En "VD" kontaktade mig för ett smart kontraktsjobb – det var en bluff

Som Blockchain Engineer och Chainlink Developer Expert med över fem års erfarenhet av Web3-utveckling började min resa in i smart kontraktssäkerhetsforskning med en enkel insikt, dvs i detta snabbt utvecklande utrymme, att kunna bygga säkert är lika viktigt som att kunna bygga överhuvudtaget.

Min bakgrund sträcker sig över flera blockkedjeekosystem inklusive Ethereum, Hedera, Rootstock och olika EVM-kedjor utökade av Chainlink-orakelnätverket. Under hela min karriär har jag utvecklat komplexa system från marknadsplatser för satellitbredbandstjänster som använder dynamiska NFT:er till protokoll för förnybar energi med tokeniserade belöningar. Men när min erfarenhet i rymden växte, ökade också min medvetenhet om dess sårbarheter.

Det är därför jag gick med i Cyfrin Updrafts program i november 2023. Som Blockchain Engineer och Full Stack-utvecklare insåg jag det kritiska behovet av att upptäcka bedragare och dåliga aktörer på Web3-domänen. Detta utrymme, fortfarande i sin linda, plågas tyvärr av skadliga enheter som vill utnyttja intet ont anande utvecklare och användare.

Verkligheten med Web3-säkerhetshot

Web3-ekosystemet förblir, trots sina löften om decentralisering och transparens, en fruktbar jord för bedragare. Min säkerhetsresa har motiverats av att bevittna otaliga projekt som faller offer för utnyttjande, hacks och bedrägliga planer. Från återinträdessårbarheter till flashlånsattacker, de tekniska attackvektorerna är många. Men bortom hoten på kodnivå finns det en mer lömsk fara, dvs social ingenjörskonst riktad mot utvecklarna själva.

Scammer Alert: A Recent Encounter

Nyligen blev jag kontaktad av bedragare via LinkedIn, en vanlig jaktmark för rovdjur som letar efter tekniska talanger. De presenterade sig själva som legitima affärsmän som sökte samarbete i ett projekt. Låt mig dela denna upplevelse som en varnande berättelse för alla Web3-utvecklare.

En person som kallar sig "Joe", som påstår sig vara VD för ett företag som heter MindGeek Labs (med en webbplats på mindgeeklabs.com), nådde kontakt angående ett förmodat projekt. De hade ett GitHub-förråd (github.com/mindgeek-pm) och hävdade att de behövde hjälp med att ta sin plattform till "nästa nivå", dvs en plattform som påstås vara utformad för att ge användarna verktyg för handel med kryptovalutor och investeringar.

Här är deras första meddelande:

 Hi Edwin, I hope this message finds you well. We are in the process of expanding our EVM chain platform, and we are seeking highly skilled software developers to help us scale and enhance the platform. I'd like to explore the potential for collaboration with you on this initiative. 👉 Here are the key details: 1️⃣ Team: 6-8 members 2️⃣ Rate: $80-150/hr (depending on role and experience) 3️⃣ Project Timeline: 3-6 months 4️⃣ Estimated Budget: $700K–$800K (for 6 months) 5️⃣ Work Setup: Fully remote with flexible hours (Part-time opportunities available) 6️⃣ Payment: Crypto preferred (USDT, USDC, ETH) If this opportunity aligns with your interests and availability, I would be happy to discuss the specifics further and explore how we can work together. Looking forward to your response. Best regards, Joe

Betet var attraktivt med höga timpriser, en stor budget, distansarbete och kryptobetalningar. Men något kändes fel, så jag bestämde mig för att spela med för att förstå deras metoder och avslöja deras verksamhet.

De följde upp med mer information om deras förmodade projekt:

 Okay, first of all, let me briefly share some details about our project. Our platform encompasses key functionalities such as pooling, liquidity provision, staking (farming), and trading. We are in the process of developing a decentralized exchange (DEX) platform for traders within the EVM network, with plans to integrate an Automated Market Maker (AMM) mechanism. Initially, we hired a team to help with our project, but unfortunately, their coding skills didn't meet our expectations. As a result, we are seeking a more experienced team to take over and lead the development of this project. Here's a brief overview of our requirements https://docs.google.com/document/d/1Ttr9CdQvSetonrumBKR2jiUIrIwezunmyKU0o9Q7Wvw/edit We also need to implement the mobile design. There are several modifications required to align the platform with our evolving vision. An important aspect to consider is the animation on the landing page. This is crucial because the landing page is the first thing users see when they visit the site. While there is currently an animation, feedback from visual experts and developers suggests that it would be better to remove it. The animation is too tiring on the eyes, and removing it could improve the overall user experience by creating a cleaner design. I'm excited about the direction we're heading, and I believe this project has potential. Our project is being developed using React, TypeScript, Node.js, and Web3. Given your expertise, I believe you would be an excellent fit for the lead role. Would you be available for a meeting with our CTO next week to discuss the project in more detail? Let me share his calendar link with you, Does that work for you?

