「CEO」がスマートコントラクトの仕事を求めて私に連絡してきたが、それは詐欺だった

Web3 開発で 5 年以上の経験を持つブロックチェーン エンジニアおよび Chainlink 開発の専門家として、スマート コントラクトのセキュリティ研究への私の旅は、急速に進化するこの分野では、安全に構築できることは、構築できることと同じくらい重要であるという単純な認識から始まりました。

私の経歴は、Ethereum、Hedera、Rootstock、Chainlink オラクル ネットワークによって拡張されたさまざまな EVM チェーンなど、複数のブロックチェーン エコシステムにわたる仕事に及びます。キャリアを通じて、動的 NFT を使用する衛星ブロードバンド サービス マーケットプレイスから、トークン化された報酬を伴う再生可能エネルギー プロトコルまで、複雑なシステムを開発してきました。しかし、この分野での経験が増えるにつれて、その脆弱性に対する認識も高まりました。

これが、私が 2023 年 11 月に Cyfrin Updraft のプログラムに参加した理由です。ブロックチェーン エンジニアおよびフル スタック開発者として、Web3 ドメインで詐欺師や悪質な行為者を見つける必要性を認識しました。この分野はまだ初期段階にあり、残念ながら、無防備な開発者やユーザーを搾取しようとする悪質な組織に悩まされています。

Web3 セキュリティ脅威の現実

Web3 エコシステムは、分散化と透明性を約束しているにもかかわらず、詐欺師にとっての温床であり続けています。私がセキュリティに携わるようになったのは、数え切れないほどのプロジェクトがエクスプロイト、ハッキング、詐欺の計画の犠牲になるのを目撃したからです。再入脆弱性からフラッシュ ローン攻撃まで、技術的な攻撃ベクトルは数多くあります。しかし、コード レベルの脅威以外にも、開発者自身を狙ったソーシャル エンジニアリングなど、より陰険な危険があります。

詐欺師警告: 最近の遭遇

つい最近、私は LinkedIn 経由で詐欺師からアプローチを受けました。LinkedIn は、技術系の才能を求める詐欺師がよく訪れる場所なのです。詐欺師たちは、プロジェクトでの協力を求める正当なビジネス プロフェッショナルを装っていました。この経験を、すべての Web3 開発者への教訓としてお伝えしたいと思います。

「ジョー」と名乗る人物が、MindGeek Labs (ウェブサイトは mindgeeklabs.com) という会社の CEO であると主張し、あるプロジェクトについて連絡してきました。この会社は GitHub リポジトリ (github.com/mindgeek-pm) を持っており、プラットフォームを「次のレベル」、つまりユーザーに暗号通貨の取引と投資のツールを提供することを目的としたプラットフォームにするために支援が必要だと主張しました。

彼らの最初のメッセージは次のとおりです。

 Hi Edwin, I hope this message finds you well. We are in the process of expanding our EVM chain platform, and we are seeking highly skilled software developers to help us scale and enhance the platform. I'd like to explore the potential for collaboration with you on this initiative. 👉 Here are the key details: 1️⃣ Team: 6-8 members 2️⃣ Rate: $80-150/hr (depending on role and experience) 3️⃣ Project Timeline: 3-6 months 4️⃣ Estimated Budget: $700K–$800K (for 6 months) 5️⃣ Work Setup: Fully remote with flexible hours (Part-time opportunities available) 6️⃣ Payment: Crypto preferred (USDT, USDC, ETH) If this opportunity aligns with your interests and availability, I would be happy to discuss the specifics further and explore how we can work together. Looking forward to your response. Best regards, Joe

高額な時給、十分な予算、リモートワーク、暗号通貨による支払いなど、魅力的な餌でした。しかし、何かがおかしいと感じたので、彼らの手法を理解し、彼らの活動を暴露するために、一緒に行動することにしました。

彼らは、想定されるプロジェクトについてさらに詳細を語った。

 Okay, first of all, let me briefly share some details about our project. Our platform encompasses key functionalities such as pooling, liquidity provision, staking (farming), and trading. We are in the process of developing a decentralized exchange (DEX) platform for traders within the EVM network, with plans to integrate an Automated Market Maker (AMM) mechanism. Initially, we hired a team to help with our project, but unfortunately, their coding skills didn't meet our expectations. As a result, we are seeking a more experienced team to take over and lead the development of this project. Here's a brief overview of our requirements https://docs.google.com/document/d/1Ttr9CdQvSetonrumBKR2jiUIrIwezunmyKU0o9Q7Wvw/edit We also need to implement the mobile design. There are several modifications required to align the platform with our evolving vision. An important aspect to consider is the animation on the landing page. This is crucial because the landing page is the first thing users see when they visit the site. While there is currently an animation, feedback from visual experts and developers suggests that it would be better to remove it. The animation is too tiring on the eyes, and removing it could improve the overall user experience by creating a cleaner design. I'm excited about the direction we're heading, and I believe this project has potential. Our project is being developed using React, TypeScript, Node.js, and Web3. Given your expertise, I believe you would be an excellent fit for the lead role. Would you be available for a meeting with our CTO next week to discuss the project in more detail? Let me share his calendar link with you, Does that work for you?

