Samarbetsfällan: Varför du inte ska 'testa' en väns bot

Sammanfattning: Social Engineering handlar inte bara om falska jobb; det handlar om falska vänskaper. Denna artikel undersöker bluffen "hjälp mig fixa den här buggen" på Discord/Telegram. Angripare använder samarbete (Collaboration) för att lura Devs att klona skadliga Repon (Repositories).

---

---

1. Tillvägagångssättet: "Kan du titta på den här buggen?"

Du är i en Discord-kanal för ett populärt Web3-bibliotek (som Ethers.js eller Hardhat). En användare skickar ett DM eller pingar i den allmänna chatten:

“Hey dev, I'm building an arbitrage bot, but I'm getting a weird gas error on Sepolia. Can you take a look? I'm stuck.”

De ber inte om pengar. De ber inte om din Seed Phrase. De vädjar till din nyfikenhet och vilja att hjälpa till.

De skickar en GitHub-länk. Det ser ut som ett standard Hardhat-projekt.

2. Den Tidsinställda Bomben: "Test"-skriptet

Du klonar Repot. Du kollar contracts/-mappen. Solidity-koden ser normal ut - kanske rörig, men säker.

Bedragaren säger: "Försök köra testskriptet, felet dyker upp där."

Du skriver:

npm install

npx hardhat test

Game Over.

Medan testet körs och skriver ut ett falskt "gas"-fel i konsolen, har bakgrundsprocessen (dolt i ett något modifierat beroende eller en oläsbar test.js-fil) gjort följande:

1. Skannat din ~/.config-mapp.
2. Letat efter browser_data (Chrome/Brave lokalt tillstånd).
3. Dekrypterat sparade lösenord och ditt MetaMask Vault.
4. Laddat upp datan till en fjärrserver.

3. "Speltester"-varianten

En vanlig variant riktad mot spelare:

“Vi bygger ett Web3-spel (som Axie/Pixels) och behöver Beta-testare. Vi betalar $100 ETH för 20 minuters spelande.”

De skickar en .exe-fil eller installerare.

Bluffen: Spelet är verkligt (oftast en stulen Unity-tillgång), men installeraren släpper "Clipper Malware" (Urklippsskadlig kod).

• Clipper: Övervakar ditt urklipp. När du kopierar en plånboksadress för att skicka pengar, byter den omedelbart ut den mot angriparens adress. Du skickar ovetande pengar till tjuvarna.

4. Hur känner man igen en falsk "Samarbetspartner"?

• "Privata" Repon: Legitim Open Source-hjälp sker i Public Issues, inte i DM eller ZIP-filer.
• Fördunklad (Obfuscated) Kod: Om du ser en fil (t.ex. i lib/utils.js) som är en enda gigantisk rad av slumpmässiga tecken (var _0x5a1...), ta bort den omedelbart.
• Press att köra: Om du säger "Jag läser koden först" och de blir irriterade - blockera dem.

5. Defense Protocol: Sandbox

"Hjälp" aldrig andra på din huvudmaskin.

1. Använd Replit / CodeSandbox: Importera deras Repo till en molnmiljö. Om det finns malware, infekterar det bara Cloud Containern, inte din PC.
2. VM Isolering: Precis som i guiden Smittsam Intervju, använd en Virtuell Maskin för kod du inte skrivit själv.
3. Auditera Skript: Läs alltid skripten i package.json innan du kör npm install.

Se även: Se upp för YouTube "bli rik snabbt"-tutorials - det är ofta en förklädd MEV Bot Scam.

Slutsats

I Open Source-världen förtjänas förtroende, det ges inte gratis. "Trasig bot" är det äldsta tricket i boken. Om någon behöver hjälp, låt dem posta en Code Snippet eller Gist - klona ALDRIG en främlings Repo.