Capcana Colaboratorului: De ce nu ar trebui să 'testezi' bot-ul unui prieten

Rezumat: Ingineria socială nu este doar despre locuri de muncă false; este despre prietenii false. Acest articol explorează înșelătoria „ajută-mă să repar acest bug” pe Discord/Telegram. Atacatorii folosesc colaborarea (Collaboration) pentru a păcăli Devs să cloneze Repo-uri (Repositories) malițioase.

---

---

1. Abordarea: „Poți să te uiți la acest bug?”

Ești pe un canal Discord pentru o bibliotecă Web3 populară (precum Ethers.js sau Hardhat). Un utilizator trimite un DM sau dă ping în chat-ul general:

“Hey dev, I'm building an arbitrage bot, but I'm getting a weird gas error on Sepolia. Can you take a look? I'm stuck.”

Nu cer bani. Nu cer Seed Phrase-ul tău. Fac apel la curiozitatea și dorința ta de a ajuta.

Trimit un link GitHub. Arată ca un proiect Hardhat standard.

2. Bomba cu Ceas: Scriptul „Test”

Clonezi Repo-ul. Verifici folderul contracts/. Codul Solidity arată normal - poate dezordonat, dar sigur.

Escrocul spune: "Încearcă să rulezi scriptul de test, acolo apare eroarea."

Tastezi:

npm install

npx hardhat test

Sfârșitul Jocului.

În timp ce testul rulează și afișează o eroare falsă de „gaz” în consolă, procesul din fundal (ascuns într-o dependență ușor modificată sau într-un fișier test.js ilizibil) a făcut asta:

1. A scanat folderul tău ~/.config.
2. A căutat browser_data (starea locală Chrome/Brave).
3. A decriptat parolele salvate și Seiful tău MetaMask.
4. A încărcat datele pe un server la distanță.

3. Varianta „Game Tester”

O variantă comună care țintește jucătorii:

“Construim un joc Web3 (ca Axie/Pixels) și avem nevoie de Beta testeri. Plătim 100$ ETH pentru 20 de minute de joc.”

Trimit un fișier .exe sau installer.

Înșelătoria: Jocul este real (de obicei un asset Unity furat), dar installer-ul lasă un „Clipper Malware” (Malware de clipboard).

• Clipper: Monitorizează clipboard-ul tău. Când copiezi o adresă de portofel pentru a trimite bani, o înlocuiește instantaneu cu adresa atacatorului. Trimiți banii hoților fără să știi.

4. Cum să depistezi un „Colaborator” fals?

• Repo-uri „Private”: Ajutorul Open Source legitim are loc în Public Issues, nu în DM-uri sau fișiere ZIP.
• Cod Obfuscat: Dacă vezi un fișier (ex. în lib/utils.js) care este o singură linie uriașă de caractere aleatorii (var _0x5a1...), șterge-l imediat.
• Presiune pentru a rula: Dacă spui „Voi citi codul mai întâi” și se supără - blochează-i.

5. Protocol de Apărare: Sandbox

Nu ajuta niciodată pe alții pe mașina ta principală.

1. Folosește Replit / CodeSandbox: Importă Repo-ul lor într-un mediu cloud. Dacă există malware, infectează doar Containerul Cloud, nu computerul tău.
2. Izolare VM: La fel ca în ghidul Interviu Contagios, folosește o mașină virtuală pentru cod pe care nu l-ai scris singur.
3. Audit Scripturi: Citește întotdeauna scripturile din package.json înainte de a rula npm install.

Vezi și: Atenție la tutorialele de „îmbogățire rapidă” de pe YouTube - adesea sunt o Înșelătorie MEV Bot deghizată.

Concluzie

În lumea Open Source, încrederea trebuie câștigată, nu dată gratuit. „Bot-ul stricat” este cel mai vechi truc din carte. Dacă cineva are nevoie de ajutor, lasă-l să posteze un fragment de cod sau Gist - NU clona NICIODATĂ Repo-ul unui străin.