彼らは、合法的な DEX プラットフォーム拡張プロジェクトと思われる詳細な要件を記載した Google ドキュメントも共有しました。

 DEX Platform Enhancement Project: Comprehensive Task List (4-Month Contract) 1. Expand Connected Chain List Integrate additional blockchain networks into the existing connected chain list to enhance interoperability and functionality. 2. Integrate Wallets into Connect Wallet Page Objective: Enhance user experience by allowing users to connect multiple wallets seamlessly. Wallets to Add: * MetaMask * Trust Wallet * Coinbase Wallet * Phantom Wallet * OKX Wallet * Binance Wallet * Coin98 * MathWallet * SafePal * TokenPocket 3. Update Trading Page Functionality * Crypto Token List Enhancement: Update the list of available cryptocurrencies to ensure it includes all current tokens. * Add 24-Hour Trading Volume: Implement a section displaying the 24-hour trading volume for each token. * Trading View Graph Updates: Enhance trading view graph features to provide real-time data visualization. * Order List Table Integration: Develop an order list table that displays active orders with real-time updates. * Token Icons in Dropdown: Incorporate brand icons for each token in the dropdown menu of the swap section for improved visual recognition. * Secure Links Section: Ensure all links in the "Useful Links" section are updated and functional, pointing to relevant resources. 4. Revamp Dashboard Page * Theme Update: Redesign the dashboard theme to prominently display key metrics such as 24-Hour Trading Volume, Open Interest, Long Positions, and Short Positions. * UPL Index Composition Table: Update and optimize the UPL Index Composition table for better clarity and data presentation. 5. Overhaul Earn/Buy Page * Token and Modal Links: Revise all token links and associated modal functionality to ensure accuracy and up-to-date information. * Decentralized/Centralized Services Links: Update links to both decentralized and centralized services to enhance the platform's service offerings. * Farm Section Addition: Design and add a new section or page dedicated to farming opportunities, providing users with insights and options. 6. Clean Up Testnet Integrations * Objective: Remove all U2U testnet settings, configurations, and integrations to streamline the platform and avoid confusion for end-users.

危険信号とその暴露

設定は精巧でしたが、いくつかの危険信号が現れました。

1. 既存のコードベースに関する具体的な技術的詳細が欠落した詳細な要件ドキュメントが、自社の公式ウェブサイトではなく Google ドライブから共有されていました。

2. 以前の開発チームについての曖昧な説明。

3. このような大規模なプロジェクトであるにもかかわらず、Github リポジトリは 2025 年 3 月にアクティブな貢献者がいない状態で作成されたばかりです。

4. コードベースは主に HTML、CSS、JavaScript で、スマート コントラクトやバックエンド コードは含まれていませんでした。

5. この通話の目的は、プロジェクトについてさらに詳しく話し合い、リポジトリをクローンしてローカル マシンでテストしたかどうかを確認することです。

   
   

セキュリティ研究者として、私は彼らと関わり続け、最終的に彼らの CTO とされる人物とのミーティングを設定しました。このミーティングで、私は彼らが詐欺師であることを問い詰めました。私が彼らのことを知っていることに彼らが気づいた瞬間、彼らは LinkedIn から跡形もなく姿を消しました。しかし、私は LinkedIn での私たちの会話、彼らの Calendly リンク、そして詐欺未遂の証拠として Google Drive ドキュメントを今でも持っています。

典型的な詐欺の手口

私のセキュリティ調査と今回の経験に基づくと、これらの詐欺は通常、次のように進行します。

1. 最初の接触: 詐欺師はLinkedInのような専門プラットフォームで開発者に有利なオファーを持ちかける
2. 精巧な設定：偽の会社、ウェブサイト、GitHubリポジトリを作成して、正当なものであるように見せかける
3. ドキュメント: 実際のプロジェクトの印象を与えるために詳細な要件を共有します
4. フック：プロジェクトの詳細を議論するために「技術チームメンバー」との会議を予定する
5. 攻撃: 技術的な議論中に、最終的に被害者を次の方向に誘導します。

   • マルウェアを含むリポジトリを複製してインストールする

   • 機能の一部をテストするためにコードを実行するよう説得する

   • 暗号通貨ウォレットへのアクセス

   • あなたの資金をすべて盗む

     
     

ウォレットにアクセスしたりマルウェアをインストールしたりすると、資金を盗んだり、アカウントを侵害してさらなる攻撃を行ったりできるようになります。

Web3開発者としての自分を守る

Cyfrin Updraft でのスマート コントラクト セキュリティ研究者としての私の経験は、すべての Web3 開発者が持つべき知識を私に与えてくれました。

1. 徹底的に検証する：関与する前に、企業、個人、プロジェクトを徹底的に調査する
2. コード分析スキル: スマートコントラクトを監査し、脆弱なパターンを特定する方法を学ぶ
3. セキュリティ第一の考え方: すべてのプロジェクトとやり取りにおいて、セキュリティを最優先に考えます。
4. 秘密鍵は絶対に共有しないでください: いかなる状況でも秘密鍵やシードフレーズを共有しないでください。
5. テスト環境を使用する: 新しいプロジェクトでは、専用のテストウォレットと環境を使用します。
6. 自分の直感を信じましょう: 何かがおかしいと感じたら、それはおそらく

Web3セキュリティの未来

ブロックチェーン開発者とセキュリティ研究者の両方としての私の経験から、Web3 分野にはセキュリティ意識の高い専門家がもっと必要だということがわかりました。バグを特定して Web3 プロトコルを保護するために、ファジング、不変テスト、形式検証を専門とするスマート コントラクト セキュリティ研究者としての道を歩み続ける中で、私はこの分野をより安全にするのに役立つ知識を共有することに尽力しています。

技術的および社会的攻撃の巧妙さは、時間とともに進化し続けます。しかし、教育、警戒、コミュニティ重視のセキュリティ アプローチを通じて、より回復力のあるエコシステムを構築できます。

Web3 開発者であれば、セキュリティの研究とトレーニングに時間を投資することをお勧めします。安全に構築するスキルは、革新する能力と同じくらい重要です。分散化された世界では、多くの場合、あなた自身がセキュリティ チームであることを忘れないでください。

さあ行こう！