# 我被 GitHub Copilot 给坑了

By [overtrue](https://paragraph.com/@overtrue) · 2024-10-14

---

哈哈哈，说来气人又搞笑🤪，我昨晚一个撸毛钱包被盗了，资金不多 180u 吧，但是它和 GitHub Copilot 有啥关系？

事情是这样的，我不是写了一个撸毛脚本么

[https://github.com/Web3BotHub/soniclabs-arcade-bot](https://github.com/Web3BotHub/soniclabs-arcade-bot)

然后昨晚更新代码的时候加了一个新的配置 SMART\_WALLET\_ADDRESS，为了让用户更容易理解这个配置从哪里来，我就顺理成章的写了前几个字“Example”，然后 GitHub Copilot 就帮我补齐了，当时觉得好幸福好贴心。

就这这行（历史已经被我清洗过了哈）：

[https://github.com/Web3BotHub/soniclabs-arcade-bot/blob/main/.env.example#L9](https://github.com/Web3BotHub/soniclabs-arcade-bot/blob/main/.env.example#L9)

然后从下意识的就打开命令行，提交了代码，然后跟朋友打 CSGO 去了……

打完 22 点多了，我突然看到我的钱包里余额咋不对了（我偶尔打开看看而已……，我甚至都没开通知权限），我一看交易记录：

![](https://storage.googleapis.com/papyrus_images/7fdeab70e209fd9e0de07cec9e015f30ef77f58933ad26a54a9beabc5dc3ac8f.png)

艹，好家伙，直接清仓～

找原因
---

一看这个界面就知道，不可能是某个授权出问题了，肯定是私钥泄露了，我直接打开 GitHub 搜我密钥，唯一的结果就是我刚提交的代码 .env.example 里！

哈哈哈，因为我本地测试的时候把私钥写到 .env 里测试，当然这个文件是加到 .gitignore 里的，所以很放心，谁知道 GitHub Copilot 把它记住了还帮我贴心的写到了注释里呢 🤣🤣🤣

好了，就当交个学费吧哈哈，大家切记保存好私钥，提交代码也小心被 AI 坑到哦～

关注我的推特 [@overtrue](https://x.com/overtrue666) 和微博 [@超哥又在划水](https://weibo.com/u/2193182644) 一起划水啊～

---

*Originally published on [overtrue](https://paragraph.com/@overtrue/github-copilot)*