„CEO“ mě oslovil s žádostí o práci v rámci chytré smlouvy – byl to podvod

Jako Blockchain Engineer a Chainlink Developer Expert s více než pětiletými zkušenostmi s vývojem Web3 začala moje cesta do výzkumu zabezpečení chytrých smluv jednoduchou realizací, tj. v tomto rychle se vyvíjejícím prostoru je umět bezpečně stavět stejně důležité jako umět vůbec stavět.

Moje zázemí zahrnuje práci napříč mnoha blockchainovými ekosystémy včetně Etherea, Hedera, Rootstock a různých řetězců EVM rozšířených o síť Chainlink oracle. Během své kariéry jsem vyvinul komplexní systémy od tržišť satelitních širokopásmových služeb využívajících dynamické NFT až po protokoly obnovitelné energie s tokenizovanými odměnami. Ale jak moje zkušenosti s vesmírem rostly, rostlo i mé povědomí o jeho zranitelnosti.

To je důvod, proč jsem se v listopadu 2023 připojil k programu Cyfrin Updraft. Jako Blockchain Engineer a Full Stack Developer jsem si uvědomil zásadní potřebu odhalit podvodníky a špatné aktéry v doméně Web3. Tento prostor, který je stále ještě v plenkách, je bohužel sužován zákeřnými entitami, které chtějí zneužít nic netušící vývojáře i uživatele.

Realita bezpečnostních hrozeb Web3

Ekosystém Web3, navzdory svým slibům o decentralizaci a transparentnosti, zůstává úrodnou půdou pro podvodníky. Moje bezpečnostní cesta byla motivována tím, že jsem byl svědkem toho, že se nespočet projektů stal obětí exploitů, hacků a podvodných plánů. Technických vektorů útoků je celá řada, od zranitelnosti opětovného vstupu až po útoky na flashové půjčky. Ale kromě hrozeb na úrovni kódu existuje ještě zákeřnější nebezpečí, tj. sociální inženýrství zaměřené na samotné vývojáře.

Upozornění na podvodníka: Nedávné setkání

Zrovna nedávno mě oslovili podvodníci přes LinkedIn, společný loviště dravců, kteří hledají technický talent. Prezentovali se jako legitimní obchodní profesionálové hledající spolupráci na projektu. Dovolte mi sdílet tuto zkušenost jako varovný příběh pro všechny vývojáře Web3.

Osoba, která si říkala „Joe“ a tvrdila, že je generálním ředitelem společnosti s názvem MindGeek Labs (s webovou stránkou mindgeeklabs.com), se obrátila na údajný projekt. Měli úložiště GitHub (github.com/mindgeek-pm) a tvrdili, že potřebují pomoc s posouváním své platformy na „další úroveň“, tj. platformu údajně navrženou tak, aby uživatelům poskytla nástroje pro obchodování s kryptoměnami a investice.

Zde je jejich úvodní zpráva:

 Hi Edwin, I hope this message finds you well. We are in the process of expanding our EVM chain platform, and we are seeking highly skilled software developers to help us scale and enhance the platform. I'd like to explore the potential for collaboration with you on this initiative. 👉 Here are the key details: 1️⃣ Team: 6-8 members 2️⃣ Rate: $80-150/hr (depending on role and experience) 3️⃣ Project Timeline: 3-6 months 4️⃣ Estimated Budget: $700K–$800K (for 6 months) 5️⃣ Work Setup: Fully remote with flexible hours (Part-time opportunities available) 6️⃣ Payment: Crypto preferred (USDT, USDC, ETH) If this opportunity aligns with your interests and availability, I would be happy to discuss the specifics further and explore how we can work together. Looking forward to your response. Best regards, Joe

Návnada byla atraktivní s vysokými hodinovými sazbami, značným rozpočtem, vzdálenou prací a kryptoplatbami. Ale něco mi vadilo, a tak jsem se rozhodl zahrát si, abych pochopil jejich metody a odhalil jejich fungování.

