Капанът на Сътрудника: Защо не трябва да 'тествате' бота на приятел

Резюме: Социалното инженерство не е само за фалшиви работни места; то е и за фалшиви приятелства. Тази статия изследва измамата „помогни ми да поправя този бъг“ в Discord/Telegram. Атакуващите използват сътрудничеството (Collaboration), за да подмамят Devs да клонират зловредни репа (Repositories).

---

---

1. Подходът: „Можеш ли да погледнеш този бъг?“

Вие сте в Discord канал за популярна Web3 библиотека (като Ethers.js или Hardhat). Потребител изпраща DM или пингва в общия чат:

“Hey dev, I'm building an arbitrage bot, but I'm getting a weird gas error on Sepolia. Can you take a look? I'm stuck.”

Не искат пари. Не искат вашата Seed Phrase. Те апелират към вашето любопитство и желание да помогнете.

Изпращат GitHub линк. Изглежда като стандартен Hardhat проект.

2. Тиктакащата Бомба: „Test“ Скриптът

Клонирате Репото. Проверявате папката contracts/. Solidity кодът изглежда нормален - може би разхвърлян, но безопасен.

Измамникът казва: "Опитай да стартираш тестовия скрипт, там се появява грешката."

Пишете:

npm install

npx hardhat test

Край на Играта.

Докато тестът работи и изписва фалшива грешка за „газ“ в конзолата, фонов процес (скрит в леко модифицирана зависимост или в нечетим test.js файл) е направил това:

1. Сканирал е вашата папка ~/.config.
2. Търсил е browser_data (локално състояние на Chrome/Brave).
3. Декриптирал е запазените пароли и вашия MetaMask Vault.
4. Качил е данните на отдалечен сървър.

3. Вариантът "Game Tester"

Често срещан вариант, насочен към геймърите:

“Изграждаме Web3 игра (като Axie/Pixels) и имаме нужда от Beta тестери. Плащаме $100 ETH за 20 минути игра.”

Изпращат .exe файл или инсталатор.

Измамата: Играта е истинска (обикновено откраднат Unity актив), но инсталаторът пуска „Clipper Malware“ (Зловреден софтуер за клипборд).

• Clipper: Мониторира клипборда ви. Когато копирате адрес на портфейл, за да изпратите пари, той незабавно заменя адреса с този на нападателя. Неволно изпращате парите на крадците.

4. Как да разпознаете фалшив „Сътрудник“?

• „Частни“ Репа: Легитимната Open Source помощ се случва в Публични Issues, не в DM или ZIP файлове.
• Обфускиран Код: Ако видите файл (напр. в lib/utils.js), който е един огромен ред от случайни знаци (var _0x5a1...), изтрийте го незабавно.
• Натиск за стартиране: Ако кажете „Ще прочета кода първо“ и те се ядосат - блокирайте ги.

5. Протокол за Защита: Sandbox

Никога не помагайте на другите на основната си машина.

1. Използвайте Replit / CodeSandbox: Импортирайте тяхното Репо в облачна среда. Ако има зловреден софтуер, той заразява само Cloud контейнера, а не вашия компютър.
2. VM Изолация: Точно както в ръководството за Заразно Интервю, използвайте виртуална машина за код, който не сте написали сами.
3. Одит на Скриптове: Винаги четете скриптовете в package.json преди да стартирате npm install.

Вижте също: Внимавайте с уроците за „бързо забогатяване“ в YouTube - често те са прикрита Измама с MEV бот.

Заключение

В света на отворения код доверието трябва да се заслужи, не да се дава безплатно. „Счупеният бот“ е най-старият трик в книгата. Ако някой има нужда от помощ, нека публикува кодов фрагмент или Gist – НИКОГА не клонирайте Репо на непознат.