„Изпълнителен директор“ се свърза с мен за работа по интелигентен договор — това беше измама

Като Blockchain инженер и експерт по разработчици на Chainlink с над пет години опит в разработката на Web3, моето пътуване в изследването на сигурността на интелигентни договори започна с просто осъзнаване, т.е. в това бързо развиващо се пространство възможността за сигурно изграждане е също толкова важна, колкото възможността за изграждане изобщо.

Моят опит обхваща работа в множество блокчейн екосистеми, включително Ethereum, Hedera, Rootstock и различни EVM вериги, подсилени от мрежата на оракула Chainlink. През цялата си кариера съм разработвал сложни системи от пазари за сателитни широколентови услуги, използващи динамични NFT, до протоколи за възобновяема енергия с токенизирани награди. Но с нарастването на опита ми в космоса нарастваше и осъзнаването ми за неговите уязвимости.

Ето защо се присъединих към програмата на Cyfrin Updraft през ноември 2023 г. Като Blockchain инженер и Full Stack разработчик осъзнах критичната необходимост да откривам измамници и лоши актьори в домейна Web3. Това пространство, което все още е в начален стадий, за съжаление е измъчено от злонамерени субекти, които искат да експлоатират както нищо неподозиращи разработчици, така и потребители.

Реалността на заплахите за сигурността на Web3

Екосистемата Web3, въпреки обещанията си за децентрализация и прозрачност, остава благодатна почва за измамници. Пътуването ми в областта на сигурността беше мотивирано от това да стана свидетел на безброй проекти, които стават жертва на експлойти, хакове и измамни схеми. От уязвимости при повторно влизане до флаш атаки за заем, векторите на технически атаки са многобройни. Но отвъд заплахите на ниво код, има по-коварна опасност, т.е. социално инженерство, насочено към самите разработчици.

Предупреждение за измамник: Скорошна среща

Съвсем наскоро бях потърсен от измамници чрез LinkedIn, често срещано място за лов на хищници, търсещи технически талант. Те се представиха като законни бизнес професионалисти, търсещи сътрудничество по проект. Позволете ми да споделя този опит като предупредителна история за всички разработчици на Web3.

Човек, наричащ себе си „Джо“, твърдейки, че е главен изпълнителен директор на компания, наречена MindGeek Labs (с уебсайт на mindgeeklabs.com), се свърза с предполагаем проект. Те имаха хранилище на GitHub (github.com/mindgeek-pm) и твърдяха, че се нуждаят от помощ, за да пренесат платформата си на „следващото ниво“, т.е. платформа, за която се предполага, че е предназначена да предостави на потребителите инструменти за търговия с криптовалута и инвестиции.

Ето първоначалното им съобщение:

 Hi Edwin, I hope this message finds you well. We are in the process of expanding our EVM chain platform, and we are seeking highly skilled software developers to help us scale and enhance the platform. I'd like to explore the potential for collaboration with you on this initiative. 👉 Here are the key details: 1️⃣ Team: 6-8 members 2️⃣ Rate: $80-150/hr (depending on role and experience) 3️⃣ Project Timeline: 3-6 months 4️⃣ Estimated Budget: $700K–$800K (for 6 months) 5️⃣ Work Setup: Fully remote with flexible hours (Part-time opportunities available) 6️⃣ Payment: Crypto preferred (USDT, USDC, ETH) If this opportunity aligns with your interests and availability, I would be happy to discuss the specifics further and explore how we can work together. Looking forward to your response. Best regards, Joe

Стръвта беше привлекателна с високи почасови ставки, значителен бюджет, дистанционна работа и крипто плащания. Но нещо не ми се стори, така че реших да играя заедно, за да разбера методите им и да разкрия работата им.

Те последваха повече подробности за техния предполагаем проект:

 Okay, first of all, let me briefly share some details about our project. Our platform encompasses key functionalities such as pooling, liquidity provision, staking (farming), and trading. We are in the process of developing a decentralized exchange (DEX) platform for traders within the EVM network, with plans to integrate an Automated Market Maker (AMM) mechanism. Initially, we hired a team to help with our project, but unfortunately, their coding skills didn't meet our expectations. As a result, we are seeking a more experienced team to take over and lead the development of this project. Here's a brief overview of our requirements https://docs.google.com/document/d/1Ttr9CdQvSetonrumBKR2jiUIrIwezunmyKU0o9Q7Wvw/edit We also need to implement the mobile design. There are several modifications required to align the platform with our evolving vision. An important aspect to consider is the animation on the landing page. This is crucial because the landing page is the first thing users see when they visit the site. While there is currently an animation, feedback from visual experts and developers suggests that it would be better to remove it. The animation is too tiring on the eyes, and removing it could improve the overall user experience by creating a cleaner design. I'm excited about the direction we're heading, and I believe this project has potential. Our project is being developed using React, TypeScript, Node.js, and Web3. Given your expertise, I believe you would be an excellent fit for the lead role. Would you be available for a meeting with our CTO next week to discuss the project in more detail? Let me share his calendar link with you, Does that work for you?