Navázali dalšími podrobnostmi o jejich údajném projektu:

 Okay, first of all, let me briefly share some details about our project. Our platform encompasses key functionalities such as pooling, liquidity provision, staking (farming), and trading. We are in the process of developing a decentralized exchange (DEX) platform for traders within the EVM network, with plans to integrate an Automated Market Maker (AMM) mechanism. Initially, we hired a team to help with our project, but unfortunately, their coding skills didn't meet our expectations. As a result, we are seeking a more experienced team to take over and lead the development of this project. Here's a brief overview of our requirements https://docs.google.com/document/d/1Ttr9CdQvSetonrumBKR2jiUIrIwezunmyKU0o9Q7Wvw/edit We also need to implement the mobile design. There are several modifications required to align the platform with our evolving vision. An important aspect to consider is the animation on the landing page. This is crucial because the landing page is the first thing users see when they visit the site. While there is currently an animation, feedback from visual experts and developers suggests that it would be better to remove it. The animation is too tiring on the eyes, and removing it could improve the overall user experience by creating a cleaner design. I'm excited about the direction we're heading, and I believe this project has potential. Our project is being developed using React, TypeScript, Node.js, and Web3. Given your expertise, I believe you would be an excellent fit for the lead role. Would you be available for a meeting with our CTO next week to discuss the project in more detail? Let me share his calendar link with you, Does that work for you?

Dokonce sdíleli dokument Google s propracovanými požadavky na to, co vypadalo jako legitimní projekt vylepšení platformy DEX:

 DEX Platform Enhancement Project: Comprehensive Task List (4-Month Contract) 1. Expand Connected Chain List Integrate additional blockchain networks into the existing connected chain list to enhance interoperability and functionality. 2. Integrate Wallets into Connect Wallet Page Objective: Enhance user experience by allowing users to connect multiple wallets seamlessly. Wallets to Add: * MetaMask * Trust Wallet * Coinbase Wallet * Phantom Wallet * OKX Wallet * Binance Wallet * Coin98 * MathWallet * SafePal * TokenPocket 3. Update Trading Page Functionality * Crypto Token List Enhancement: Update the list of available cryptocurrencies to ensure it includes all current tokens. * Add 24-Hour Trading Volume: Implement a section displaying the 24-hour trading volume for each token. * Trading View Graph Updates: Enhance trading view graph features to provide real-time data visualization. * Order List Table Integration: Develop an order list table that displays active orders with real-time updates. * Token Icons in Dropdown: Incorporate brand icons for each token in the dropdown menu of the swap section for improved visual recognition. * Secure Links Section: Ensure all links in the "Useful Links" section are updated and functional, pointing to relevant resources. 4. Revamp Dashboard Page * Theme Update: Redesign the dashboard theme to prominently display key metrics such as 24-Hour Trading Volume, Open Interest, Long Positions, and Short Positions. * UPL Index Composition Table: Update and optimize the UPL Index Composition table for better clarity and data presentation. 5. Overhaul Earn/Buy Page * Token and Modal Links: Revise all token links and associated modal functionality to ensure accuracy and up-to-date information. * Decentralized/Centralized Services Links: Update links to both decentralized and centralized services to enhance the platform's service offerings. * Farm Section Addition: Design and add a new section or page dedicated to farming opportunities, providing users with insights and options. 6. Clean Up Testnet Integrations * Objective: Remove all U2U testnet settings, configurations, and integrations to streamline the platform and avoid confusion for end-users.

Červené vlajky a odhalení

Nastavení bylo propracované, ale objevilo se několik červených vlajek:

1. Dokument s podrobnými požadavky, který postrádal konkrétní technické podrobnosti o jejich stávající kódové základně sdílené z disku Google, nikoli z jejich vlastních oficiálních webových stránek.

