1

前言

为什么你用了 github 开源的 智能合约抢开盘/NFT mint 脚本，但是钱包却被盗了？

这个中文黑客（Fomo4056）开源了多个科学家工具，还做了一个 RichMan DAO，其实都是骗取用户私钥的钓鱼脚本，非常隐蔽！

2

起因

一个群友找到了一个开源 repo，觉得很不错，都是科学家工具，包括抢开盘，mint NFT，定时触发，三角套利，分享到了 WTF Solidity 技术交流群。敏锐的群友一下就觉得像是钓鱼的。

首先，一般的开源项目不带 node_modules。但是黑客将 node_modules 也上传到了 github，然后把钓鱼脚本嵌入其中。用户检查运行的脚本并不能找到问题，检查依赖的包才能发现，非常隐蔽。

3

恶意代码

黑客修改了 web3-eth 包，将钓鱼函数嵌入到了 thePending() 函数中，也就是等待链上交易成交的函数。它会自动向黑客的 telegram 发送用户私钥，从而盗取资金。

4

这名黑客的其他黑产

这个黑客还创建了一个 RichmainDAO，声称能用闪电贷、三角套利为用户提供每日 8%的利息，让用户转钱，然后将用户的本金转走。

5

我们能从这个案例学到什么？

1. 开源工具也可能藏着钓鱼脚本。

2. github 上传了 node_modules 的仓库要格外小心。

3. 天下没有免费的午餐，如果你不懂代码，不要使用未审计的开源科学家工具。

6

参考链接

https://twitter.com/0xAA_Science/status/1589949266424107008