哈哈哈,说来气人又搞笑🤪,我昨晚一个撸毛钱包被盗了,资金不多 180u 吧,但是它和 GitHub Copilot 有啥关系?
事情是这样的,我不是写了一个撸毛脚本么
然后昨晚更新代码的时候加了一个新的配置 SMART_WALLET_ADDRESS,为了让用户更容易理解这个配置从哪里来,我就顺理成章的写了前几个字“Example”,然后 GitHub Copilot 就帮我补齐了,当时觉得好幸福好贴心。
就这这行(历史已经被我清洗过了哈):
然后从下意识的就打开命令行,提交了代码,然后跟朋友打 CSGO 去了……
打完 22 点多了,我突然看到我的钱包里余额咋不对了(我偶尔打开看看而已……,我甚至都没开通知权限),我一看交易记录:
艹,好家伙,直接清仓~
一看这个界面就知道,不可能是某个授权出问题了,肯定是私钥泄露了,我直接打开 GitHub 搜我密钥,唯一的结果就是我刚提交的代码 .env.example 里!
哈哈哈,因为我本地测试的时候把私钥写到 .env 里测试,当然这个文件是加到 .gitignore 里的,所以很放心,谁知道 GitHub Copilot 把它记住了还帮我贴心的写到了注释里呢 🤣🤣🤣
好了,就当交个学费吧哈哈,大家切记保存好私钥,提交代码也小心被 AI 坑到哦~