2. Vágní vysvětlení jejich předchozího vývojového týmu.

3. Pro tak velký projekt bylo jejich úložiště Github právě vytvořeno v březnu 2025 bez aktivních přispěvatelů.

4. Jejich kódová základna byla hlavně HTML, CSS a JavaScript bez inteligentních smluv nebo backendového kódu.

5. Účelem hovoru je podrobněji prodiskutovat projekt a zjistit, zda jste naklonovali jejich úložiště a otestovali jej na místním počítači.

   
   

Jako bezpečnostní výzkumník jsem s nimi pokračoval v jednání a nakonec jsem uspořádal schůzku s jejich údajným CTO. Během tohoto setkání jsem je konfrontoval s tím, že jsou podvodníci. Ve chvíli, kdy si uvědomili, že jsem na nich, zmizeli z LinkedInu beze stopy. Stále však mám naši konverzaci na LinkedIn, jejich odkaz Calendly a dokument na Disku Google jako důkaz jejich pokusu o podvod.

Typická příručka podvodů

Na základě mého bezpečnostního výzkumu a tohoto setkání se tyto podvody obvykle vyvíjejí takto:

1. Počáteční kontakt : Podvodníci oslovují vývojáře na profesionálních platformách, jako je LinkedIn, s lukrativními nabídkami
2. Propracované nastavení : Vytvářejí falešné společnosti, webové stránky a úložiště GitHub, aby vypadaly jako legitimní
3. Dokumentace : Sdílejí podrobné požadavky, aby vytvořili dojem skutečného projektu
4. The Hook : Naplánují si schůzku s "členem technického týmu", aby probrali detaily projektu
5. Útok : Během technických diskusí nakonec vedou oběť k:

   • Klonování a instalace jejich úložiště, které bude obsahovat malware

   • Přesvědčit vás, abyste spustili jejich kód a otestovali některé funkce

   • Získání přístupu k vašim kryptopeněženkám

   • Krádež všech vašich finančních prostředků

     
     

Jakmile získají přístup k peněženkám nebo nainstalují malware, mohou ukrást finanční prostředky nebo kompromitovat účty pro další útoky.

Chraňte se jako vývojář Web3

Moje cesta výzkumného pracovníka v oblasti Smart Contract Security ve společnosti Cyfrin Updraft mě vybavila znalostmi, které by měl mít každý vývojář Web3:

1. Důkladně ověřte : Před zapojením důkladně prozkoumejte společnosti, jednotlivce a projekty
2. Dovednosti analýzy kódu : Naučte se auditovat chytré smlouvy a identifikovat zranitelné vzorce
3. Zabezpečení především : Přistupujte ke každému projektu a interakci s bezpečností jako prioritu
4. Nikdy nesdílejte soukromé klíče : Za žádných okolností nesdílejte soukromé klíče ani počáteční fráze
5. Použít testovací prostředí : Pro jakýkoli nový projekt použijte vyhrazené testovací peněženky a prostředí
6. Důvěřujte svým instinktům : Pokud se vám něco nezdá, pravděpodobně to tak je

Budoucnost Web3 Security

Moje zkušenost vývojáře blockchainu i bezpečnostního výzkumníka mi ukázala, že prostor Web3 potřebuje více profesionálů, kteří se zabývají bezpečností. Jak pokračuji ve své cestě jako Smart Contract Security Researcher se specializací na fuzzing, invariantní testování a formální ověřování k identifikaci chyb a ochraně Web3 protokolů, jsem odhodlán sdílet znalosti, které pomáhají učinit tento prostor bezpečnějším.

Sofistikovanost útoků, jak technických, tak sociálních, se bude časem vyvíjet. Ale prostřednictvím vzdělávání, bdělosti a komunitně zaměřeného přístupu k bezpečnosti můžeme vybudovat odolnější ekosystém.

Pokud jste vývojář Web3, doporučuji vám, abyste investovali čas do bezpečnostního výzkumu a školení. Dovednosti stavět bezpečně jsou stejně důležité jako schopnost inovovat. Pamatujte, že v decentralizovaném světě jste často svým vlastním bezpečnostním týmem.

Pojďme!