ReadWrite
paint-brush
'מנכ"ל' פנה אליי לעבודת חוזה חכמה - זו הייתה הונאהעל ידי@edwinliavaa
היסטוריה חדשה

'מנכ"ל' פנה אליי לעבודת חוזה חכמה - זו הייתה הונאה

על ידי Edwin Liava'a7m2025/03/21
Read on Terminal Reader
tldt arrow
en-flagENes-flagESja-flagJAcs-flagCSps-flagPSpl-flagPLsw-flagSWln-flagLNbg-flagBGiw-flagIWro-flagROsv-flagSVts-flagTS
IW

יותר מדי זמן; לקרוא

אדם המכנה את עצמו "ג'ו", בטענה שהוא המנכ"ל של חברה בשם MindGeek Labs (עם אתר בכתובת mindgeeklabs.com), פנה בקשר לפרויקט כביכול.
featured image - 'מנכ"ל' פנה אליי לעבודת חוזה חכמה - זו הייתה הונאה
Edwin Liava'a HackerNoon profile picture

כמהנדס בלוקצ'יין ומומחה למפתחי Chainlink עם למעלה מחמש שנות ניסיון בפיתוח Web3, המסע שלי לחקר אבטחת חוזים חכמים התחיל עם הבנה פשוטה כלומר בחלל המתפתח במהירות, היכולת לבנות בצורה מאובטחת חשובה לא פחות מהיכולת לבנות בכלל.


הרקע שלי משתרע על פני מספר מערכות אקולוגיות של בלוקצ'יין כולל Ethereum, Hedera, Rootstock ורשתות EVM שונות המוגברות על ידי רשת האורקל של Chainlink. במהלך הקריירה שלי, פיתחתי מערכות מורכבות משוק לווייני שירותי פס רחב באמצעות NFTs דינמיים ועד לפרוטוקולי אנרגיה מתחדשת עם תגמולים סמליים. אבל ככל שחוויתי במרחב גדלה, כך גדלה המודעות שלי לפגיעויות שלו.


זו הסיבה שהצטרפתי לתוכנית של Cyfrin Updraft בנובמבר 2023. כמהנדס Blockchain ומפתח Full Stack, זיהיתי את הצורך הקריטי לזהות רמאים ושחקנים רעים בתחום ה-Web3. המרחב הזה, עדיין בחיתוליו, למרבה הצער נגוע בישויות זדוניות המבקשות לנצל מפתחים ומשתמשים תמימים כאחד.

המציאות של איומי האבטחה של Web3

המערכת האקולוגית של Web3, למרות הבטחותיה לביזור ושקיפות, נותרה כר פורה לרמאים. מסע האבטחה שלי הונע על ידי עדות לאינספור פרויקטים שנופלים קורבן לניצולים, פריצות ותוכניות הונאה. החל מפגיעות של כניסה חוזרת ועד להתקפות הלוואות פלאש, וקטורי ההתקפה הטכניים הם רבים. אבל מעבר לאיומים ברמת הקוד, ישנה סכנה ערמומית יותר, כלומר הנדסה חברתית המכוונת למפתחים עצמם.

התראת רמאי: מפגש אחרון

רק לאחרונה, פנו אליי רמאים דרך לינקדאין, שדה ציד נפוץ לטורפים שמחפשים כישרון טכני. הם הציגו את עצמם כאנשי עסקים לגיטימיים המחפשים שיתוף פעולה בפרויקט. הרשו לי לחלוק את החוויה הזו כסיפור אזהרה לכל מפתחי Web3.


אדם המכנה את עצמו "ג'ו", בטענה שהוא המנכ"ל של חברה בשם MindGeek Labs (עם אתר בכתובת mindgeeklabs.com), פנה בקשר לפרויקט כביכול. היה להם מאגר GitHub (github.com/mindgeek-pm) וטענו שהם זקוקים לעזרה לקחת את הפלטפורמה שלהם ל"שלב הבא", כלומר פלטפורמה שנועדה כביכול להעצים למשתמשים כלים למסחר והשקעות במטבעות קריפטוגרפיים.


הנה ההודעה הראשונית שלהם:


 Hi Edwin, I hope this message finds you well. We are in the process of expanding our EVM chain platform, and we are seeking highly skilled software developers to help us scale and enhance the platform. I'd like to explore the potential for collaboration with you on this initiative. 👉 Here are the key details: 1️⃣ Team: 6-8 members 2️⃣ Rate: $80-150/hr (depending on role and experience) 3️⃣ Project Timeline: 3-6 months 4️⃣ Estimated Budget: $700K–$800K (for 6 months) 5️⃣ Work Setup: Fully remote with flexible hours (Part-time opportunities available) 6️⃣ Payment: Crypto preferred (USDT, USDC, ETH) If this opportunity aligns with your interests and availability, I would be happy to discuss the specifics further and explore how we can work together. Looking forward to your response. Best regards, Joe


הפיתיון היה אטרקטיבי עם תעריפים גבוהים לשעה, תקציב משמעותי, עבודה מרחוק ותשלומי קריפטו. אבל משהו הרגיש לא טוב, אז החלטתי לשחק יחד כדי להבין את השיטות שלהם ולחשוף את פעולתן.


