Koostööpartneri Lõks: Miks sa ei tohi sõbra boti 'testida'

Kokkuvõte: Sotsiaalne inseneeria ei ole ainult võltsitud töökohtade jaoks; see on ka võltsitud sõprussuhete jaoks. See artikkel uurib "aita mul seda viga parandada" pettust Discordis/Telegramis. Ründajad kasutavad koostööd (Collaboration), et meelitada Arendajaid kloonima pahatahtlikke reposid (Repositories).

---

---

1. Lähenemine: "Kas saaksid sellele veale pilgu peale visata?"

Oled populaarse Web3 teegi (nagu Ethers.js või Hardhat) Discordi kanalis. Kasutaja saadab DM-i või pingib üldises vestluses:

“Hey dev, I'm building an arbitrage bot, but I'm getting a weird gas error on Sepolia. Can you take a look? I'm stuck.”

Nad ei küsi raha. Nad ei küsi sinu Seemnefraasi. Nad apelleerivad sinu uudishimule ja soovile aidata.

Nad saadavad GitHubi lingi. See näeb välja nagu standardne Hardhati projekt.

2. Tiksuv Pomm: "Test" Skript

Kloonid Repo. Kontrollid kausta contracts/. Solidity kood näeb välja normaalne - võib-olla lohakas, kuid ohutu.

Pettur ütleb: "Proovi testskripti käivitada, seal see viga ilmubki."

Kirjutad:

npm install

npx hardhat test

Mäng Läbi.

Samal ajal kui test töötab ja konsooli võltsitud "gaasi" viga sülitab, on taustaprotsess (mis on peidetud kergelt muudetud sõltuvusse või loetamatuse test.js faili) teinud seda:

1. Skaneerinud sinu ~/.config kausta.
2. Otsinud browser_data (Chrome/Brave kohalik olek).
3. Dekrüpteerinud salvestatud paroolid ja sinu MetaMaski Vaulti.
4. Laadinud andmed kaugserverisse.

3. "Mängu Testija" Variant

Levinud variant, mis sihib mängureid:

“Ehitame Web3 mängu (nagu Axie/Pixels) ja vajame beeta-testijaid. Maksame $100 ETH 20 minuti mängimise eest.”

Nad saadavad .exe faili või installeri.

Pettus: Mäng on päris (tavaliselt varastatud Unity vara), kuid installer paigaldab "Clipper Malware'i" (Lõikelaua Pahavara).

• Clipper: Jälgib sinu lõikelauale kopeeritud teksti. Kui kopeerid raha saatmiseks rahakoti aadressi, asendab see koheselt aadressi ründaja omaga. Saadad pahaaimamatult raha varastele.

4. Kuidas märgata võlts-"Koostööpartnerit"?

• "Privaatsed" Repod: Seaduslik avatud lähtekoodi abi toimub Avalikes Issue'des, mitte DM-ides või ZIP-failides.
• Obfuskeeritud Kood: Kui näed faili (nt lib/utils.js), mis on üks suur rida juhuslikke märke (var _0x5a1...), kustuta see kohe.
• Surve käivitamiseks: Kui ütled "Ma loen koodi kõigepealt" ja nad saavad vihaseks - blokeeri nad.

5. Kaitseprotokoll: Liivakast (Sandbox)

Ära kunagi aita teisi oma põhimasinas.

1. Kasuta Replitit / CodeSandboxi: Impordi nende Repo pilvekeskkonda. Kui seal on pahavara, nakatab see ainult pilvekonteinerit, mitte sinu arvutit.
2. VM Isolatsioon: Täpselt nagu Nakkava Intervjuu juhendis, kasuta virtuaalmasinat koodi jaoks, mida sa ise ei kirjutanud.
3. Skripti Audit: Loe alati package.json skripte enne npm install käivitamist.

Vaata ka: Hoidu YouTube'i "saa kiiresti rikkaks" õpetustest - sageli on need varjatud MEV Boti Pettus.

Järeldus

Avatud lähtekoodi maailmas tuleb usaldus välja teenida, mitte anda tasuta. "Katkise boti" trikk on kõige vanem raamatus. Kui keegi vajab abi, las postitab koodijupi või Gisti – ÄRA KUNAGI klooni võõra Repot.