“Às vezes, o golpe não vem por e-mail — ele vem por GitHub” · jonathanferreiras

Uma armadilha elegante, embalada como desafio técnico — e como quase caí nela

Nos últimos meses, venho desenvolvendo projetos pessoais envolvendo contratos inteligentes, blockchain e Web3. Naturalmente, como qualquer desenvolvedor curioso e apaixonado por tecnologia, comecei a interagir mais ativamente em comunidades como o Reddit, compartilhando dúvidas e explorando ideias com outros devs.

Foi em uma dessas interações que tudo começou.

Dias após postar uma dúvida técnica específica sobre contratos inteligentes, recebi uma mensagem privada. A pessoa elogiava meu interesse pelo assunto e dizia estar à procura de desenvolvedores com experiência em blockchain para colaborar em um projeto. À primeira vista, soava como algo comum na comunidade — alguém buscando ajuda técnica ou até mesmo parceria.

A conversa evolui

Demorei uma semana para ver a mensagem, mas quando finalmente respondi, a conversa deslanchou. Trocamos contatos, e logo começamos a conversar por Telegram. Ele me contou um pouco mais sobre o projeto, me enviou o site da empresa, o perfil no LinkedIn e se mostrou bastante articulado. O site da empresa era bonito, bem estruturado, transmitia confiança. O perfil no LinkedIn Premium, por sua vez, exibia conexões relevantes e um histórico sólido na área de blockchain. Tudo parecia em perfeita ordem, digno de alguém que atua seriamente nesse mercado.

A conversa seguiu naturalmente. Ele pediu meu currículo, perguntou sobre minha disponibilidade para uma possível conversa com o gerente da equipe, e também sobre minha experiência prática com smart contracts. Deixei claro que, apesar de já trabalhar como especialista em backend e ter um bom cargo em minha empresa atual, essa era uma área que eu dominava em projetos pessoais e que me interessava bastante como freelancer — especialmente para entregas pontuais ou trabalhos aos finais de semana.

O teste técnico

Foi então que veio o convite para um teste técnico. Ele pediu meu usuário no GitHub e me adicionou a um repositório privado. Junto com o acesso, compartilhou um documento bem estruturado com as instruções: tratava-se de uma aplicação blockchain onde eu deveria corrigir alguns bugs relacionados à integração Web3, problemas com carteiras, votos em um DAO, e ajustes de frontend.

O teste parecia coerente com a proposta. Os arquivos estavam organizados, as instruções claras e a stack familiar — React, NodeJs, Web3, smart contracts.

Só que algo não estava certo...

💬 E vocês, já passaram por algo parecido?

Continue lendo o artigo completo com imagens de código e a análise técnica detalhada direto no meu artigo do Linkedin: