polymarket 和metamask钱包都被盗了
- 内容介绍
- 文章标签
- 相关推荐
真的很无语,跑了几天的代码,就在刚刚u都被转走了,我很懵比,怎么被盗的也不清楚,私钥没有分享过,metamask钱包里的币都被转走了,pm里的usdc被提现了。
image2164×494 31.9 KB
提醒还在玩的尽早提现走吧,不能玩了。
image1492×924 161 KB
网友解答:--【壹】--:
佬你是玩15分钟BTC脚本吧,这个庄家是老狗,千万小心!
--【贰】--:
莫名其妙被转走了的话 可以考虑一下代码中是否被下毒了
--【叁】--:
所以我现在都自托管代码了,用的forgejo
--【肆】--:
AI写的时候总是疯狂访问我的env ,拒绝后又会换多种方法再访问,不读到不罢休,读到之后就喜欢写在一些不在ignore的配置文件里,不注意确实容易泄漏
--【伍】--:
哥们还是要注意下软件工程的一些做法啊,都是历史上血泪换来的,特别是生产和测试分离,不要上来就AI生产,先弄个空账户或1元余额的账户做测试,跑通了再用大号,有这个换号需求就自动避免key被写死
--【陆】--:
这盗了多少钱啊,我的钱是放交易所里面的不知道应该还算安全吧。
--【柒】--:
有点离谱了哥们,不过还好损失的不多,下次要注意了
--【捌】--:
为啥不用private仓库,是要和别人一起协作吗
--【玖】--:
代码中的依赖包仔细查查,是不是都是正常渠道下载的包.
--【拾】--:
可能是钱包连接过别的网站,你这钱包连过小项目的网站吗
--【拾壹】--:
不說生產,開發環境沒分離,用雲端api的ai開發,你就是要當所有信息是被公開的了,更不用說各種中轉站
--【拾贰】--:
还有你这个脚本是可以盈利的嘛,是的话我就down下来赚钱了 哈哈哈哈
--【拾叁】--:
还好不多,下次公开仓库提交的时候就会注意了.
.env 加入到.gitignore中,只给模版.env
--【拾肆】--:
代码是AI写的,策略是我自己想的,部分代码是github上跟单的代码,仓库有毒的那个我看过了,我这里不会有,有兴趣的佬友可以去我仓库上看看,总共亏损了72u
image2400×526 59.7 KB
--【拾伍】--:
查明白了,是我自己犯傻,把私钥上传到github。。。。 本来私钥是管理在.env,但是有段测试代码是写死在代码里的。。。 血与泪的教训
--【拾陆】--:
下次开发这种金融类的工具时记得要本地建立git仓库 不要把代码同步到github上就可以从源头解决这个问题了,同样下载siklls,软件安装包时也要审查一下有没有被注入病毒
--【拾柒】--:
scripts/claim-profit.ts
main
// 目前是手动在页面平仓,代码没跑通
// import axios, { AxiosRequestConfig, AxiosError } from 'axios';
// import { HttpsProxyAgent } from 'https-proxy-agent';
// // ========== 配置区 ==========
// const API_CONFIG = {
// API_KEY: "9ba305bd49795cf07fd3b01b5cfcbc43c9f189c15e73fecc44ce253d77e8929e", // 替换为实际 Key
// API_SECRET: "Yv1pJVzuf9DS44cLPJ7TjecTqi-7UZ2PSXlFmXMwSgo=", // 替换为实际 Secret
// BASE_URL: "https://api.polymarket.com",
// REQUEST_DELAY: 1000, // 请求间隔(毫秒)
// PROXY: "http://127.0.0.1:8118" // 你的本地代理地址
// } as const;
// // ============================
// // 定义核心类型接口
// interface PolymarketPosition {
// id: string;
// status: 'open' | 'settled' | 'closed';
// isSettled: boolean;
// amount: string;
此文件已被截断。 显示原始文件
哎 老实了,再也不用AI写代码了,完全是自己疏忽了
真的很无语,跑了几天的代码,就在刚刚u都被转走了,我很懵比,怎么被盗的也不清楚,私钥没有分享过,metamask钱包里的币都被转走了,pm里的usdc被提现了。
image2164×494 31.9 KB
提醒还在玩的尽早提现走吧,不能玩了。
image1492×924 161 KB
网友解答:--【壹】--:
佬你是玩15分钟BTC脚本吧,这个庄家是老狗,千万小心!
--【贰】--:
莫名其妙被转走了的话 可以考虑一下代码中是否被下毒了
--【叁】--:
所以我现在都自托管代码了,用的forgejo
--【肆】--:
AI写的时候总是疯狂访问我的env ,拒绝后又会换多种方法再访问,不读到不罢休,读到之后就喜欢写在一些不在ignore的配置文件里,不注意确实容易泄漏
--【伍】--:
哥们还是要注意下软件工程的一些做法啊,都是历史上血泪换来的,特别是生产和测试分离,不要上来就AI生产,先弄个空账户或1元余额的账户做测试,跑通了再用大号,有这个换号需求就自动避免key被写死
--【陆】--:
这盗了多少钱啊,我的钱是放交易所里面的不知道应该还算安全吧。
--【柒】--:
有点离谱了哥们,不过还好损失的不多,下次要注意了
--【捌】--:
为啥不用private仓库,是要和别人一起协作吗
--【玖】--:
代码中的依赖包仔细查查,是不是都是正常渠道下载的包.
--【拾】--:
可能是钱包连接过别的网站,你这钱包连过小项目的网站吗
--【拾壹】--:
不說生產,開發環境沒分離,用雲端api的ai開發,你就是要當所有信息是被公開的了,更不用說各種中轉站
--【拾贰】--:
还有你这个脚本是可以盈利的嘛,是的话我就down下来赚钱了 哈哈哈哈
--【拾叁】--:
还好不多,下次公开仓库提交的时候就会注意了.
.env 加入到.gitignore中,只给模版.env
--【拾肆】--:
代码是AI写的,策略是我自己想的,部分代码是github上跟单的代码,仓库有毒的那个我看过了,我这里不会有,有兴趣的佬友可以去我仓库上看看,总共亏损了72u
image2400×526 59.7 KB
--【拾伍】--:
查明白了,是我自己犯傻,把私钥上传到github。。。。 本来私钥是管理在.env,但是有段测试代码是写死在代码里的。。。 血与泪的教训
--【拾陆】--:
下次开发这种金融类的工具时记得要本地建立git仓库 不要把代码同步到github上就可以从源头解决这个问题了,同样下载siklls,软件安装包时也要审查一下有没有被注入病毒
--【拾柒】--:
scripts/claim-profit.ts
main
// 目前是手动在页面平仓,代码没跑通
// import axios, { AxiosRequestConfig, AxiosError } from 'axios';
// import { HttpsProxyAgent } from 'https-proxy-agent';
// // ========== 配置区 ==========
// const API_CONFIG = {
// API_KEY: "9ba305bd49795cf07fd3b01b5cfcbc43c9f189c15e73fecc44ce253d77e8929e", // 替换为实际 Key
// API_SECRET: "Yv1pJVzuf9DS44cLPJ7TjecTqi-7UZ2PSXlFmXMwSgo=", // 替换为实际 Secret
// BASE_URL: "https://api.polymarket.com",
// REQUEST_DELAY: 1000, // 请求间隔(毫秒)
// PROXY: "http://127.0.0.1:8118" // 你的本地代理地址
// } as const;
// // ============================
// // 定义核心类型接口
// interface PolymarketPosition {
// id: string;
// status: 'open' | 'settled' | 'closed';
// isSettled: boolean;
// amount: string;
此文件已被截断。 显示原始文件
哎 老实了,再也不用AI写代码了,完全是自己疏忽了