Como ingeniero de blockchain y experto desarrollador de Chainlink con más de cinco años de experiencia en desarrollo Web3, mi viaje hacia la investigación de seguridad de contratos inteligentes comenzó con una simple realización: en este espacio en rápida evolución, poder construir de forma segura es tan importante como poder construir en absoluto. Mi experiencia abarca el trabajo en múltiples ecosistemas blockchain, incluyendo Ethereum, Hedera, Rootstock y varias cadenas EVM, potenciadas por la red de oráculos Chainlink. A lo largo de mi carrera, he desarrollado sistemas complejos, desde mercados de servicios de banda ancha satelital que utilizan NFT dinámicos hasta protocolos de energía renovable con recompensas tokenizadas. Pero a medida que mi experiencia en este sector aumentaba, también lo hacía mi conocimiento de sus vulnerabilidades. Por eso me uní al programa Cyfrin Updraft en noviembre de 2023. Como ingeniero blockchain y desarrollador full stack, reconocí la necesidad crucial de detectar estafadores y actores maliciosos en el ámbito de la Web3. Este espacio, aún en sus inicios, lamentablemente está plagado de entidades maliciosas que buscan explotar a desarrolladores y usuarios desprevenidos. La realidad de las amenazas a la seguridad de la Web3 El ecosistema Web3, a pesar de sus promesas de descentralización y transparencia, sigue siendo un terreno fértil para los estafadores. Mi trayectoria en seguridad se ha visto motivada por haber presenciado innumerables proyectos víctimas de exploits, hackeos y esquemas fraudulentos. Desde vulnerabilidades de reentrada hasta ataques de préstamos flash, los vectores de ataque técnico son numerosos. Pero más allá de las amenazas a nivel de código, existe un peligro más insidioso: la ingeniería social dirigida a los propios desarrolladores. Alerta de estafador: Un encuentro reciente Hace poco, unos estafadores me contactaron a través de LinkedIn, un lugar común para depredadores que buscan talento técnico. Se presentaron como profesionales legítimos que buscaban colaborar en un proyecto. Permítanme compartir esta experiencia como advertencia para todos los desarrolladores de Web3. Una persona que se hace llamar "Joe", quien afirma ser el director ejecutivo de una empresa llamada MindGeek Labs (con sitio web mindgeeklabs.com), contactó con nosotros para hablar sobre un supuesto proyecto. Contaban con un repositorio en GitHub (github.com/mindgeek-pm) y afirmaban necesitar ayuda para llevar su plataforma al siguiente nivel, es decir, una plataforma supuestamente diseñada para dotar a los usuarios de herramientas para el trading y la inversión en criptomonedas. Aquí está su mensaje inicial: Hi Edwin, I hope this message finds you well. We are in the process of expanding our EVM chain platform, and we are seeking highly skilled software developers to help us scale and enhance the platform. I'd like to explore the potential for collaboration with you on this initiative. 👉 Here are the key details: 1️⃣ Team: 6-8 members 2️⃣ Rate: $80-150/hr (depending on role and experience) 3️⃣ Project Timeline: 3-6 months 4️⃣ Estimated Budget: $700K–$800K (for 6 months) 5️⃣ Work Setup: Fully remote with flexible hours (Part-time opportunities available) 6️⃣ Payment: Crypto preferred (USDT, USDC, ETH) If this opportunity aligns with your interests and availability, I would be happy to discuss the specifics further and explore how we can work together. Looking forward to your response. Best regards, Joe El cebo era atractivo: altas tarifas por hora, un presupuesto considerable, trabajo remoto y pagos con criptomonedas. Pero algo no encajaba, así que decidí participar para comprender sus métodos y exponer su funcionamiento. Continuaron con más detalles sobre su supuesto proyecto: Okay, first of all, let me briefly share some details about our project. Our platform encompasses key functionalities such as pooling, liquidity provision, staking (farming), and trading. We are in the process of developing a decentralized exchange (DEX) platform for traders within the EVM network, with plans to integrate an Automated Market Maker (AMM) mechanism. Initially, we hired a team to help with our project, but unfortunately, their coding skills didn't meet our expectations. As a result, we are seeking a more experienced team to take over and lead the development of this project. Here's a brief overview of our requirements https://docs.google.com/document/d/1Ttr9CdQvSetonrumBKR2jiUIrIwezunmyKU0o9Q7Wvw/edit We also need to implement the mobile design. There are several modifications required to align the platform with our evolving vision. An important aspect to consider is the animation on the landing page. This is crucial because the landing page is the first thing users see when they visit the site. While there is currently an animation, feedback from visual experts and developers suggests that it would be better to remove it. The animation is too tiring on the eyes, and removing it could improve the overall user experience by creating a cleaner design. I'm excited about the direction we're heading, and I believe this project has potential. Our project is being developed using React, TypeScript, Node.js, and Web3. Given your expertise, I believe you would be an excellent fit for the lead role. Would you be available for a meeting with our CTO next week to discuss the project in more detail? Let me share his calendar link with you, Does that work for you? Incluso compartieron un documento de Google con requisitos detallados para lo que parecía un proyecto legítimo de mejora de la plataforma DEX: DEX Platform Enhancement Project: Comprehensive Task List (4-Month Contract) 1. Expand Connected Chain List Integrate additional blockchain networks into the existing connected chain list to enhance interoperability and functionality. 