故事是這樣子的,前些日子遇到求才詐騙,雖然我不是很肯定他們要幹嘛,但總之機會難得(?就記錄一下好了

第一次接觸

前些日子信箱收到一封信,來信者是 [email protected] ,因為個人 信箱是公開的(這個 blog 就找得到),所以收到信也不是太奇怪,還有人寫信問我一些設定怎麼設。
以下是內容:

尊敬的 YodaLee 您好,
我是 Sanctum 的招聘负责人 Macro Gu。最近我查看了您在开源社区的项目, 注意到您在加密算法、协议工具以及系统模块方向有不少探索与实践,尤其是在密码学库、 签名方案和安全模块上的作品很有深度,让我对您的能力非常赞赏。
我们目前在 Solana 生态中构建流动质押协议,对协议效率、安全性、系统稳定性与 模块化设计有极高要求。我们非常希望您能加入 Sanctum 团队,在以下方向贡献您的技术:

  • 设计并优化加密模块、签名验证机制与安全协议
  • 在协议层、状态同步、缓存策略等方向做性能与资源调优
  • 构建工具库、辅助模块和安全检测工具
  • 设计容错机制、异常处理、安全验证与系统稳定性方案
  • 与协议层、网络层、存储层团队紧密协作,共同推进架构演进

在薪酬与工作方式方面,我们非常灵活。
无论您偏好全职、兼职、远程或弹性工时,我们都愿意配合。您提出的薪资期望与工作时间安排 ,我们会认真考虑,并尽最大努力满足。
您在加密、安全与协议工具方向的经验,对我们团队意义重大。希望有机会与您深入交流, 探讨最合适的合作方案。
期待您的回信。
祝好, Macro Gu
Sanctum 招聘团队

第一個疑惑點是個人對加密貨幣實在是沒什麼貢獻,又是簡中內容來信實在有點提不起勁, 當下直接 google 了對方公司並找到對方網頁 Sanctum , 初看是沒看出有什麼異狀,就這點來看該給對方一張好棒棒貼紙。
因為近期都在工作也不知道自己在市場上的價格如何,就決定回覆可以進行面試並提供的 resume 檔案,可能因為我用英文回所以他們的內容也變英文了。

Thanks for your reply — I found you through your GitHub projects, your code quality and structure really stood out to me. No problem at all if you’re new to crypto, we can explain everything clearly.
Let’s continue our conversation on Telegram or X, whichever is easier for you. Could you also share your resume when convenient?

很不巧他建議的 Telegram 跟 X 我都沒有,建議對方使用 Google Meet 或 Jitsi 等 WebRTC based 的網路通信服務;對方收到之後敲定 10/07 20:30 的時間進行面試,改用 zoom 進行。

We’ll use Zoom for the call; I’ll send you the meeting link a few minutes before we start.

10/07 上午,對方又寄了另一封信,說公司出了問題把面試延後到 10/08 晚上,因為沒特別問題我就答應了。

面試

10/08 面試當日,開始一連串的魚雁往返:

  • 15:00 左右,說明會在 20:25 時提供 zoom 連結
  • 20:23 來信要求延到 20:40
  • 20:31 來信提供 zoom 連結

加入之後就開始面試了,對方的大頭貼是一位外國人和飛機的照片,對方並未開攝影機。

面試只提問一些基礎的問題,像是:

  • 請自我介紹
  • 請說明一下你的 Rust 經驗
  • 要求 part-time 或 full-time
  • 對於薪資的預期

對方的英文不錯,體感上是英文 native,但面試中明顯感受到這間公司不對勁, 對方似乎很拒談公司的細節,因為我對加密貨幣一竅不通,自然是多想知道加密貨幣公司都在幹嘛 ,但對方都是簡短帶過,明顯對自家公司都不清楚。
我開場跟他聊他跟飛機的大頭貼他也不多談,說好的外國人都喜歡 small talk 的呢?。
在回答上述問題的時候,對方表現實在不像專業人資,語境上感受完全沒在聽我講話,對能力也沒進行考核,不斷重複 No Problem. No Problem. 這個發語詞。
最後連 coding interview 也沒有就直接表明 Based on your … , the job is yours
簡而言之就是 Too good to be true,如果是強者我同學還有機會,小弟這種程度也沒有到可以隨便挑工作的程度吧?

面試後

草草結束上述的面試之後,一般流程都是等待人資進行第二階段。 但隨後 Macro Gu 又來信 follow-ups:

  • 20:58 來信要求一些時間,正在跟同事商談
  • 21:10 來信出鉤,要求連接 https://weconne.app/ 的一個頁面(此頁面目前已無效,估計換名字了)
  • 21:13 來信說 everybody is waiting

最奇怪的是方才已經用 zoom 了為何不繼續用 zoom 面試?
加入之後是一個類似 WebRTC 的介面,在場有另外四到六位在線上,但我在 WebRTC 上無法聽到任何聲音,也沒有可以傳訊的介面,加入後介面右上角的 ping 值會飆到很高。
反映之後對方就要求要裝 weconne 的應用程式,這時已警覺遇上詐騙。

很不巧的對方在似乎只準備了 Windows/MacOS,使用 Linux 的我沒辦法安裝對方提供的檔案,再次反映之後對方即不再連絡。

事後回顧

大約是他開始要求用 WeConne 的時候,我正式覺得對方是詐騙, 畢竟市面上那麼多大手通訊軟體不用怎麼突然來了個不知名的,於是把 “WeConne 詐騙” 拿去搜尋,有搜到這篇 ChatGPT 在招聘诈骗领域的应用

其實回顧起來,中間不正常的點都有慢慢浮現,為了避免變對方改善的測資,我就大抵提幾個:
到底哪家公司是用 Telegram 或 X 進行面試的啦,我敢說就算 Tesla 馬誼郎也不會用 X 進行面試好嗎?
面試官的素質也堪憂,要人上鉤就要做全套,面試當下真是愈講愈怪, 就算你們是真的想做區塊鏈好了,公司面試搞成這樣我也不會想跳槽。

另外,我實在不確定對方詐騙的目標為何?
也許對方從開頭設定是加密貨幣公司,尋找的目標就是手上有加密貨幣的用戶, 並意圖透過引誘安裝惡意軟體來竊取加密貨幣的私鑰?
只能說讓他們失望了,實在很難從我的 Profile 判斷出我是個值得竊取加密貨幣的目標, 畢竟小弟身無分文一塊加密貨幣也沒有,不若小弟的強者我同學們,哈哈哈哈……哈哈…嗚嗚嗚(欸。

總之,這年頭真的是什麼路子的詐騙都有,目前對方的架的偽通訊軟體 WeConne 已經另起爐灶了,上文中的 BlazeStake 換成 sanctum 看來還沒改。
就看看這篇文能不能讓更多人看到,好對這類手法有些戒心了。