我被 GitHub Copilot 给坑了
October 14th, 2024

哈哈哈,说来气人又搞笑🤪,我昨晚一个撸毛钱包被盗了,资金不多 180u 吧,但是它和 GitHub Copilot 有啥关系?

事情是这样的,我不是写了一个撸毛脚本么

然后昨晚更新代码的时候加了一个新的配置 SMART_WALLET_ADDRESS,为了让用户更容易理解这个配置从哪里来,我就顺理成章的写了前几个字“Example”,然后 GitHub Copilot 就帮我补齐了,当时觉得好幸福好贴心。

就这这行(历史已经被我清洗过了哈):

然后从下意识的就打开命令行,提交了代码,然后跟朋友打 CSGO 去了……

打完 22 点多了,我突然看到我的钱包里余额咋不对了(我偶尔打开看看而已……,我甚至都没开通知权限),我一看交易记录:

艹,好家伙,直接清仓~

找原因

一看这个界面就知道,不可能是某个授权出问题了,肯定是私钥泄露了,我直接打开 GitHub 搜我密钥,唯一的结果就是我刚提交的代码 .env.example 里!

哈哈哈,因为我本地测试的时候把私钥写到 .env 里测试,当然这个文件是加到 .gitignore 里的,所以很放心,谁知道 GitHub Copilot 把它记住了还帮我贴心的写到了注释里呢 🤣🤣🤣

好了,就当交个学费吧哈哈,大家切记保存好私钥,提交代码也小心被 AI 坑到哦~

关注我的推特 @overtrue 和微博 @超哥又在划水 一起划水啊~

Subscribe to overtrue
Receive the latest updates directly to your inbox.
Nft graphic
Mint this entry as an NFT to add it to your collection.
Verification
This entry has been permanently stored onchain and signed by its creator.
More from overtrue

Skeleton

Skeleton

Skeleton