הם המשיכו עם פרטים נוספים על הפרויקט המשוער שלהם:


 Okay, first of all, let me briefly share some details about our project. Our platform encompasses key functionalities such as pooling, liquidity provision, staking (farming), and trading. We are in the process of developing a decentralized exchange (DEX) platform for traders within the EVM network, with plans to integrate an Automated Market Maker (AMM) mechanism. Initially, we hired a team to help with our project, but unfortunately, their coding skills didn't meet our expectations. As a result, we are seeking a more experienced team to take over and lead the development of this project. Here's a brief overview of our requirements https://docs.google.com/document/d/1Ttr9CdQvSetonrumBKR2jiUIrIwezunmyKU0o9Q7Wvw/edit We also need to implement the mobile design. There are several modifications required to align the platform with our evolving vision. An important aspect to consider is the animation on the landing page. This is crucial because the landing page is the first thing users see when they visit the site. While there is currently an animation, feedback from visual experts and developers suggests that it would be better to remove it. The animation is too tiring on the eyes, and removing it could improve the overall user experience by creating a cleaner design. I'm excited about the direction we're heading, and I believe this project has potential. Our project is being developed using React, TypeScript, Node.js, and Web3. Given your expertise, I believe you would be an excellent fit for the lead role. Would you be available for a meeting with our CTO next week to discuss the project in more detail? Let me share his calendar link with you, Does that work for you?


הם אפילו שיתפו מסמך של Google עם דרישות מורכבות למה שנראה כמו פרויקט לגיטימי לשיפור פלטפורמת DEX:


 DEX Platform Enhancement Project: Comprehensive Task List (4-Month Contract) 1. Expand Connected Chain List Integrate additional blockchain networks into the existing connected chain list to enhance interoperability and functionality. 2. Integrate Wallets into Connect Wallet Page Objective: Enhance user experience by allowing users to connect multiple wallets seamlessly. Wallets to Add: * MetaMask * Trust Wallet * Coinbase Wallet * Phantom Wallet * OKX Wallet * Binance Wallet * Coin98 * MathWallet * SafePal * TokenPocket 3. Update Trading Page Functionality * Crypto Token List Enhancement: Update the list of available cryptocurrencies to ensure it includes all current tokens. * Add 24-Hour Trading Volume: Implement a section displaying the 24-hour trading volume for each token. * Trading View Graph Updates: Enhance trading view graph features to provide real-time data visualization. * Order List Table Integration: Develop an order list table that displays active orders with real-time updates. * Token Icons in Dropdown: Incorporate brand icons for each token in the dropdown menu of the swap section for improved visual recognition. * Secure Links Section: Ensure all links in the "Useful Links" section are updated and functional, pointing to relevant resources. 4. Revamp Dashboard Page * Theme Update: Redesign the dashboard theme to prominently display key metrics such as 24-Hour Trading Volume, Open Interest, Long Positions, and Short Positions. * UPL Index Composition Table: Update and optimize the UPL Index Composition table for better clarity and data presentation. 5. Overhaul Earn/Buy Page * Token and Modal Links: Revise all token links and associated modal functionality to ensure accuracy and up-to-date information. * Decentralized/Centralized Services Links: Update links to both decentralized and centralized services to enhance the platform's service offerings. * Farm Section Addition: Design and add a new section or page dedicated to farming opportunities, providing users with insights and options. 6. Clean Up Testnet Integrations * Objective: Remove all U2U testnet settings, configurations, and integrations to streamline the platform and avoid confusion for end-users.

דגלים אדומים והגילוי

ההגדרה הייתה משוכללת, אבל הופיעו כמה דגלים אדומים:

  1. מסמך הדרישות המפורט שחסר פרטים טכניים ספציפיים על בסיס הקוד הקיים שלהם שותף מ-Google Drive ולא מהאתר הרשמי שלהם.

  2. ההסברים המעורפלים על צוות הפיתוח הקודם שלהם.

  3. עבור פרויקט כה גדול, מאגר Github שלהם נוצר רק במרץ 2025 ללא תורמים פעילים.

  4. בסיס הקוד שלהם היה בעיקר HTML, CSS ו-JavaScript ללא חוזים חכמים או קוד אחורי.

  5. מטרת השיחה היא לדון בפרויקט ביתר פירוט ולראות אם שיבטת את המאגר שלהם ולבדוק אותו במחשב המקומי שלך.


