Perangkap Kolaborator: Mengapa Anda Tidak Boleh 'Menguji' Bot Teman

Ringkasan: Rekayasa sosial bukan hanya untuk pekerjaan palsu; ini juga untuk teman palsu. Artikel ini mengeksplorasi penipuan "bantu saya memperbaiki bug ini" di Discord/Telegram. Penyerang menggunakan kolaborasi untuk menipu Devs agar mengkloning repo (Repositories) berbahaya.

---

---

1. Pendekatan: "Bisakah kamu melihat bug ini?"

Anda berada di saluran Discord untuk perpustakaan Web3 populer (seperti Ethers.js atau Hardhat). Pengguna mengirim DM atau ping di obrolan umum:

“Hey dev, I'm building an arbitrage bot, but I'm getting a weird gas error on Sepolia. Can you take a look? I'm stuck.”

Mereka tidak meminta uang. Mereka tidak meminta Seed Phrase Anda. Mereka menarik keingintahuan dan keinginan Anda untuk membantu.

Mereka mengirim tautan GitHub. Terlihat seperti proyek Hardhat standar.

2. Bom Waktu: Skrip "Test"

Anda mengkloning Repo. Anda memeriksa folder contracts/. Kode Solidity terlihat normal - mungkin berantakan, tetapi aman.

Penipu berkata: "Coba jalankan skrip tes, di situlah kesalahan muncul."

Anda mengetik:

npm install

npx hardhat test

Permainan Berakhir.

Sementara tes berjalan dan memuntahkan kesalahan "gas" palsu di konsol, proses latar belakang (tersembunyi dalam dependensi yang sedikit dimodifikasi atau dalam file test.js yang tidak terbaca) telah melakukan ini:

1. Memindai folder ~/.config Anda.
2. Mencari browser_data (status Chrome/Brave lokal).
3. Mendekripsi kata sandi yang disimpan dan Gudang MetaMask Anda.
4. Mengunggah data ke server jarak jauh.

3. Varian "Game Tester"

Varian umum yang menargetkan gamer:

“Kami sedang membangun game Web3 (seperti Axie/Pixels) dan membutuhkan penguji Beta. Kami membayar $100 ETH untuk 20 menit bermain game.”

Mereka mengirim file .exe atau penginstal.

Penipuannya: Gimnya nyata (biasanya aset Unity curian), tetapi penginstal menjatuhkan "Clipper Malware" (Malware Papan Klip).

• Clipper: Memantau papan klip Anda. Saat Anda menyalin alamat dompet untuk mengirim uang, ia langsung menukar alamat dengan alamat penyerang. Anda tanpa sadar mengirim uang ke pencuri.

4. Cara Melihat "Kolaborator" Palsu?

• Repo "Pribadi": Bantuan Open Source yang sah terjadi di Masalah Publik (Public Issues), bukan di DM atau file ZIP.
• Kode Terobfuscasi: Jika Anda melihat file (mis. di lib/utils.js) yang merupakan satu baris besar karakter acak (var _0x5a1...), hapus segera.
• Tekanan untuk Menjalankan: Jika Anda berkata "Saya akan membaca kodenya dulu" dan mereka marah - blokir mereka.

5. Protokol Pertahanan: Sandbox

Jangan pernah membantu orang lain di mesin utama Anda.

1. Gunakan Replit / CodeSandbox: Impor Repo mereka ke lingkungan cloud. Jika ada malware, itu hanya menginfeksi wadah Cloud, bukan PC Anda.
2. VM Isolasi: Persis seperti dalam panduan Wawancara Menular, gunakan mesin virtual untuk kode yang tidak Anda tulis sendiri.
3. Audit Skrip: Selalu baca skrip di package.json sebelum menjalankan npm install.

Lihat Juga: Waspadalah terhadap tutorial "cepat kaya" di YouTube - seringkali itu adalah Penipuan Bot MEV yang menyamar.

Kesimpulan

Di dunia open source, kepercayaan harus diperoleh, bukan diberikan dengan bebas. Trik "bot rusak" adalah yang tertua di buku. Jika seseorang butuh bantuan, biarkan mereka memposting cuplikan kode atau Gist – JANGAN PERNAH mengkloning Repo orang asing.