Те дори споделиха Google Doc със сложни изисквания за нещо, което изглеждаше като легитимен проект за подобряване на платформата DEX:

 DEX Platform Enhancement Project: Comprehensive Task List (4-Month Contract) 1. Expand Connected Chain List Integrate additional blockchain networks into the existing connected chain list to enhance interoperability and functionality. 2. Integrate Wallets into Connect Wallet Page Objective: Enhance user experience by allowing users to connect multiple wallets seamlessly. Wallets to Add: * MetaMask * Trust Wallet * Coinbase Wallet * Phantom Wallet * OKX Wallet * Binance Wallet * Coin98 * MathWallet * SafePal * TokenPocket 3. Update Trading Page Functionality * Crypto Token List Enhancement: Update the list of available cryptocurrencies to ensure it includes all current tokens. * Add 24-Hour Trading Volume: Implement a section displaying the 24-hour trading volume for each token. * Trading View Graph Updates: Enhance trading view graph features to provide real-time data visualization. * Order List Table Integration: Develop an order list table that displays active orders with real-time updates. * Token Icons in Dropdown: Incorporate brand icons for each token in the dropdown menu of the swap section for improved visual recognition. * Secure Links Section: Ensure all links in the "Useful Links" section are updated and functional, pointing to relevant resources. 4. Revamp Dashboard Page * Theme Update: Redesign the dashboard theme to prominently display key metrics such as 24-Hour Trading Volume, Open Interest, Long Positions, and Short Positions. * UPL Index Composition Table: Update and optimize the UPL Index Composition table for better clarity and data presentation. 5. Overhaul Earn/Buy Page * Token and Modal Links: Revise all token links and associated modal functionality to ensure accuracy and up-to-date information. * Decentralized/Centralized Services Links: Update links to both decentralized and centralized services to enhance the platform's service offerings. * Farm Section Addition: Design and add a new section or page dedicated to farming opportunities, providing users with insights and options. 6. Clean Up Testnet Integrations * Objective: Remove all U2U testnet settings, configurations, and integrations to streamline the platform and avoid confusion for end-users.

Червени знамена и разкритие

Настройката беше сложна, но се появиха няколко червени знамена:

1. Документът с подробни изисквания, в който липсваха специфични технически подробности за тяхната съществуваща кодова база, споделена от google диск, а не от собствения им официален уебсайт.

2. Неясните обяснения за предишния им екип за разработка.

3. За такъв голям проект тяхното Github Repository току-що беше създадено през март 2025 г. без активни сътрудници.

4. Тяхната кодова база беше основно HTML, CSS и JavaScript без интелигентни договори или бекенд код.

5. Целта на обаждането е да обсъдим проекта по-подробно и да видим дали сте клонирали тяхното хранилище и да го тествате на вашата локална машина.

   
   

Като изследовател по сигурността, продължих да се ангажирам с тях, като в крайна сметка организирах среща с техния предполагаем технически директор. По време на тази среща им казах, че са измамници. В момента, в който разбраха, че съм ги преследвал, те изчезнаха от LinkedIn без следа. Все още обаче пазя разговора ни в LinkedIn, връзката им към Calendly и документа в Google Диск като доказателство за опита им за измама.

Наръчник за типична измама

Въз основа на моето проучване за сигурност и тази среща, ето как обикновено протичат тези измами:

1. Първоначален контакт : Измамниците се обръщат към разработчиците на професионални платформи като LinkedIn с изгодни оферти
2. Сложна настройка : те създават фалшиви компании, уебсайтове и хранилища на GitHub, за да изглеждат легитимни
3. Документация : Те споделят подробни изисквания, за да създадат впечатление за реален проект
4. Куката : Те планират среща с „член на технически екип“, за да обсъдят подробностите по проекта
5. Атаката : По време на технически дискусии те в крайна сметка насочват жертвата към:

   • Клониране и инсталиране на тяхното хранилище, което ще съдържа зловреден софтуер

   • Убеждават ви да стартирате техния код, за да тествате част от функционалността

   • Получаване на достъп до вашите крипто портфейли

   • Кражба на всичките ви средства

     
     

След като получат достъп до портфейли или инсталират зловреден софтуер, те могат да откраднат средства или да компрометират акаунти за по-нататъшни атаки.

Защитете се като Web3 разработчик

Пътуването ми като изследовател по сигурността на интелигентни договори в Cyfrin Updraft ме оборудва със знания, които всеки Web3 разработчик трябва да притежава:

1. Проверете внимателно : Проучете обстойно компании, лица и проекти, преди да се ангажирате
2. Умения за анализ на код : Научете се да одитирате интелигентни договори и да идентифицирате уязвими модели
3. Нагласа за сигурността на първо място : Подхождайте към всеки проект и взаимодействие със сигурността като приоритет
4. Никога не споделяйте частни ключове : При никакви обстоятелства не трябва да споделяте частни ключове или начални фрази
5. Използвайте тестови среди : За всеки нов проект използвайте специални тестови портфейли и среди
6. Доверете се на инстинктите си : Ако нещо не ви се струва, вероятно е така

Бъдещето на Web3 сигурността

Опитът ми както като разработчик на блокчейн, така и като изследовател на сигурността ми показа, че пространството Web3 се нуждае от повече професионалисти, съзнателни за сигурността. Докато продължавам пътуването си като изследовател по сигурността на интелигентни договори, специализиран във фъзинг, инвариантно тестване и формална проверка за идентифициране на грешки и защита на Web3 протоколи, аз се ангажирам да споделям знания, които помагат да направим това пространство по-безопасно.

Сложността на атаките, както технически, така и социални, ще продължи да се развива с времето. Но чрез образование, бдителност и подход към сигурността, фокусиран върху общността, можем да изградим по-устойчива екосистема.

Ако сте разработчик на Web3, препоръчвам ви да инвестирате време в проучване и обучение по сигурността. Уменията за безопасно изграждане са също толкова важни, колкото и способността за иновации. Не забравяйте, че в децентрализирания свят вие често сте свой собствен екип за сигурност.

Да тръгваме!