כחוקר אבטחה, המשכתי לעסוק בהם, ובסופו של דבר קבעתי פגישה עם ה-CTO שלהם. במהלך הפגישה הזו, התעמתתי איתם על היותם רמאים. ברגע שהם הבינו שעליתי עליהם, הם נעלמו בלינקדאין בלי להשאיר עקבות. עם זאת, אני עדיין מנהל את השיחה שלנו בלינקדאין, קישור Calendly שלהם ומסמך Google Drive כראיה לניסיון ההונאה שלהם.

ספר ההונאה הטיפוסי

בהתבסס על מחקר האבטחה שלי והמפגש הזה, כך מתקדמים בדרך כלל ההונאות האלה:


  1. קשר ראשוני : רמאים פונים למפתחים בפלטפורמות מקצועיות כמו LinkedIn עם הצעות משתלמות
  2. הגדרה משוכללת : הם יוצרים חברות מזויפות, אתרים ומאגרי GitHub כדי להיראות לגיטימיים
  3. תיעוד : הם חולקים דרישות מפורטות כדי לתת רושם של פרויקט אמיתי
  4. The Hook : הם קובעים פגישה עם "חבר צוות טכני" כדי לדון בפרטי הפרויקט
  5. המתקפה : במהלך דיונים טכניים, הם בסופו של דבר מנחים את הקורבן לעבר:

    • שיבוט והתקנה של המאגר שלהם, שיכיל תוכנות זדוניות

    • משכנע אותך להפעיל את הקוד שלהם כדי לבדוק חלק מהפונקציונליות

    • השגת גישה לארנקי הקריפטו שלך

    • גונב את כל הכספים שלך


ברגע שהם מקבלים גישה לארנקים או מתקינים תוכנות זדוניות, הם יכולים לגנוב כספים או לסכן חשבונות לצורך התקפות נוספות.

הגן על עצמך כמפתח Web3

המסע שלי כחוקר אבטחת חוזים חכמים ב-Cyfrin Updraft צייד אותי בידע שכל מפתח Web3 צריך להיות:


  1. אמת ביסודיות : מחקר מקיף על חברות, אנשים ופרויקטים לפני התקשרות
  2. מיומנויות ניתוח קוד : למדו לבקר חוזים חכמים ולזהות דפוסים פגיעים
  3. אבטחה ראשית חשיבה : גישה לכל פרויקט ואינטראקציה עם אבטחה בראש סדר העדיפויות
  4. לעולם אל תשתף מפתחות פרטיים : בשום פנים ואופן אסור לך לשתף מפתחות פרטיים או ביטויים ראשוניים
  5. השתמש בסביבות בדיקה : עבור כל פרויקט חדש, השתמש בארנקי בדיקה ובסביבות ייעודיות
  6. סמוך על האינסטינקטים שלך : אם משהו מרגיש לא בסדר, כנראה שכן

העתיד של אבטחת Web3

הניסיון שלי כמפתח בלוקצ'יין וחוקר אבטחה הראה לי שמרחב ה-Web3 זקוק לאנשי מקצוע מודעים יותר לאבטחה. בעודי ממשיך את המסע שלי כחוקר אבטחת חוזים חכמים המתמחה במיזוג, בדיקות בלתי משתנה ואימות פורמלי לזיהוי באגים והגנה על פרוטוקולי Web3, אני מחויב לחלוק ידע שעוזר להפוך את המרחב הזה לבטוח יותר.


התחכום של ההתקפות, הן הטכניות והן החברתיות, ימשיך להתפתח עם הזמן. אבל באמצעות חינוך, ערנות וגישה ממוקדת קהילה לאבטחה, אנו יכולים לבנות מערכת אקולוגית עמידה יותר.


אם אתה מפתח Web3, אני ממליץ לך להשקיע זמן במחקר והדרכה בנושא אבטחה. הכישורים לבנות בצורה מאובטחת חשובים לא פחות מהיכולת לחדש. זכור, בעולם המבוזר, אתה לעתים קרובות צוות האבטחה שלך.


בוא נלך!

Spacecoin
L O A D I N G
. . . comments & more!

About Author

Edwin Liava'a HackerNoon profile picture
Edwin Liava'a@edwinliavaa
Blockchain, Geospatial, Digital Connectivity & Transformation Engineer
Read my stories

תלו תגים

purcat-imgweb3 #web3 #smart-contracts #security-researcher #society #social-engineering #cybersecurity #web3-job-scam #hackernoon-top-story

מאמר זה הוצג ב...

Read on Terminal Reader Terminal
Read this story w/o Javascript Lite

סיפורים קשורים

Join HackerNoonloading
Latest technology trends. Customized Experience. Curated Stories. Publish Your Ideas