De Collaborator-val: Waarom je de bot van een vriend niet moet 'testen'

Samenvatting: Social Engineering gaat niet alleen over nepbanen; het gaat over nepvriendschappen. Dit artikel onderzoekt de Discord/Telegram "help me deze bug te fixen" zwendel. Aanvallers gebruiken samenwerking (Collaboration) om Devs te misleiden om kwaadaardige Repo's te klonen.

---

---

1. De Benadering: "Kun je naar deze bug kijken?"

Je zit in een Discord-kanaal van een populaire Web3-bibliotheek (zoals Ethers.js of Hardhat). Een gebruiker stuurt je een DM of pingt in de openbare chat:

“Hey dev, I'm building an arbitrage bot, but I'm getting a weird gas error on Sepolia. Can you take a look? I'm stuck.”

Ze vragen niet om geld. Ze vragen niet om je Seed Phrase. Ze doen een beroep op je nieuwsgierigheid en bereidheid om te helpen.

Ze sturen een GitHub-link. Het ziet eruit als een standaard Hardhat-project.

2. De Tijdbom: Het "Test" Script

Je kloont de Repo. Je checkt de contracts/ map. De Solidity-code ziet er normaal uit - misschien rommelig, maar veilig.

De oplichter zegt: "Probeer het testscript te draaien, de foutmelding verschijnt daar."

Je typt:

npm install

npx hardhat test

Game Over.

Terwijl de test draait en een nep "gas" error in de console print, heeft het achtergrondproces (verborgen in een licht gewijzigde dependency of een onleesbaar test.js bestand) het volgende gedaan:

1. Je ~/.config map gescand.
2. Gezicht naar browser_data (Chrome/Brave lokale staat).
3. Opgeslagen wachtwoorden en je MetaMask Vault ontsleuteld.
4. Data geüpload naar een externe server.

3. De "Game Tester" Variant

Een veelvoorkomende variant gericht op gamers:

“We bouwen een Web3-game (zoals Axie/Pixels) en hebben Beta Testers nodig. We betalen $100 ETH voor 20 minuten spelen.”

Ze sturen een .exe bestand of installer.

De Zwendel: De game is echt (meestal een gestolen Unity asset), maar de installer dropt "Clipper Malware".

• Clipper: Het monitort je klembord. Wanneer je een walletadres kopieert om geld te versturen, vervangt het dit onmiddellijk door het adres van de aanvaller. Je stuurt het geld onwetend naar de dieven.

4. Hoe herken je een nep-"Collaborator"?

• "Private" Repo's: Legitieme Open Source hulp vindt plaats in Public Issues, niet in DM's of ZIP-bestanden.
• Verduisterde (Obfuscated) Code: Als je een bestand ziet (bijv. in lib/utils.js) dat één gigantische regel willekeurige tekens is (var _0x5a1...), verwijder het onmiddellijk.
• Druk om uit te voeren: Als je zegt "Ik lees eerst de code" en ze raken geïrriteerd - blokkeer ze.

5. Defense Protocol: Sandbox

"Help" anderen nooit op je hoofdmachine.

1. Gebruik Replit / CodeSandbox: Importeer hun Repo in een cloudomgeving. Als er malware is, infecteert het alleen de Cloud Container, niet je PC.
2. VM Isolatie: Net als in de Contagious Interview gids, gebruik een Virtual Machine voor code die je niet zelf hebt geschreven.
3. Audit Scripts: Lees altijd de scripts in package.json voordat je npm install uitvoert.

Zie ook: Pas op voor YouTube "word snel rijk" tutorials - dat is vaak een vermomde MEV Bot Scam.

Conclusie

In de Open Source wereld wordt vertrouwen verdiend, niet gegeven. "Broken bot" is de oudste truc in het boekje. Als iemand hulp nodig heeft, laat ze een Code Snippet of Gist posten - kloon NOOIT de Repo van een vreemde.