„Dyrektor generalny” zwrócił się do mnie z prośbą o pracę w ramach inteligentnych kontraktów — to było oszustwo

Jako inżynier Blockchain i ekspert ds. programowania Chainlink z ponad pięcioletnim doświadczeniem w tworzeniu rozwiązań Web3, moja przygoda z badaniami nad bezpieczeństwem inteligentnych kontraktów rozpoczęła się od prostego uświadomienia sobie, że w tej szybko rozwijającej się dziedzinie możliwość bezpiecznego tworzenia jest równie ważna, jak sama możliwość tworzenia.

Moje doświadczenie obejmuje pracę w wielu ekosystemach blockchain, w tym Ethereum, Hedera, Rootstock i różnych łańcuchach EVM rozszerzonych o sieć oracle Chainlink. Przez całą moją karierę rozwijałem złożone systemy od satelitarnych rynków usług szerokopasmowych wykorzystujących dynamiczne NFT do protokołów energii odnawialnej z tokenizowanymi nagrodami. Jednak wraz ze wzrostem mojego doświadczenia w tej dziedzinie rosła również moja świadomość jej podatności.

Dlatego dołączyłem do programu Cyfrin Updraft w listopadzie 2023 r. Jako inżynier Blockchain i programista Full Stack, dostrzegłem krytyczną potrzebę wykrywania oszustów i złych aktorów w domenie Web3. Ta przestrzeń, wciąż w powijakach, jest niestety nękana przez złośliwe podmioty, które chcą wykorzystać niczego niepodejrzewających programistów i użytkowników.

Rzeczywistość zagrożeń bezpieczeństwa Web3

Ekosystem Web3, pomimo obietnic decentralizacji i przejrzystości, pozostaje żyznym gruntem dla oszustów. Moja podróż w dziedzinie bezpieczeństwa była motywowana przez bycie świadkiem niezliczonych projektów padających ofiarą exploitów, włamań i oszukańczych schematów. Od luk w zabezpieczeniach reentrancy po ataki flash loan, techniczne wektory ataków są liczne. Ale poza zagrożeniami na poziomie kodu istnieje bardziej podstępne niebezpieczeństwo, tj. inżynieria społeczna skierowana przeciwko samym programistom.

Alert oszustów: niedawne spotkanie

Niedawno zaczepili mnie oszuści za pośrednictwem LinkedIn, powszechnego terenu łowieckiego dla drapieżników poszukujących talentów technicznych. Przedstawiali się jako legalni profesjonaliści biznesowi szukający współpracy przy projekcie. Pozwólcie, że podzielę się tym doświadczeniem jako przestrogą dla wszystkich programistów Web3.

Osoba przedstawiająca się jako „Joe”, podająca się za CEO firmy o nazwie MindGeek Labs (z witryną internetową mindgeeklabs.com), skontaktowała się w sprawie rzekomego projektu. Mieli repozytorium GitHub (github.com/mindgeek-pm) i twierdzili, że potrzebują pomocy w przeniesieniu swojej platformy na „wyższy poziom”, tj. platformy rzekomo zaprojektowanej w celu zapewnienia użytkownikom narzędzi do handlu kryptowalutami i inwestowania w nie.

Oto ich pierwsza wiadomość:

 Hi Edwin, I hope this message finds you well. We are in the process of expanding our EVM chain platform, and we are seeking highly skilled software developers to help us scale and enhance the platform. I'd like to explore the potential for collaboration with you on this initiative. 👉 Here are the key details: 1️⃣ Team: 6-8 members 2️⃣ Rate: $80-150/hr (depending on role and experience) 3️⃣ Project Timeline: 3-6 months 4️⃣ Estimated Budget: $700K–$800K (for 6 months) 5️⃣ Work Setup: Fully remote with flexible hours (Part-time opportunities available) 6️⃣ Payment: Crypto preferred (USDT, USDC, ETH) If this opportunity aligns with your interests and availability, I would be happy to discuss the specifics further and explore how we can work together. Looking forward to your response. Best regards, Joe

Przynęta była atrakcyjna, z wysokimi stawkami godzinowymi, znacznym budżetem, pracą zdalną i płatnościami kryptowalutowymi. Ale coś było nie tak, więc postanowiłem zagrać, aby zrozumieć ich metody i ujawnić ich działanie.