2. Integrate Wallets into Connect Wallet Page Objective: Enhance user experience by allowing users to connect multiple wallets seamlessly. Wallets to Add: * MetaMask * Trust Wallet * Coinbase Wallet * Phantom Wallet * OKX Wallet * Binance Wallet * Coin98 * MathWallet * SafePal * TokenPocket 3. Update Trading Page Functionality * Crypto Token List Enhancement: Update the list of available cryptocurrencies to ensure it includes all current tokens. * Add 24-Hour Trading Volume: Implement a section displaying the 24-hour trading volume for each token. * Trading View Graph Updates: Enhance trading view graph features to provide real-time data visualization. * Order List Table Integration: Develop an order list table that displays active orders with real-time updates. * Token Icons in Dropdown: Incorporate brand icons for each token in the dropdown menu of the swap section for improved visual recognition. * Secure Links Section: Ensure all links in the "Useful Links" section are updated and functional, pointing to relevant resources. 4. Revamp Dashboard Page * Theme Update: Redesign the dashboard theme to prominently display key metrics such as 24-Hour Trading Volume, Open Interest, Long Positions, and Short Positions. * UPL Index Composition Table: Update and optimize the UPL Index Composition table for better clarity and data presentation. 5. Overhaul Earn/Buy Page * Token and Modal Links: Revise all token links and associated modal functionality to ensure accuracy and up-to-date information. * Decentralized/Centralized Services Links: Update links to both decentralized and centralized services to enhance the platform's service offerings. * Farm Section Addition: Design and add a new section or page dedicated to farming opportunities, providing users with insights and options. 6. Clean Up Testnet Integrations * Objective: Remove all U2U testnet settings, configurations, and integrations to streamline the platform and avoid confusion for end-users. Banderas rojas y la revelación La configuración fue elaborada, pero surgieron varias señales de alerta: El documento de requisitos detallados que carecía de detalles técnicos específicos sobre su base de código existente compartido desde Google Drive en lugar de su propio sitio web oficial. Las vagas explicaciones sobre su equipo de desarrollo anterior. Para un proyecto tan grande, su repositorio de Github se creó recién en marzo de 2025 sin contribuyentes activos. Su base de código era principalmente HTML, CSS y JavaScript sin contratos inteligentes ni código backend. El propósito de la llamada es discutir el proyecto con más detalle y ver si ha clonado su repositorio y probarlo en su máquina local. Como investigador de seguridad, seguí interactuando con ellos y finalmente concerté una reunión con su supuesto director de tecnología. Durante la reunión, los confronté y los acusé de ser estafadores. En cuanto se dieron cuenta de que los había descubierto, desaparecieron de LinkedIn sin dejar rastro. Sin embargo, aún conservo nuestra conversación en LinkedIn, su enlace de Calendly y un documento de Google Drive como prueba de su intento de estafa. El manual típico de estafas Según mi investigación de seguridad y este encuentro, así es como suelen progresar estas estafas: : Los estafadores se acercan a los desarrolladores en plataformas profesionales como LinkedIn con ofertas lucrativas. Contacto inicial : crean empresas, sitios web y repositorios de GitHub falsos para parecer legítimos. Configuración elaborada : Comparten requisitos detallados para dar una impresión de un proyecto real. Documentación : Programan una reunión con un "miembro del equipo técnico" para discutir los detalles del proyecto. El gancho : Durante las discusiones técnicas, eventualmente guían a la víctima hacia: El Ataque Clonar e instalar su repositorio, que contendrá malware Convencerle de ejecutar su código para probar algunas de las funciones Obtener acceso a sus billeteras de criptomonedas Robando todos tus fondos Una vez que obtienen acceso a las billeteras o instalan malware, pueden robar fondos o comprometer cuentas para realizar futuros ataques. Cómo protegerse como desarrollador Web3 Mi trayectoria como investigador de seguridad de contratos inteligentes en Cyfrin Updraft me ha proporcionado conocimientos que todo desarrollador Web3 debería tener: : investigue exhaustivamente las empresas, las personas y los proyectos antes de comprometerse. Verifique exhaustivamente : aprenda a auditar contratos inteligentes e identificar patrones vulnerables Habilidades de análisis de código : aborde cada proyecto e interacción con la seguridad como prioridad. Mentalidad de seguridad primero : bajo ninguna circunstancia debe compartir claves privadas o frases semilla Nunca comparta claves privadas : para cualquier proyecto nuevo, utilice entornos y carteras de prueba dedicados Utilice entornos de prueba : si algo no te parece bien, probablemente sea así. Confía en tus instintos El futuro de la seguridad Web3 Mi experiencia como desarrollador de blockchain e investigador de seguridad me ha demostrado que el sector Web3 necesita profesionales más conscientes de la seguridad. A medida que continúo mi trayectoria como investigador de seguridad de contratos inteligentes, especializado en fuzzing, pruebas de invariantes y verificación formal para identificar errores y proteger los protocolos Web3, me comprometo a compartir conocimientos que contribuyan a hacer este sector más seguro. La sofisticación de los ataques, tanto técnicos como sociales, seguirá evolucionando con el tiempo. Pero mediante la educación, la vigilancia y un enfoque comunitario de la seguridad, podemos construir un ecosistema más resiliente. Si eres desarrollador Web3, te animo a invertir tiempo en investigación y formación en seguridad. Las habilidades para desarrollar de forma segura son tan importantes como la capacidad de innovar. Recuerda que, en un mundo descentralizado, a menudo eres tu propio equipo de seguridad. ¡Vamos!
