Η Παγίδα Συνεργάτη: Γιατί δεν πρέπει να 'δοκιμάσετε' το bot ενός φίλου

Περίληψη: Η Κοινωνική Μηχανική δεν αφορά μόνο ψεύτικες δουλειές. αφορά ψεύτικες φιλίες. Αυτό το άρθρο διερευνά την απάτη "βοήθησέ με να διορθώσω αυτό το σφάλμα" στο Discord/Telegram. Οι επιτιθέμενοι χρησιμοποιούν τη συνεργασία (Collaboration) για να ξεγελάσουν τους Devs ώστε να κλωνοποιήσουν κακόβουλα Repos (Repositories).

---

---

1. Η Προσέγγιση: "Μπορείς να ρίξεις μια ματιά σε αυτό το σφάλμα;"

Βρίσκεστε σε ένα κανάλι Discord για μια δημοφιλή βιβλιοθήκη Web3 (όπως Ethers.js ή Hardhat). Ένας χρήστης στέλνει ένα DM ή κάνει ping στη γενική συνομιλία:

“Hey dev, I'm building an arbitrage bot, but I'm getting a weird gas error on Sepolia. Can you take a look? I'm stuck.”

Δεν ζητούν χρήματα. Δεν ζητούν το Seed Phrase σας. Απευθύνονται στην περιέργεια και την προθυμία σας να βοηθήσετε.

Στέλνουν έναν σύνδεσμο GitHub. Μοιάζει με ένα τυπικό έργο Hardhat.

2. Η Ωρολογιακή Βόμβα: Το σενάριο "Test"

Κλωνοποιείτε το Repo. Ελέγχετε τον φάκελο contracts/. Ο κώδικας Solidity φαίνεται φυσιολογικός - ίσως ακατάστατος, αλλά ασφαλής.

Ο απατεώνας λέει: "Δοκίμασε να τρέξεις το δοκιμαστικό σενάριο, το σφάλμα εμφανίζεται εκεί."

Πληκτρολογείτε:

npm install

npx hardhat test

Τέλος Παιχνιδιού.

Ενώ η δοκιμή εκτελείται και εκτυπώνει ένα ψεύτικο σφάλμα "αερίου" στην κονσόλα, η διαδικασία παρασκηνίου (κρυμμένη σε μια ελαφρώς τροποποιημένη εξάρτηση ή σε ένα δυσανάγνωστο αρχείο test.js) έχει κάνει τα εξής:

1. Σάρωσε τον φάκελο ~/.config σας.
2. Έψαξε για browser_data (τοπική κατάσταση Chrome/Brave).
3. Αποκρυπτογράφησε αποθηκευμένους κωδικούς πρόσβασης και το MetaMask Vault σας.
4. Ανέβασε τα δεδομένα σε έναν απομακρυσμένο διακομιστή.

3. Η Παραλλαγή "Game Tester"

Μια κοινή παραλλαγή που στοχεύει παίκτες:

“Φτιάχνουμε ένα παιχνίδι Web3 (όπως Axie/Pixels) και χρειαζόμαστε Beta testers. Πληρώνουμε $100 ETH για 20 λεπτά παιχνιδιού.”

Στέλνουν ένα αρχείο .exe ή πρόγραμμα εγκατάστασης.

Η Απάτη: Το παιχνίδι είναι αληθινό (συνήθως ένα κλεμμένο asset Unity), αλλά το πρόγραμμα εγκατάστασης ρίχνει "Clipper Malware" (Κακόβουλο λογισμικό πρόχειρου).

• Clipper: Παρακολουθεί το πρόχειρό σας. Όταν αντιγράφετε μια διεύθυνση πορτοφολιού για να στείλετε χρήματα, αντικαθιστά αμέσως τη διεύθυνση του επιτιθέμενου. Στέλνετε άθελά σας χρήματα στους κλέφτες.

4. Πώς να αναγνωρίσετε έναν ψεύτικο "Συνεργάτη";

• "Ιδιωτικά" Repos: Η νόμιμη βοήθεια Open Source γίνεται σε Public Issues, όχι σε DM ή αρχεία ZIP.
• Συσκοτισμένος Κώδικας: Εάν δείτε ένα αρχείο (π.χ. στο lib/utils.js) που είναι μια ενιαία γιγαντιαία γραμμή τυχαίων χαρακτήρων (var _0x5a1...), διαγράψτε το αμέσως.
• Πίεση για εκτέλεση: Εάν πείτε "Θα διαβάσω πρώτα τον κώδικα" και ενοχληθούν - μπλοκάρετέ τους.

5. Πρωτόκολλο Άμυνας: Sandbox

Ποτέ μην "βοηθάτε" άλλους στο κύριο μηχάνημά σας.

1. Χρησιμοποιήστε Replit / CodeSandbox: Εισαγάγετε το Repo τους σε περιβάλλον cloud. Εάν υπάρχει κακόβουλο λογισμικό, μολύνει μόνο το Cloud Container, όχι τον υπολογιστή σας.
2. Απομόνωση VM: Ακριβώς όπως στον οδηγό Μολυσματική Συνέντευξη, χρησιμοποιήστε μια εικονική μηχανή για κώδικα που δεν γράψατε μόνοι σας.
3. Έλεγχος Σεναρίων: Διαβάζετε πάντα τα σενάρια στο package.json πριν εκτελέσετε npm install.

Δείτε επίσης: Προσοχή στα σεμινάρια "γρήγορου πλουτισμού" στο YouTube - συχνά είναι μια μεταμφιεσμένη Απάτη MEV Bot.

Συμπέρασμα

Στον κόσμο του Open Source, η εμπιστοσύνη πρέπει να κερδίζεται, δεν δίνεται δωρεάν. Το "σπασμένο bot" είναι το παλαιότερο κόλπο στο βιβλίο. Εάν κάποιος χρειάζεται βοήθεια, αφήστε τον να δημοσιεύσει ένα απόσπασμα κώδικα ή Gist - ΠΟΤΕ μην κλωνοποιείτε το Repo ενός ξένου.