Następnie podali więcej szczegółów na temat swojego rzekomego projektu:

 Okay, first of all, let me briefly share some details about our project. Our platform encompasses key functionalities such as pooling, liquidity provision, staking (farming), and trading. We are in the process of developing a decentralized exchange (DEX) platform for traders within the EVM network, with plans to integrate an Automated Market Maker (AMM) mechanism. Initially, we hired a team to help with our project, but unfortunately, their coding skills didn't meet our expectations. As a result, we are seeking a more experienced team to take over and lead the development of this project. Here's a brief overview of our requirements https://docs.google.com/document/d/1Ttr9CdQvSetonrumBKR2jiUIrIwezunmyKU0o9Q7Wvw/edit We also need to implement the mobile design. There are several modifications required to align the platform with our evolving vision. An important aspect to consider is the animation on the landing page. This is crucial because the landing page is the first thing users see when they visit the site. While there is currently an animation, feedback from visual experts and developers suggests that it would be better to remove it. The animation is too tiring on the eyes, and removing it could improve the overall user experience by creating a cleaner design. I'm excited about the direction we're heading, and I believe this project has potential. Our project is being developed using React, TypeScript, Node.js, and Web3. Given your expertise, I believe you would be an excellent fit for the lead role. Would you be available for a meeting with our CTO next week to discuss the project in more detail? Let me share his calendar link with you, Does that work for you?

Udostępnili nawet dokument Google zawierający szczegółowe wymagania dotyczące tego, co wyglądało na legalny projekt ulepszenia platformy DEX:

 DEX Platform Enhancement Project: Comprehensive Task List (4-Month Contract) 1. Expand Connected Chain List Integrate additional blockchain networks into the existing connected chain list to enhance interoperability and functionality. 2. Integrate Wallets into Connect Wallet Page Objective: Enhance user experience by allowing users to connect multiple wallets seamlessly. Wallets to Add: * MetaMask * Trust Wallet * Coinbase Wallet * Phantom Wallet * OKX Wallet * Binance Wallet * Coin98 * MathWallet * SafePal * TokenPocket 3. Update Trading Page Functionality * Crypto Token List Enhancement: Update the list of available cryptocurrencies to ensure it includes all current tokens. * Add 24-Hour Trading Volume: Implement a section displaying the 24-hour trading volume for each token. * Trading View Graph Updates: Enhance trading view graph features to provide real-time data visualization. * Order List Table Integration: Develop an order list table that displays active orders with real-time updates. * Token Icons in Dropdown: Incorporate brand icons for each token in the dropdown menu of the swap section for improved visual recognition. * Secure Links Section: Ensure all links in the "Useful Links" section are updated and functional, pointing to relevant resources. 4. Revamp Dashboard Page * Theme Update: Redesign the dashboard theme to prominently display key metrics such as 24-Hour Trading Volume, Open Interest, Long Positions, and Short Positions. * UPL Index Composition Table: Update and optimize the UPL Index Composition table for better clarity and data presentation. 5. Overhaul Earn/Buy Page * Token and Modal Links: Revise all token links and associated modal functionality to ensure accuracy and up-to-date information. * Decentralized/Centralized Services Links: Update links to both decentralized and centralized services to enhance the platform's service offerings. * Farm Section Addition: Design and add a new section or page dedicated to farming opportunities, providing users with insights and options. 6. Clean Up Testnet Integrations * Objective: Remove all U2U testnet settings, configurations, and integrations to streamline the platform and avoid confusion for end-users.

Czerwone flagi i ujawnienie

Przygotowania były skomplikowane, ale pojawiło się kilka sygnałów ostrzegawczych:

1. Szczegółowy dokument wymagań, w którym brakowało konkretnych szczegółów technicznych dotyczących istniejącej bazy kodu, udostępnionej na Dysku Google, a nie na własnej oficjalnej stronie internetowej.

2. Niejasne wyjaśnienia dotyczące ich poprzedniego zespołu programistów.

3. Jak na tak duży projekt, ich repozytorium Github powstało dopiero w marcu 2025 r., bez żadnych aktywnych współpracowników.

4. Ich kod bazowy składał się głównie z HTML, CSS i JavaScript, nie zawierał żadnych inteligentnych kontraktów ani kodu zaplecza.

