Bẫy Cộng Tác Viên: Tại sao bạn không nên 'test' bot của bạn bè

Tóm tắt: Kỹ thuật xã hội không chỉ dành cho các công việc giả mạo; nó còn dành cho tình bạn giả mạo. Bài viết này khám phá trò lừa đảo "giúp tôi sửa lỗi này" trên Discord/Telegram. Những kẻ tấn công sử dụng sự cộng tác (Collaboration) để lừa các nhà phát triển sao chép (clone) các kho lưu trữ (Repositories) độc hại.

---

---

1. Cách tiếp cận: "Bạn có thể xem qua lỗi này không?"

Bạn đang ở trong kênh Discord của một thư viện Web3 phổ biến (như Ethers.js hoặc Hardhat). Một người dùng nhắn tin riêng hoặc ping trong cuộc trò chuyện chung:

“Hey dev, I'm building an arbitrage bot, but I'm getting a weird gas error on Sepolia. Can you take a look? I'm stuck.”

Họ không đòi tiền. Họ không đòi Cụm từ Hạt giống của bạn. Họ đánh vào sự tò mò và sự sẵn lòng giúp đỡ của bạn.

Họ gửi một liên kết GitHub. Nó trông giống như một dự án Hardhat tiêu chuẩn.

2. Quả bom hẹn giờ: Kịch bản "Test"

Bạn sao chép kho lưu trữ. Bạn kiểm tra thư mục contracts/. Mã Solidity trông ổn - có thể lộn xộn, nhưng an toàn.

Kẻ lừa đảo nói: "Hãy thử chạy kịch bản thử nghiệm, đó là nơi lỗi bật lên."

Bạn gõ:

npm install

npx hardhat test

Trò chơi kết thúc.

Trong khi bài kiểm tra chạy và phun ra một lỗi "gas" giả mạo trong bảng điều khiển, một quy trình nền (ẩn trong một phần phụ thuộc được sửa đổi một chút hoặc trong tệp test.js không thể đọc được) đã làm điều này:

1. Quét thư mục ~/.config của bạn.
2. Tìm kiếm browser_data (trạng thái cục bộ của Chrome/Brave).
3. Giải mã mật khẩu đã lưu và kho lưu trữ MetaMask của bạn.
4. Tải dữ liệu lên một máy chủ từ xa.

3. Biến thể "Người thử nghiệm trò chơi"

Một biến thể phổ biến nhắm vào game thủ:

“Chúng tôi đang xây dựng một trò chơi Web3 (như Axie/Pixels) và cần người thử nghiệm beta. Chúng tôi trả 100 đô la ETH cho 20 phút chơi trò chơi.”

Họ gửi tệp .exe hoặc trình cài đặt.

Lừa đảo: Trò chơi là thật (thường là tài sản Unity bị đánh cắp), nhưng trình cài đặt sẽ thả "Clipper Malware" (Phần mềm độc hại bộ nhớ tạm).

• Clipper: Theo dõi bảng tạm (clipboard) của bạn. Khi bạn sao chép một địa chỉ ví để gửi tiền, nó ngay lập tức tráo đổi địa chỉ đó với địa chỉ của kẻ tấn công. Bạn vô tình gửi tiền cho kẻ trộm.

4. Làm thế nào để phát hiện một "Cộng tác viên" giả mạo?

• Kho lưu trữ "Riêng tư": Trợ giúp nguồn mở hợp pháp diễn ra trong các Vấn đề công khai (Public Issues), không phải trong DM hoặc tệp ZIP.
• Mã bị xáo trộn: Nếu bạn thấy một tệp (ví dụ: trong lib/utils.js) là một dòng ký tự ngẫu nhiên khổng lồ (var _0x5a1...), hãy xóa nó ngay lập tức.
• Áp lực phải chạy: Nếu bạn nói "Tôi sẽ đọc mã trước" và họ nổi giận - hãy chặn họ.

5. Giao thức Phòng thủ: Hộp cát (Sandbox)

Không bao giờ giúp người khác trên máy tính chính của bạn.

1. Sử dụng Replit / CodeSandbox: Nhập kho lưu trữ của họ vào môi trường đám mây. Nếu có phần mềm độc hại, nó chỉ lây nhiễm vùng chứa đám mây, không phải PC của bạn.
2. Cách ly VM: Giống như trong hướng dẫn Phỏng vấn lây nhiễm, hãy sử dụng Máy ảo cho mã mà bạn không tự viết.
3. Kiểm toán tập lệnh: Luôn đọc các tập lệnh package.json trước khi chạy npm install.

Xem thêm: Cẩn thận với các hướng dẫn "làm giàu nhanh" trên YouTube - chúng thường là các Vụ lừa đảo MEV Bot được ngụy trang.

Kết luận

Trong thế giới nguồn mở, niềm tin phải được kiếm, không được cho. Thủ thuật "bot hỏng" là thủ thuật lâu đời nhất trong sách. Nếu ai đó cần giúp đỡ, hãy để họ đăng đoạn mã hoặc Gist - KHÔNG BAO GIỜ sao chép kho lưu trữ của người lạ.