فخ المتعاون: لماذا لا يجب أن 'تختبر' بوت صديقك

ملخص: الهندسة الاجتماعية لا تتعلق فقط بالوظائف المزيفة؛ إنها تتعلق بالصداقة المزيفة. تحقق هذه المقالة في احتيال "ساعدني في إصلاح خطأ" في Discord/Telegram. يستخدم المهاجمون التعاون لحث المطورين على استنساخ المستودعات الخبيثة.

---

---

1. النهج: "هل يمكنك المساعدة في هذا الخطأ؟"

أنت في قناة Discord لمكتبة Web3 شهيرة (مثل Ethers.js أو Hardhat). يرسل لك مستخدم رسالة خاصة أو في الدردشة العامة:

“مرحباً يا مطور، أقوم ببناء بوت مراجحة (arbitrage)، لكني أحصل على خطأ غريب في الغاز على Sepolia. هل يمكنك إلقاء نظرة؟ أنا عالق.”

لا يطلبون المال. لا يطلبون عبارة الاسترداد. إنهم يناشدون فضولك و رغبتك في المساعدة.

يرسلون رابطاً لـ GitHub. يبدو وكأنه مشروع Hardhat قياسي.

2. الحمولة: نص "الاختبار"

تقوم باستنساخ (clone) المستودع. تتحقق من مجلد contracts/. تبدو Solidity طبيعية - ربما فوضوية قليلاً، لكنها آمنة.

يقول المحتال: "جرب تشغيل نص الاختبار، الخطأ يظهر هناك."

تكتب:

npm install

npx hardhat test

انتهت اللعبة.

بينما يتم تشغيل الاختبار وطباعة خطأ "غاز" وهمي في وحدة التحكم، فإن عملية في الخلفية (مخفية في تبعية معدلة قليلاً أو ملف test.js مشوش) قد قامت بالفعل بـ:

1. مسح مجلد ~/.config.
2. العثور على browser_data (الحالة المحلية لـ Chrome/Brave).
3. فك تشفير كلمات المرور المحفوظة وخزائن MetaMask.
4. تحميل الحزمة إلى خادم بعيد.

3. تنويع "مختبر الألعاب"

نوع شائع آخر يستهدف اللاعبين:

“نحن نصنع لعبة Web3 (مثل Axie/Pixels) ونحتاج إلى مختبرين تجريبيين. ندفع 100 دولار من ETH مقابل 20 دقيقة لعب.”

يرسلون ملف .exe أو برنامج تثبيت.

الاحتيال: اللعبة حقيقية (غالباً قالب Unity مسروق)، لكن برنامج التثبيت يسقط "برمجية الحافظة الخبيثة" (Clipper Malware).

• الكليبر (Clipper): يراقب الحافظة الخاصة بك. عندما تنسخ عنوان محفظة لإرسال الأموال، فإنه يستبدله على الفور بعنوان المتسلل. ترسل الأموال للمهاجم دون أن تلاحظ.

4. كيف تكتشف "المتعاون" المزيف

• المستودعات "الخاصة": تتم المساعدة مفتوحة المصدر الشرعية في المشكلات العامة (Issues)، وليس في الرسائل الخاصة أو ملفات ZIP.
• الكود المشوش: إذا رأيت ملفاً (مثل lib/utils.js) يتكون من سطر واحد طويل من الأحرف العشوائية (var _0x5a1...)، احذفه فوراً.
• الضغط للتشغيل: إذا قلت "سأقرأ الكود أولاً" وانزعجوا - احظرهم.

5. بروتوكول الدفاع: صندوق الرمل (Sandbox)

لا "تساعد" الناس على جهازك الرئيسي.

1. استخدم Replit / CodeSandbox: استورد المستودع الخاص بهم في بيئة سحابية. إذا كانت هناك برامج ضارة، فستصيب الحاوية السحابية، وليس جهاز الكمبيوتر الخاص بك.
2. عزل VM: كما هو الحال في دليل المقابلة المعدية، استخدم آلة افتراضية لأي كود لم تكتبه.
3. تدقيق النصوص: اقرأ دائماً النصوص في package.json قبل تشغيل npm install.

انظر أيضاً: احترس من دروس "الثراء السريع" على YouTube - غالباً ما تكون احتيال بوت MEV مقنعاً.

الخاتمة

في المصادر المفتوحة، الثقة تُكتسب، لا تُمنح. "البوت المعطوب" هو أقدم خدعة في الكتاب. إذا أراد شخص ما المساعدة، فليقم بنشر مقتطف من الكود أو Gist - لا تستنسخ أبداً مستودع شخص غريب.