Złośliwe boty do handlu kryptowalutami wypompowały ponad 900 tys. dolarów za pośrednictwem starszych kont YouTube

Sieć oszustów kryptowalutowych wykorzystuje stare konta YouTube do promowania botów tradingowych, które nakłaniają użytkowników do wdrażania złośliwych inteligentnych kontraktów zdolnych do opróżniania ich portfeli.

Bijąc na alarm w sprawie tego "powszechnego i trwającego" zagrożenia, starszy badacz zagrożeń Alex Delamottea z SentinelLABS ostrzegł, że użytkownicy kryptowalut, którzy polegają na niezweryfikowanych narzędziach promowanych przez treści wideo, narażają się na wyrafinowane oszustwa kradzieży ukryte pod pozorem okazji.

Jak działa to oszustwo?

Według SentinelLABS, oszustwo zaczyna się od filmów na YouTube, które wydają się oferować szczegółowe poradniki dotyczące wdrażania dochodowych botów tradingowych kryptowalut. Te filmy, często tworzone przy użyciu wygenerowanych przez AI wizualizacji i narracji, kierują użytkowników do zewnętrznej strony zawierającej kod inteligentnego kontraktu. 

Widzom zaleca się wdrożenie kodu na platformach takich jak Remix, popularne środowisko programistyczne Ethereum, pod pretekstem aktywacji tak zwanego bota arbitrażowego lub MEV (Maximal Extractable Value).

Jednak kontrakt jest celowo zaprojektowany tak, aby ukryć portfel kontrolowany przez atakującego. W wielu przypadkach stwierdzono, że kod wykorzystuje różne techniki zaciemniania, takie jak operacje XOR, konkatenacja ciągów znaków lub wyprowadzanie adresów poprzez konwersję szesnastkową, aby ukryć adres oszusta przed bezpośrednim widokiem.

Gdy ofiara wdroży kontrakt i zasili go Etherem, atakujący może wyciągnąć te środki za pomocą ukrytych mechanizmów awaryjnych wbudowanych w logikę kontraktu.

SentinelLABS odkrył, że ofiary są zachęcane do wpłacenia minimum 0,5 ETH na pokrycie rzekomych opłat za gaz i zwiększenie potencjalnych zysków. Ta początkowa wpłata jest kluczowa dla uruchomienia logiki kontraktu, która po wykonaniu pozwala adresowi atakującego na odprowadzenie środków.

W niektórych przypadkach, nawet jeśli użytkownicy nie aktywują wyraźnie kontraktu, wbudowane mechanizmy awaryjne nadal pozwalają atakującemu przejąć kontrolę nad aktywami.

Oszuści zarabiają duże pieniądze

Dochodzenie Delamottea ujawniło wiele unikalnych adresów kontrolowanych przez oszustów, choć jeden portfel wyróżniał się szczególnie. Adres powiązany z użytkownikiem YouTube "@Jazz_Braze" otrzymał 244,9 ETH—o wartości ponad 900 000 dolarów—za pośrednictwem tych kontraktów. 

SentinelLABS śledził przepływ tych skradzionych środków przez ponad dwa tuziny adresów wtórnych, dochodząc do wniosku, że środki były prane.

Tymczasem inne portfele oszustów były mniej skuteczne, ale nadal godne uwagi, ze średnimi wpływami przekraczającymi 10 000 dolarów w ETH.

Wszystkie te portfele były powiązane z różnymi filmami lub kanałami YouTube, z których wiele zawierało narracje generowane przez AI i mocno moderowane sekcje komentarzy, które filtrowały negatywne opinie, jednocześnie promując sfabrykowane świadectwa sukcesu.

SentinelLABS zauważył również, że konta YouTube używane w oszustwie były stare i wcześniej zawierały playlisty lub filmy związane z kryptowalutami lub popkulturą. 

Według raportu, niektóre z tych kont zostały prawdopodobnie kupione na internetowych rynkach, gdzie stare kanały YouTube są powszechnie sprzedawane za pośrednictwem grup Telegram lub rynków indeksowanych przez wyszukiwarki.

Ta taktyka starzenia pomaga zwiększyć widoczność i zaufanie, utrudniając widzom zidentyfikowanie złośliwych zamiarów w większości przypadków.

Czym właściwie są boty tradingowe kryptowalut?

W legalnych warunkach boty tradingowe to algorytmiczne narzędzia, które wykonują zlecenia kupna lub sprzedaży w oparciu o ustalone wcześniej strategie. Często są w stanie działać na wielu giełdach, aby wykorzystać nieefektywności cenowe lub trendy rynkowe, często dążąc do wykonywania transakcji szybciej niż człowiek.

Wraz z nadejściem sztucznej inteligencji, te aplikacje stały się bardziej adaptacyjne, wydajne i zdolne do realizacji złożonych strategii na dużą skalę, a gdy są odpowiednio zbudowane i zweryfikowane, służą jako narzędzia automatyzacji dla zaawansowanych traderów i instytucji, szczególnie w środowiskach o wysokiej częstotliwości, takich jak kryptowaluty.

Jedną z dobrze znanych kategorii tych narzędzi są boty MEV, które próbują wydobyć wartość z kolejności transakcji w blokach. MEV oznacza Maximal Extractable Value, a te boty monitorują mempools blockchainu, aby strategicznie wyprzedzać, podążać za lub "kanapkować" legalne transakcje użytkowników. 

Chociaż boty MEV są technicznie legalne, złośliwi aktorzy również je wykorzystują jako broń. Na przykład, bot kanapkowy MEV "arsc" wykorzystał zautomatyzowane strategie do wyciągnięcia prawie 30 milionów dolarów od nieświadomych użytkowników Solany poprzez wyprzedzanie transakcji w czasie rzeczywistym.

Ostrzeżenie dla traderów kryptowalut

SentinelLABS podkreślił, że chociaż boty tradingowe mają legalne zastosowania, inwestorzy muszą zachować wyjątkową ostrożność, szczególnie gdy kod źródłowy pochodzi z filmu w mediach społecznościowych obiecującego nierealistyczne zyski.

"Aby bronić się przed tego typu oszustwami, traderom kryptowalut zaleca się unikanie wdrażania kodu promowanego przez filmy influencerów lub posty w mediach społecznościowych," ostrzegł Delamottea, dodając, że "jeśli oferta wydaje się zbyt dobra, aby była prawdziwa, zwykle tak jest—szczególnie w świecie kryptowalut."