Пастка співавтора: Чому ви не повинні 'тестувати' бота друга

Резюме: Соціальна інженерія — це не лише про фальшиві вакансії; це також про фальшиву дружбу. Ця стаття досліджує шахрайство «допоможи мені виправити цю помилку» в Discord/Telegram. Зловмисники використовують співпрацю (Collaboration), щоб обманом змусити розробників клонувати шкідливі репозиторії (Repositories).

---

---

1. Підхід: "Можеш глянути на цю помилку?"

Ви перебуваєте на каналі Discord популярної бібліотеки Web3 (наприклад, Ethers.js або Hardhat). Користувач пише в DM або пінгує в загальному чаті:

“Hey dev, I'm building an arbitrage bot, but I'm getting a weird gas error on Sepolia. Can you take a look? I'm stuck.”

Вони не просять грошей. Вони не просять вашу Сід-фразу. Вони апелюють до вашої цікавості та бажання допомогти.

Вони надсилають посилання на GitHub. Це виглядає як стандартний проект Hardhat.

2. Бомба уповільненої дії: Скрипт "Test"

Ви клонуєте репозиторій. Ви перевіряєте папку contracts/. Код Solidity виглядає нормально — можливо, неохайний, але безпечний.

Шахрай каже: "Спробуй запустити тестовий скрипт, саме там виникає помилка."

Ви вводите:

npm install

npx hardhat test

Гру закінчено.

Поки тест працює і випльовує фальшиву помилку «газ» у консоль, фоновий процес (прихований у злегка модифікованій залежності або в нечитабельному файлі test.js) зробив це:

1. Просканував вашу папку ~/.config.
2. Шукав browser_data (локальний стан Chrome/Brave).
3. Розшифрував збережені паролі та ваше сховище MetaMask.
4. Завантажив дані на віддалений сервер.

3. Варіант "Тестувальник ігор"

Поширений варіант, націлений на геймерів:

“Ми створюємо гру Web3 (наприклад, Axie/Pixels) і нам потрібні бета-тестери. Ми платимо $100 ETH за 20 хвилин гри.”

Вони надсилають файл .exe або інсталятор.

Шахрайство: Гра справжня (зазвичай вкрадений актив Unity), але інсталятор встановлює "Clipper Malware" (Шкідливе ПЗ буфера обміну).

• Clipper: Відстежує ваш буфер обміну. Коли ви копіюєте адресу гаманця, щоб надіслати гроші, він миттєво замінює адресу на адресу зловмисника. Ви несвідомо надсилаєте гроші злодіям.

4. Як помітити фальшивого "Співавтора"?

• "Приватні" репозиторії: Легальна допомога з відкритим кодом відбувається в публічних Issues, а не в DM або ZIP-файлах.
• Обфускований код: Якщо ви бачите файл (наприклад, у lib/utils.js), який є одним величезним рядком випадкових символів (var _0x5a1...), видаліть його негайно.
• Тиск щодо запуску: Якщо ви скажете «Я спочатку прочитаю код», і вони розлютяться — блокуйте їх.

5. Протокол захисту: Пісочниця (Sandbox)

Ніколи не допомагайте іншим на своїй основній машині.

1. Використовуйте Replit / CodeSandbox: Імпортуйте їх репозиторій у хмарне середовище. Якщо є шкідливе ПЗ, воно заразить лише хмарний контейнер, а не ваш ПК.
2. Ізоляція ВМ: Точно так само, як у посібнику Заразна співбесіда, використовуйте віртуальну машину для коду, який ви не писали самі.
3. Аудит скриптів: Завжди читайте скрипти package.json перед запуском npm install.

Дивіться також: Остерігайтеся підручників «швидко розбагатіти» на YouTube — часто це Шахрайство з MEV-ботом під маскою.

Висновок

У світі відкритого коду довіру треба заслужити, а не дарувати. Трюк із «зламаним ботом» — найстаріший у книзі. Якщо комусь потрібна допомога, нехай публікує фрагмент коду або Gist — НІКОЛИ не клонуйте репозиторій незнайомця.