Pułapka Współpracownika: Dlaczego nie powinieneś 'testować' bota znajomego
Streszczenie: Inżynieria Społeczna to nie tylko fałszywe oferty pracy; to fałszywe przyjaźnie. Ten artykuł bada oszustwo "pomóż mi naprawić ten błąd" na Discordzie/Telegramie. Atakujący wykorzystują współpracę (Collaboration), by zwieść Devów do sklonowania złośliwych Repozytoriów.
1. Podejście: "Czy możesz zerknąć na ten błąd?"
Jesteś na kanale Discord popularnej biblioteki Web3 (jak Ethers.js czy Hardhat). Użytkownik wysyła ci DM lub pinguje na czacie ogólnym:
“Hey dev, I'm building an arbitrage bot, but I'm getting a weird gas error on Sepolia. Can you take a look? I'm stuck.”
Nie proszą o pieniądze. Nie proszą o Seed Phrase. Odwołują się do twojej ciekawości i chęci pomocy.
Wysyłają link do GitHuba. Wygląda jak standardowy projekt Hardhat.
2. Bomba Zegarowa: Skrypt "Test"
Klonujesz Repo. Sprawdzasz folder contracts/. Kod Solidity wygląda normalnie - może trochę bałaganiarski, ale bezpieczny.
Oszust mówi: "Spróbuj uruchomić skrypt testowy, błąd pojawia się właśnie tam."
Wpisujesz:
npm install
npx hardhat test
Koniec Gry.
Podczas gdy test działa i drukuje w konsoli fałszywy błąd "gas", proces w tle (ukryty w lekko zmodyfikowanej zależności lub nieczytelnym pliku test.js) zrobił następujące rzeczy:
- Zeskanował twój folder
~/.config. - Poszukał
browser_data(stan lokalny Chrome/Brave/Firefox). - Odszyfrował zapisane hasła i twój Sejf MetaMask.
- Przesłał dane na zdalny serwer.
3. Wariant "Tester Gier"
Powszechny wariant wymierzony w graczy:
“Budujemy grę Web3 (jak Axie/Pixels) i potrzebujemy Beta Testerów. Płacimy $100 w ETH za 20 minut gry.”
Wysyłają plik .exe lub instalator.
Oszustwo: Gra jest prawdziwa (zazwyczaj ukradziony asset Unity), ale instalator podrzuca "Clipper Malware" (Złośliwe oprogramowanie schowka).
- Clipper: Monitoruje twój schowek. Kiedy kopiujesz adres portfela, by wysłać pieniądze, natychmiast podmienia go na adres atakującego. Nieświadomie wysyłasz pieniądze złodziejom.
4. Jak rozpoznać fałszywego "Współpracownika"?
- Prywatne Repo: Legalna pomoc Open Source odbywa się w Public Issues, a nie w DM-ach czy plikach ZIP.
- Zaciemniony (Obfuscated) Kod: Jeśli widzisz plik (np. w
lib/utils.js), który jest jedną gigantyczną linią losowych znaków (var _0x5a1...), usuń go natychmiast. - Presja na Uruchomienie: Jeśli powiesz "Najpierw przeczytam kod", a oni się denerwują - zablokuj ich.
5. Protokół Obronny: Sandbox
Nigdy nie "pomagaj" innym na swojej głównej maszynie.
- Użyj Replit / CodeSandbox: Zaimportuj ich Repo do środowiska w chmurze. Jeśli jest tam malware, zainfekuje tylko Kontener w Chmurze, nie twój PC.
- Izolacja VM: Tak jak w przewodniku Zaraźliwa Rozmowa, używaj Maszyny Wirtualnej do kodu, którego sam nie napisałeś.
- Audyt Skryptów: Zawsze czytaj skrypty w
package.jsonprzed uruchomieniemnpm install.
Zobacz też: Uważaj na tutoriale "szybkie bogactwo" na YouTube - to często Oszustwo na Bota MEV w przebraniu.
Wnioski
W świecie Open Source na zaufanie trzeba zapracować, nie dostaje się go za darmo. "Zepsuty bot" to najstarsza sztuczka w księdze. Jeśli ktoś potrzebuje pomocy, niech wrzuci Fragment Kodu (Gist) - NIGDY nie klonuj Repo nieznajomego.
Powiązane Artykuły
Zatrucie Łańcucha Dostaw (Supply Chain Poison): Kiedy zaufane aktualizacje stają się malwarem
Nie pobrałeś nic dziwnego. Tylko zaktualizowałeś aplikację Ledger... I to był moment, w którym zniknęły pieniądze. Horror ataku na łańcuch dostaw.
Papierowa Tarcza (The Paper Shield): Jak poprawnie zabezpieczyć Seed Phrase
Zrzuty ekranu to katastrofa. Chmura to komputer kogoś innego. Jedyny bezpieczny sposób na przechowywanie kluczy prywatnych to 'Stal' i 'Papier'.
Długa Gra (The Long Con): Psychologia 'Rzezi Świń'
Nie napisała pod zły numer. I nie jest w tobie zakochana. Poznaj 'Sha Zhu Pan', najbardziej brutalne oszustwo w krypto, i dowiedz się, jak rozpoznać scenariusz.