De delade till och med ett Google-dokument med utarbetade krav för vad som verkade vara ett legitimt DEX-plattformsförbättringsprojekt:

 DEX Platform Enhancement Project: Comprehensive Task List (4-Month Contract) 1. Expand Connected Chain List Integrate additional blockchain networks into the existing connected chain list to enhance interoperability and functionality. 2. Integrate Wallets into Connect Wallet Page Objective: Enhance user experience by allowing users to connect multiple wallets seamlessly. Wallets to Add: * MetaMask * Trust Wallet * Coinbase Wallet * Phantom Wallet * OKX Wallet * Binance Wallet * Coin98 * MathWallet * SafePal * TokenPocket 3. Update Trading Page Functionality * Crypto Token List Enhancement: Update the list of available cryptocurrencies to ensure it includes all current tokens. * Add 24-Hour Trading Volume: Implement a section displaying the 24-hour trading volume for each token. * Trading View Graph Updates: Enhance trading view graph features to provide real-time data visualization. * Order List Table Integration: Develop an order list table that displays active orders with real-time updates. * Token Icons in Dropdown: Incorporate brand icons for each token in the dropdown menu of the swap section for improved visual recognition. * Secure Links Section: Ensure all links in the "Useful Links" section are updated and functional, pointing to relevant resources. 4. Revamp Dashboard Page * Theme Update: Redesign the dashboard theme to prominently display key metrics such as 24-Hour Trading Volume, Open Interest, Long Positions, and Short Positions. * UPL Index Composition Table: Update and optimize the UPL Index Composition table for better clarity and data presentation. 5. Overhaul Earn/Buy Page * Token and Modal Links: Revise all token links and associated modal functionality to ensure accuracy and up-to-date information. * Decentralized/Centralized Services Links: Update links to both decentralized and centralized services to enhance the platform's service offerings. * Farm Section Addition: Design and add a new section or page dedicated to farming opportunities, providing users with insights and options. 6. Clean Up Testnet Integrations * Objective: Remove all U2U testnet settings, configurations, and integrations to streamline the platform and avoid confusion for end-users.

Röda flaggor och avslöjandet

Upplägget var komplicerat, men flera röda flaggor dök upp:

1. Det detaljerade kravdokumentet som saknade specifika tekniska detaljer om deras befintliga kodbas delas från en Google Drive snarare än deras egen officiella webbplats.

2. De vaga förklaringarna om deras tidigare utvecklingsteam.

3. För ett så stort projekt skapades deras Github Repository precis i mars 2025 utan några aktiva bidragsgivare.

4. Deras kodbas var huvudsakligen HTML, CSS och JavaScript utan smarta kontrakt eller backend-kod.

5. Syftet med samtalet är att diskutera projektet mer i detalj och se om du har klonat deras arkiv och testa det på din lokala dator.

   
   

Som säkerhetsforskare fortsatte jag att samarbeta med dem och så småningom satte jag upp ett möte med deras förmodade CTO. Under det här mötet konfronterade jag dem med att vara bedragare. I samma ögonblick som de insåg att jag var på dem försvann de spårlöst från LinkedIn. Men jag har fortfarande vår konversation på LinkedIn, deras Calendly-länk och Google Drive-dokument som bevis på deras försök till bedrägeri.

Den typiska bluffspelboken

Baserat på min säkerhetsforskning och det här mötet, så här framskrider dessa bedrägerier vanligtvis:

1. Inledande kontakt : Bedragare kontaktar utvecklare på professionella plattformar som LinkedIn med lukrativa erbjudanden
2. Utvecklad installation : De skapar falska företag, webbplatser och GitHub-förråd för att framstå som legitima
3. Dokumentation : De delar detaljerade krav för att ge ett intryck av ett riktigt projekt
4. The Hook : De schemalägger ett möte med en "teknisk teammedlem" för att diskutera projektdetaljer
5. Attacken : Under tekniska diskussioner vägleder de så småningom offret mot:

   • Klona och installera deras arkiv, som kommer att innehålla skadlig programvara

   • Övertygar dig att köra deras kod för att testa en del av funktionaliteten

   • Få tillgång till dina kryptoplånböcker

   • Att stjäla alla dina pengar

     
     

När de får tillgång till plånböcker eller installerar skadlig programvara kan de stjäla pengar eller äventyra konton för ytterligare attacker.

Skydda dig själv som Web3-utvecklare

Min resa som Smart Contract Security Researcher på Cyfrin Updraft har utrustat mig med kunskap som varje Web3-utvecklare borde ha:

1. Verifiera noggrant : Undersök företag, individer och projekt utförligt innan du engagerar dig
2. Kodanalysfärdigheter : Lär dig granska smarta kontrakt och identifiera sårbara mönster
3. Säkerhet första tankesätt : Närma dig varje projekt och interaktion med säkerhet som prioritet
4. Dela aldrig privata nycklar : Under inga omständigheter bör du dela privata nycklar eller frönfraser
5. Använd testmiljöer : För alla nya projekt, använd dedikerade testplånböcker och miljöer
6. Lita på dina instinkter : Om något känns fel så är det förmodligen det

Framtiden för Web3-säkerhet

Min erfarenhet som både blockkedjeutvecklare och säkerhetsforskare har visat mig att Web3-utrymmet behöver fler säkerhetsmedvetna proffs. När jag fortsätter min resa som en Smart Contract Security Researcher som specialiserat sig på fuzzing, invariant testning och formell verifiering för att identifiera buggar och skydda Web3-protokoll, är jag fast besluten att dela kunskap som hjälper till att göra detta utrymme säkrare.

De sofistikerade attackerna, både tekniska och sociala, kommer att fortsätta att utvecklas med tiden. Men genom utbildning, vaksamhet och ett samhällsfokuserat förhållningssätt till säkerhet kan vi bygga ett mer motståndskraftigt ekosystem.

Om du är en Web3-utvecklare uppmuntrar jag dig att investera tid i säkerhetsforskning och utbildning. Förmågan att bygga säkert är lika viktig som förmågan att förnya. Kom ihåg att i den decentraliserade världen är du ofta ditt eget säkerhetsteam.

Låt oss gå!