Samarbejdsfælden: Hvorfor du ikke skal 'teste' en vens bot
Resumé: Social Engineering handler ikke kun om falske jobs; det handler om falske venskaber. Denne artikel undersøger "hjælp mig med at fixe denne bug"-svindlen på Discord/Telegram. Angribere bruger samarbejde (Collaboration) til at narre Devs til at klone ondsindede Repos (Repositories).
1. Fremgangsmåden: "Kan du kigge på denne bug?"
Du er i en Discord-kanal for et populært Web3-bibliotek (som Ethers.js eller Hardhat). En bruger sender en DM eller pinger i den generelle chat:
“Hey dev, I'm building an arbitrage bot, but I'm getting a weird gas error on Sepolia. Can you take a look? I'm stuck.”
De beder ikke om penge. De beder ikke om din Seed Phrase. De appellerer til din nysgerrighed og vilje til at hjælpe.
De sender et GitHub-link. Det ligner et standard Hardhat-projekt.
2. Den Tidsindstillede Bombe: "Test"-scriptet
Du kloner Repot. Du tjekker contracts/-mappen. Solidity-koden ser normal ud - måske rodet, men sikker.
Svindleren siger: "Prøv at køre test-scriptet, fejlen dukker op der."
Du skriver:
npm install
npx hardhat test
Game Over.
Mens testen kører og udskriver en falsk "gas"-fejl i konsollen, har baggrundsprocessen (skjult i en let modificeret afhængighed eller en ulæselig test.js-fil) gjort følgende:
- Scannet din
~/.config-mappe. - Ledt efter
browser_data(Chrome/Brave lokal tilstand). - Dekrypteret gemte adgangskoder og din MetaMask Vault.
- Uploadet dataene til en fjernserver.
3. "Spiltester"-varianten
En almindelig variant rettet mod gamere:
“Vi bygger et Web3-spil (som Axie/Pixels) og har brug for Beta-testere. Vi betaler $100 ETH for 20 minutters spil.”
De sender en .exe-fil eller installer.
Svindlen: Spillet er ægte (oftest et stjålet Unity-aktiv), men installeren dropper "Clipper Malware" (Udklipsholder-malware).
- Clipper: Overvåger din udklipsholder. Når du kopierer en wallet-adresse for at sende penge, udskifter den øjeblikkeligt den med angriberens adresse. Du sender uvidende penge til tyvene.
4. Hvordan genkender man en falsk "Samarbejdspartner"?
- "Private" Repos: Legitim Open Source-hjælp foregår i Public Issues, ikke i DM eller ZIP-filer.
- Obfuskeret Kode: Hvis du ser en fil (f.eks. i
lib/utils.js), der er en enkelt gigantisk linje af tilfældige tegn (var _0x5a1...), slet den straks. - Pres for at køre: Hvis du siger "Jeg læser koden først", og de bliver irriterede - bloker dem.
5. Defense Protocol: Sandbox
"Hjælp" aldrig andre på din hovedmaskine.
- Brug Replit / CodeSandbox: Importer deres Repo til et cloud-miljø. Hvis der er malware, inficerer det kun Cloud Containeren, ikke din PC.
- VM Isolering: Ligesom i guiden Smitsomt Interview, brug en Virtuel Maskine til kode, du ikke selv har skrevet.
- Audit Scripts: Læs altid scripts i
package.json, før du kørernpm install.
Se også: Pas på YouTube "bliv rig hurtigt"-tutorials - det er ofte en forklædt MEV Bot Scam.
Konklusion
I Open Source-verdenen skal tillid fortjenes, det gives ikke gratis. "Ødelagt bot" er det ældste trick i bogen. Hvis nogen har brug for hjælp, lad dem poste en Code Snippet eller Gist - klon ALDRIG en fremmeds Repo.
Relaterede artikler
Supply Chain Poison: Når betroede opdateringer bliver malware
Du downloadede ikke noget mærkeligt. Du opdaterede bare Ledger-appen... Og det var der, pengene forsvandt. Rædslen ved et Supply Chain Attack.
Papirskjoldet (The Paper Shield): Sådan sikkerhedskopierer du din Seed Phrase korrekt
Screenshots er katastrofale. Skyen er en andens computer. Den eneste sikre måde at opbevare dine private nøgler på er 'Stål' og 'Papir'.
The Long Con: Psykologien bag 'Pig Butchering'
Hun sendte ikke en sms til det forkerte nummer. Og hun er ikke forelsket i dig. Et dyk ned i 'Sha Zhu Pan', det grusomste nummer i krypto, og hvordan du genkender manuskriptet.