Мошенники на Upwork: как блокчейн-разработчику не словить вирус и не потерять деньги

Недавно я начал активнее развивать свой аккаунт на Upwork, чтобы находить новых клиентов по блокчейн-разработке. И да, первый заказ там получить непросто — но причина не только в конкуренции, «крипто-зиме» или в том, что вы якобы «не так выглядите». Реальная проблема в том, что часть времени уходит на откровенно фейковые проекты.

И это неприятно по двум причинам. Во‑первых, вы тратите часы на переписки и «созвоны» ни о чём. Во‑вторых, сгорают Connects — платная валюта Upwork, без которой вы не сможете нормально откликаться на проекты. Логика простая: хочешь заявить о себе — плати. Хочешь заявить громче — плати больше.

В чём смысл развода

Самая распространённая схема, с которой я столкнулся, — попытка подсунуть вам вредоносный код под видом тестового задания или «проекта для ознакомления».

Сценарий обычно выглядит так:

• мошенник находит блокчейн-разработчика;
• просит развернуть проект локально «чтобы посмотреть архитектуру/контракт/инфру»;
• давит на доверие: «докажи, что ты не кинешь», «просто запусти у себя», «скинь скрин, что всё работает»;
• внутри репозитория/архива — вирусня или инструмент для кражи данных (ключей, сессий, доступа к кошелькам и т. п.).

Иногда это подаётся под соусом «мы ищем web3‑программиста с доступом к жирным кошелькам». В их фантазиях, видимо, каждый разработчик живёт с seed‑фразой на рабочем столе.

Признаки, что перед вами мошенник

Вот список сигналов, которые я теперь воспринимаю как красные флаги. Один признак ещё ничего не доказывает, но если совпадает несколько — лучше остановиться.

• Свежий профиль.
• Слишком быстрый ответ на ваш отклик и максимальная «лояльность» ко всем вашим условиям.
• Нет отзывов.
• Нет оплаченных заказов в истории.
• Не верифицированы способы оплаты. Хотя важно понимать: даже верификация не даёт 100% гарантии — «аккуратные» мошенники тоже встречаются.
• Шаблонное и размытое описание проекта, мало деталей в диалоге. Иногда, наоборот, мошенники хорошо готовятся и приносят «простыню» требований. Некоторые готовы созваниваться и уверенно «лить в уши» — классика телефонных разводил.
• Обещает жирную оплату, но почти не интересуется вашими компетенциями и опытом по теме.
• «Расфуфыренный» GitHub: вроде красиво оформлено, но аккаунт свежий, без бейджей и живой истории.

Как я действую, чтобы не подставиться

Я не буду изображать «единственно правильную» политику безопасности, но базовые принципы для себя сформулировал такие:

• Ничего не запускаю локально из сомнительных источников, особенно если меня торопят или просят «просто проверить».
• Прошу максимум контекста: что именно нужно сделать, какие артефакты будут на выходе, почему нельзя показать код иначе (например, ссылкой на публичный репозиторий/документацию).
• Настораживаюсь, когда вместо обсуждения задачи идёт разговор про “доверие” и просьбы доказать что-то странными действиями.
• Помню, что время и Connects — тоже деньги. Если диалог выглядит как ловушка — лучше выйти раньше, чем «дожимать» из принципа.

Почему об этом важно говорить

Берегите себя и будьте осторожны. Обращений по возврату потерянных средств (уже после взломов и краж) хватает и у обычных пользователей. Чем популярнее крипта и web3, тем больше становится жертв у разносортных схем.

P.S. И чтобы пост не звучал слишком мрачно: первый заказ на Upwork и 5 звёзд я всё-таки получил.