Past Spolupracovníka: Proč byste neměli 'testovat' bot kamaráda

Shrnutí: Sociální inženýrství není jen o falešných pracovních místech; je to o falešných přátelstvích. Tento článek zkoumá podvod "pomoz mi opravit tuto chybu" na Discord/Telegram. Útočníci využívají spolupráci (Collaboration), aby oklamali Devs ke klonování škodlivých Repos (Repositories).

---

---

1. Přístup: "Můžeš se podívat na tuto chybu?"

Jste na Discord kanálu pro populární Web3 knihovnu (jako Ethers.js nebo Hardhat). Uživatel pošle DM nebo pingne v obecném chatu:

“Hey dev, I'm building an arbitrage bot, but I'm getting a weird gas error on Sepolia. Can you take a look? I'm stuck.”

Nechtějí peníze. Nechtějí vaši Seed Phrase. Apelují na vaši zvědavost a ochotu pomoci.

Pošlou odkaz na GitHub. Vypadá to jako standardní projekt Hardhat.

2. Časovaná Bomba: Skript "Test"

Naklonujete Repo. Zkontrolujete složku contracts/. Kód Solidity vypadá normálně - možná nepořádný, ale bezpečný.

Podvodník říká: "Zkus spustit testovací skript, tam se ta chyba objevuje."

Napíšete:

npm install

npx hardhat test

Konec Hry.

Zatímco test běží a tiskne falešnou chybu "gas" do konzole, proces na pozadí (skrytý v mírně upravené závislosti nebo v nečitelném souboru test.js) udělal toto:

1. Naskenoval vaši složku ~/.config.
2. Hledal browser_data (lokální stav Chrome/Brave).
3. Dešifroval uložená hesla a váš MetaMask Vault.
4. Nahrál data na vzdálený server.

3. Varianta "Game Tester"

Běžná varianta cílená na hráče:

“Stavíme Web3 hru (jako Axie/Pixels) a potřebujeme Beta testery. Platíme $100 ETH za 20 minut hraní.”

Pošlou .exe soubor nebo instalátor.

Podvod: Hra je skutečná (obvykle kradený Unity asset), ale instalátor shodí "Clipper Malware" (Malware schránky).

• Clipper: Sleduje vaši schránku. Když zkopírujete adresu peněženky, abyste poslali peníze, okamžitě nahradí adresu adresou útočníka. Nevědomky pošlete peníze zlodějům.

4. Jak poznat falešného "Spolupracovníka"?

• "Soukromá" Repos: Legitimní pomoc Open Source se děje ve Veřejných Issues, ne v DM nebo ZIP souborech.
• Zmatený Kód: Pokud vidíte soubor (např. v lib/utils.js), který je jeden obří řádek náhodných znaků (var _0x5a1...), okamžitě jej smažte.
• Tlak na spuštění: Pokud řeknete "Nejprve si přečtu kód" a oni se naštvou - zablokujte je.

5. Obranný Protokol: Sandbox

Nikdy nepomáhejte ostatním na svém hlavním stroji.

1. Použijte Replit / CodeSandbox: Importujte jejich Repo do cloudového prostředí. Pokud je tam malware, infikuje pouze Cloud Container, ne váš počítač.
2. Izolace VM: Stejně jako v průvodci Nakažlivý Pohovor, používejte virtuální stroj pro kód, který jste sami nenapsali.
3. Audit Skriptů: Vždy čtěte skripty v package.json před spuštěním npm install.

Viz také: Pozor na návody na "rychlé zbohatnutí" na YouTube - často jde o maskovaný Podvod MEV Bot.

Závěr

Ve světě Open Source si důvěru musíte zasloužit, nedává se zadarmo. "Rozbitý bot" je nejstarší trik v knize. Pokud někdo potřebuje pomoc, ať pošle úryvek kódu nebo Gist - NIKDY neklonujte Repo cizince.