称「contractshark」拼写怪异、下载量高却几乎没评论、发布时间仅一个月…但赶工的压力让他忽视了这些细节。
万幸的是,他一直把大额资金存放在硬件钱包中,并对测试与主网环境进行了区分,最终损失仅仅控制在数百美元。但他在X平台提醒开发者们:「如果这能发生在我身上,也就能发生在任何人身上。」
AI扩展功能,攻击的新跳板
Cole的案例并非孤例。2025年起,透过VS Code与Open VSX商城散播的恶意扩展功能愈来愈多。相较微软官方的商城,OpenVSX审查松散,这也让攻击者能够轻易伪造下载量与评价,夺取开发者的信任。但是一旦安装后,扩展功能甚至不仅能够窃取加密钱包资料,更能执行Power Shell指令,引入远端控制木马与窃密工具,短时间内就能让整个开发环境瞬间失守。此前,俄罗斯区块链工程师就因遭遇类似手法的攻击损失了约五十万美元。
目前,攻击者的策略已从锁定单一智能合约,升级为渗透整个开发流程的攻击,并结合假工作邀约与免费工具下载等社交工程攻击,交叉锁定大量的受害者。
开发者必修的「偏执」安全流程
Cole以自己的教训做出提醒,面对复合式攻击威胁,开发者的首要任务是在安装任何软件前,都要核实来源,例如只采用官方商城的软件、比对GitHub链接、阅读用户的真实评价等。同时,开发者也应把区块链项目放进最小化的虚拟机里,并用加密保险库保管私钥。
另外,钱包管理也须分层处理,例如使用热钱包处理测试与小额资金,主资产则需永久锁在离线硬件钱包内。最后,也要定期检查所有已安装的扩展功能,监控异常系统活动,并建立事件应变脚本,做到有备无患。
用户与社群的最后防线
一般用户虽不写程序,但是仍然会安装钱包扩展功能或点击投资链接。需要注意的是,任何要求输入助记词、保证高收益的软件和链接,都可能暗藏风险。将大部分资产交给硬件钱包保存,并保管好私钥,则是最稳健的做法。
事件最后,Cole也总结表示:「我损失的只是几百美元,但学到的教训却价值数百万。」
面对AI与Web3的双重浪潮,「审慎建立信任、偏执守护安全」无疑是切实可行的方法。
主题测试文章,只做测试使用。发布者:admin,转转请注明出处:http://www.268btc.cc/46113.html
