تله همکاری: چرا نباید ربات دوستتان را 'تست' کنید
خلاصه: مهندسی اجتماعی فقط برای شغلهای جعلی نیست؛ برای دوستیهای جعلی هم هست. این مقاله کلاهبرداری "کمک کن این باگ رو رفع کنم" در دیسکورد/تلگرام را بررسی میکند. مهاجمان از همکاری (Collaboration) استفاده میکنند تا توسعهدهندگان را فریب دهند تا مخازن (Repositories) مخرب را کلون کنند.
۱. رویکرد: "میشه یه نگاهی به این باگ بندازی؟"
شما در کانال دیسکورد یک کتابخانه محبوب Web3 (مثل Ethers.js یا Hardhat) هستید. کاربری DM میدهد یا در چت عمومی پینگ میکند:
“Hey dev, I'm building an arbitrage bot, but I'm getting a weird gas error on Sepolia. Can you take a look? I'm stuck.”
آنها پول نمیخواهند. آنها عبارت بازیابی شما را نمیخواهند. آنها روی کنجکاوی و تمایل شما به کمک دست میگذارند.
آنها لینک گیتهاب میفرستند. شبیه یک پروژه استاندارد Hardhat است.
۲. بمب ساعتی: اسکریپت "Test"
مخزن را کلون میکنید. پوشه contracts/ را چک میکنید. کد سالیدیتی نرمال به نظر میرسد - شاید شلخته، اما امن.
کلاهبردار میگوید: "سعی کن اسکریپت تست رو اجرا کنی، اونجاست که ارور میاد."
تایپ میکنید:
npm install
npx hardhat test
بازی تمام شد.
در حالی که تست اجرا میشود و خطای "گس" جعلی در کنسول نمایش میدهد، یک فرآیند پسزمینه (پنهان در وابستگی کمی تغییر یافته یا در فایل test.js ناخوانا) این کار را کرده است:
۱. پوشه ~/.config شما را اسکن کرده است.
۲. دنبال browser_data (وضعیت محلی کروم/بریو) گشته است.
۳. رمزهای عبور ذخیره شده و صندوق متامسک شما را رمزگشایی کرده است.
۴. دادهها را به سرور راه دور آپلود کرده است.
۳. نوع "تستر بازی"
نوع رایجی که گیمرها را هدف قرار میدهد:
“ما داریم یه بازی Web3 میسازیم (مثل Axie/Pixels) و به تستر بتا نیاز داریم. برای ۲۰ دقیقه بازی ۱۰۰ دلار اتر میدیم.”
آنها فایل .exe یا نصبکننده میفرستند.
کلاهبرداری: بازی واقعی است (معمولاً دارایی Unity دزدی)، اما نصبکننده "بدافزار کلیپر" (Clipper Malware) میریزد.
- کلیپر: حافظه موقت (Clipboard) شما را مانیتور میکند. وقتی آدرس کیف پولی را کپی میکنید تا پول بفرستید، فوراً آدرس را با آدرس مهاجم عوض میکند. شما ندانسته پول را برای دزدها میفرستید.
۴. چگونه "همکار" جعلی را تشخیص دهیم؟
- مخازن "خصوصی": کمک اوپن سورس قانونی در Issues عمومی اتفاق میافتد، نه در DM یا فایلهای ZIP.
- کد مبهم شده: اگر فایلی دیدید (مثلاً در
lib/utils.js) که یک خط بزرگ از کاراکترهای تصادفی است (var _0x5a1...)، فوراً حذفش کنید. - فشار برای اجرا: اگر گفتید "اول کد رو میخونم" و آنها عصبانی شدند - بلاکشان کنید.
۵. پروتکل دفاع: سندباکس (Sandbox)
هرگز در ماشین اصلی خود به دیگران کمک نکنید.
۱. استفاده از Replit / CodeSandbox: مخزن آنها را در محیط ابری ایمپورت کنید. اگر بدافزار باشد، فقط کانتینر ابری را آلوده میکند، نه PC شما را.
۲. ایزولاسیون VM: دقیقاً مثل راهنمای مصاحبه مسری، برای کدی که خودتان ننوشتهاید از ماشین مجازی استفاده کنید.
۳. ممیزی اسکریپت: همیشه قبل از اجرای npm install اسکریپتهای package.json را بخوانید.
همچنین ببینید: مراقب آموزشهای "سریع پولدار شو" در یوتیوب باشید - اغلب آنها کلاهبرداری ربات MEV در لباسی مبدل هستند.
نتیجهگیری
در دنیای اوپن سورس، اعتماد باید به دست بیاید، نه اینکه رایگان داده شود. ترفند "ربات خراب" قدیمیترین ترفند در کتاب است. اگر کسی کمک میخواهد، بگذارید تکه کد یا Gist پست کند – هرگز مخزن غریبه را کلون نکنید.
آیا آمادهاید دانش خود را به کار بگیرید؟
همین امروز معامله با اطمینان مبتنی بر هوش مصنوعی را شروع کنید
شروع کنیدمقالات مرتبط
سم زنجیره تامین (Supply Chain Poison): وقتی بهروزرسانیهای مورد اعتماد مخرب میشوند
شما چیز عجیبی دانلود نکردید. فقط برنامه لجر را آپدیت کردید... و بعد پول رفت. وحشت حمله زنجیره تامین.
سپر کاغذی (The Paper Shield): چگونه عبارت بازیابی را درست بکآپ بگیریم
اسکرینشات فاجعه است. ابر (Cloud) کامپیوتر شخص دیگری است. تنها راه امن برای ذخیره کلیدهای خصوصی 'فولاد' و 'کاغذ' است.
کلاهبرداری بلندمدت (The Long Con): روانشناسی پشت 'سلاخی خوک'
او به شماره اشتباهی پیام نداد. و عاشق شما نیست. بررسی عمیق 'Sha Zhu Pan'، بیرحمانهترین کلاهبرداری کریپتو و نحوه تشخیص سناریو.