5. Celem rozmowy jest szczegółowe omówienie projektu oraz sprawdzenie, czy sklonowałeś repozytorium i przetestowanie go na swoim komputerze lokalnym.

   
   

Jako badacz bezpieczeństwa kontynuowałem z nimi współpracę, ostatecznie umawiając się na spotkanie z ich rzekomym CTO. Podczas tego spotkania skonfrontowałem ich z zarzutem oszustwa. W chwili, gdy zorientowali się, że ich ścigam, zniknęli z LinkedIn bez śladu. Nadal jednak mam naszą rozmowę na LinkedIn, ich link Calendly i dokument Google Drive jako dowód ich próby oszustwa.

Typowy schemat oszustwa

Na podstawie moich badań nad bezpieczeństwem i tego spotkania, oto jak zazwyczaj przebiegają te oszustwa:

1. Pierwszy kontakt : Oszuści podchodzą do programistów na profesjonalnych platformach, takich jak LinkedIn, oferując im lukratywne oferty
2. Skomplikowana konfiguracja : Tworzą fałszywe firmy, strony internetowe i repozytoria GitHub, aby sprawiać wrażenie legalnych
3. Dokumentacja : Udostępniają szczegółowe wymagania, aby dać wrażenie rzeczywistego projektu
4. Haczyk : Planują spotkanie z „członkiem zespołu technicznego”, aby omówić szczegóły projektu
5. Atak : Podczas technicznych rozmów ostatecznie kierują ofiarę w stronę:

   • Klonowanie i instalowanie ich repozytorium, które będzie zawierało złośliwe oprogramowanie

   • Przekonanie Cię do uruchomienia ich kodu w celu przetestowania niektórych funkcjonalności

   • Uzyskiwanie dostępu do portfeli kryptowalutowych

   • Kradzież wszystkich twoich funduszy

     
     

Po uzyskaniu dostępu do portfeli lub zainstalowaniu złośliwego oprogramowania mogą kraść fundusze lub przejmować kontrolę nad kontami w celu przeprowadzenia dalszych ataków.

Ochrona siebie jako programisty Web3

Moja podróż jako badacza ds. bezpieczeństwa inteligentnych kontraktów w Cyfrin Updraft wyposażyła mnie w wiedzę, którą powinien posiadać każdy programista Web3:

1. Dokładnie sprawdź : Zanim podejmiesz współpracę, dokładnie przeprowadź badania firm, osób i projektów.
2. Umiejętności analizy kodu : Naucz się audytować inteligentne kontrakty i identyfikować podatne wzorce
3. Nastawienie „Bezpieczeństwo przede wszystkim” : Do każdego projektu i interakcji podchodź z priorytetem bezpieczeństwa
4. Nigdy nie udostępniaj kluczy prywatnych : Pod żadnym pozorem nie udostępniaj kluczy prywatnych ani fraz źródłowych
5. Używaj środowisk testowych : W przypadku każdego nowego projektu używaj dedykowanych portfeli testowych i środowisk
6. Zaufaj swojemu instynktowi : Jeśli coś wydaje się nie tak, prawdopodobnie tak jest

Przyszłość bezpieczeństwa Web3

Moje doświadczenie jako programisty blockchain i badacza bezpieczeństwa pokazało mi, że przestrzeń Web3 potrzebuje więcej świadomych bezpieczeństwa profesjonalistów. Kontynuując swoją podróż jako badacz bezpieczeństwa inteligentnych kontraktów specjalizujący się w rozmywaniu, testowaniu niezmienników i formalnej weryfikacji w celu identyfikowania błędów i ochrony protokołów Web3, jestem zobowiązany do dzielenia się wiedzą, która pomaga uczynić tę przestrzeń bezpieczniejszą.

Wyrafinowanie ataków, zarówno technicznych, jak i społecznych, będzie ewoluować z czasem. Ale poprzez edukację, czujność i podejście do bezpieczeństwa skoncentrowane na społeczności możemy zbudować bardziej odporny ekosystem.

Jeśli jesteś programistą Web3, zachęcam Cię do zainwestowania czasu w badania i szkolenia dotyczące bezpieczeństwa. Umiejętności bezpiecznego budowania są równie ważne, jak zdolność do innowacji. Pamiętaj, że w zdecentralizowanym świecie często jesteś swoim własnym zespołem ds. bezpieczeństwa.

No to jedziemy!