A Kolaborátor Csapda: Miért ne 'teszteld' egy barát botját

Összefoglaló: A Social Engineering nem csak hamis állásokról szól; hamis barátságokról is. Ez a cikk a „segíts kijavítani ezt a hibát” átverést vizsgálja a Discordon/Telegramon. A támadók a közös munkát (Collaboration) használják fel arra, hogy rávegyék a fejlesztőket rosszindulatú repók (Repositories) klónozására.

---

---

1. A Megközelítés: „Ránéznél erre a hibára?”

Egy népszerű Web3 könyvtár (mint az Ethers.js vagy a Hardhat) Discord csatornáján vagy. Egy felhasználó DM-et küld, vagy pingel az általános chaten:

“Hey dev, I'm building an arbitrage bot, but I'm getting a weird gas error on Sepolia. Can you take a look? I'm stuck.”

Nem kérnek pénzt. Nem kérik a Seed Phrase-edet. A kíváncsiságodra és a segítőkészségedre apellálnak.

Küldenek egy GitHub linket. Úgy néz ki, mint egy szabványos Hardhat projekt.

2. Az Időzített Bomba: A "Teszt" Szkript

Klónozod a Repót. Ellenőrzöd a contracts/ mappát. A Solidity kód normálisnak tűnik – talán rendetlen, de biztonságos.

A csaló azt mondja: "Próbáld meg futtatni a teszt szkriptet, ott jön elő a hiba."

Beírod:

npm install

npx hardhat test

Játék Vége.

Miközben a teszt fut, és egy hamis „gas” hibát ír ki a konzolra, egy háttérfolyamat (ami egy enyhén módosított függőségben vagy egy olvashatatlan test.js fájlban van elrejtve) ezt tette:

1. Beszkennelte a ~/.config mappádat.
2. Kereste a browser_data-t (Chrome/Brave helyi állapot).
3. Visszafejtette a mentett jelszavakat és a MetaMask Széfedet.
4. Feltöltötte az adatokat egy távoli szerverre.

3. A "Játéktesztelő" Változat

Egy gyakori változat, amely a játékosokat célozza:

“Web3 játékot építünk (mint az Axie/Pixels), és Béta tesztelőkre van szükségünk. 100$ ETH-t fizetünk 20 perc játékért.”

Küldenek egy .exe fájlt vagy telepítőt.

Az Átverés: A játék valódi (általában egy lopott Unity asset), de a telepítő ledob egy „Clipper Malware”-t (Vágólap Malware).

• Clipper: Figyeli a vágólapodat. Amikor kimásolsz egy tárcacímet, hogy pénzt küldj, azonnal kicseréli a címet a támadó címére. Tudtodon kívül a tolvajoknak küldöd a pénzt.

.

4. Hogyan ismerd fel a hamis „Kolaborátort”?

• „Privát” Repók: A legitim Open Source segítség a Nyilvános Issue-kban történik, nem DM-ben vagy ZIP fájlokban.
• Ködösített Kód: Ha látsz egy fájlt (pl. a lib/utils.js-ben), ami egyetlen óriási sor véletlenszerű karakterekből áll (var _0x5a1...), azonnal töröld.
• Nyomásgyakorlás a futtatásra: Ha azt mondod: „Először elolvasom a kódot”, és dühösek lesznek – tiltsd le őket.

5. Védelmi Protokoll: Sandbox

Soha ne segíts másoknak a fő gépeden.

1. Használj Replit-et / CodeSandbox-ot: Importáld a Repójukat egy felhő környezetbe. Ha malware van benne, csak a Cloud Container-t fertőzi meg, nem a számítógépedet.
2. VM Izoláció: Csakúgy, mint a Fertőző Interjú útmutatóban, használj virtuális gépet olyan kódhoz, amit nem te írtál.
3. Szkript Audit: Mindig olvasd el a szkripteket a package.json-ben az npm install futtatása előtt.

Lásd még: Vigyázz a „gyors meggazdagodás” oktatóanyagokkal a YouTube-on – gyakran álcázott MEV Bot Átverés.

Következtetés

Az Open Source világban a bizalmat ki kell érdemelni, nem adják ingyen. A „törött bot” a legrégebbi trükk a könyvben. Ha valakinek segítségre van szüksége, posztoljon egy kódrészletet vagy Gist-et – SOHA ne klónozd egy idegen Repóját.