Yhteistyökumppanin Ansa: Miksi sinun ei pitäisi 'testata' kaverin bottia

Tiivistelmä: Sosiaalinen manipulointi ei ole vain valetyöpaikkoja; se on valeyistävyyksiä. Tämä artikkeli tutkii "auta minua korjaamaan tämä bugi" -huijausta Discordissa/Telegramissa. Hyökkääjät käyttävät yhteistyötä (Collaboration) huijatakseen kehittäjiä kloonaamaan haitallisia repoja (Repositories).

---

---

1. Lähestymistapa: "Voitko vilkaista tätä bugia?"

Olet suositun Web3-kirjaston (kuten Ethers.js tai Hardhat) Discord-kanavalla. Käyttäjä lähettää sinulle yksityisviestin tai pingaa yleisessä chatissa:

“Hey dev, I'm building an arbitrage bot, but I'm getting a weird gas error on Sepolia. Can you take a look? I'm stuck.”

He eivät pyydä rahaa. He eivät pyydä Seed Phrasea. He vetoavat uteliaisuuteesi ja auttamishaluusi.

He lähettävät GitHub-linkin. Se näyttää tavalliselta Hardhat-projektilta.

2. Aikapommi: "Test" -skripti

Kloonaat repon. Tarkistat contracts/-kansion. Solidity-koodi näyttää normaalilta – ehkä sotkuiselta, mutta turvalliselta.

Huijari sanoo: "Kokeile ajaa testiskripti, virhe ilmestyy sinne."

Kirjoitat:

npm install

npx hardhat test

Peli Ohi.

Samalla kun testi pyörii ja tulostaa konsoliin valheellisen "gas"-virheen, taustaprosessi (piilotettu hieman muokattuun riippuvuuteen tai lukukelvottomaan test.js-tiedostoon) on tehnyt seuraavaa:

1. Skannannut ~/.config-kansiosi.
2. Etsinyt browser_data (Chrome/Brave paikallinen tila).
3. Purkanut tallennetut salasanat ja MetaMask Vaultisi salauksen.
4. Lähettänyt tiedot etäpalvelimelle.

3. "Pelitestaaja" -muunnelma

Yleinen muunnelma, joka kohdistuu pelaajiin:

“Rakennamme Web3-peliä (kuten Axie/Pixels) ja tarvitsemme Beta-testaajia. Maksamme 100 $ ETH:na 20 minuutin pelaamisesta.”

He lähettävät .exe-tiedoston tai asennusohjelman.

Huijaus: Peli on aito (yleensä varastettu Unity-omaisuus), mutta asennusohjelma pudottaa "Clipper Malware" (Leikepöytähaittaohjelma).

• Clipper: Tarkkailee leikepöytääsi. Kun kopioit lompakko-osoitteen lähettääksesi rahaa, se vaihtaa sen välittömästi hyökkääjän osoitteeseen. Lähetät tietämättäsi rahat varkaille.

4. Kuinka tunnistaa valel "Yhteistyökumppani"?

• "Yksityiset" Repot: Laillinen Open Source -apu tapahtuu julkisissa Issueissa, ei yksityisviesteissä tai ZIP-tiedostoissa.
• Pimennetty (Obfuscated) Koodi: Jos näet tiedoston (esim. lib/utils.js), joka on yksi jättimäinen rivi satunnaisia merkkejä (var _0x5a1...), poista se välittömästi.
• Paine suorittaa: Jos sanot "Luen koodin ensin", ja he ärsyyntyvät – estä heidät.

5. Puolustusprotokolla: Hiekkalaatikko

Älä koskaan "auta" muita pääkoneellasi.

1. Käytä Replitiä / CodeSandboxia: Tuo heidän reponsa pilviympäristöön. Jos siellä on haittaohjelma, se tartuttaa vain pilvikontin, ei PC:täsi.
2. VM Eristys: Aivan kuten oppaassa Tarttuva Haastattelu, käytä virtuaalikonetta koodille, jota et ole itse kirjoittanut.
3. Auditoi Skriptit: Lue aina skriptit tiedostossa package.json ennen kuin ajat npm install.

Katso myös: Varo YouTuben "rikastu nopeasti" -tutoriaaleja – se on usein naamioitu MEV Bot Scam.

Johtopäätös

Avoimen lähdekoodin maailmassa luottamus on ansaittava, sitä ei anneta ilmaiseksi. "Rikkinäinen botti" on vanhin temppu kirjassa. Jos joku tarvitsee apua, anna heidän postata koodinpätkä tai Gist – älä KOSKAAN kloonaa tuntemattoman repoa.