Hơn 1 triệu đô la đã bị rút từ những người dùng crypto không nghi ngờ thông qua các hợp đồng thông minh độc hại giả vờ là bot giao dịch MEV, theo một báo cáo mới của SentinelLABS.
Chiến dịch đã tận dụng video YouTube được tạo ra bởi AI, các tài khoản cũ, và mã Solidity được làm mờ để vượt qua sự kiểm tra cơ bản của người dùng và truy cập vào ví tiền điện tử.
Kẻ lừa đảo dường như đang sử dụng hình đại diện và giọng nói được tạo ra bởi AI để giảm chi phí sản xuất và mở rộng nội dung video.
Những hướng dẫn này được công bố trên các tài khoản YouTube cũ có nội dung không liên quan và các phần bình luận bị thao túng để tạo ấn tượng về độ tin cậy. Trong một số trường hợp, các video không được liệt kê và có khả năng được phân phối qua Telegram hoặc tin nhắn trực tiếp.
Tại trung tâm của vụ lừa đảo là một hợp đồng thông minh được quảng bá như một bot giao dịch arbitrage có lợi nhuận. Nạn nhân được hướng dẫn thông qua các video hướng dẫn trên YouTube để triển khai hợp đồng bằng cách sử dụng Remix, cấp vốn cho nó bằng ETH, và gọi một hàm “Start()”.
Trong thực tế, hợp đồng đã chuyển tiền đến một ví ẩn danh, do kẻ tấn công kiểm soát, sử dụng các kỹ thuật như mã hóa XOR ( mà ẩn dữ liệu bằng cách xáo trộn nó với một giá trị khác ) và chuyển đổi số thập phân lớn thành hex ( mà chuyển đổi các số lớn thành định dạng địa chỉ có thể đọc được bởi ví ) để che giấu địa chỉ đích ( điều này làm cho việc phục hồi quỹ trở nên khó khăn hơn ).
Địa chỉ được xác định thành công nhất — 0x8725...6831 — đã thu về 244.9 ETH ( khoảng 902,000) thông qua các khoản tiền gửi từ những người triển khai không nghi ngờ. Ví đó được liên kết với một video hướng dẫn được đăng bởi tài khoản @Jazz_Braze, vẫn còn sống trên YouTube với hơn 387,000 lượt xem.
"Mỗi hợp đồng xác định ví của nạn nhân và một EOA tấn công ẩn danh là đồng sở hữu," các nhà nghiên cứu SentinelLABS lưu ý. "Ngay cả khi nạn nhân không kích hoạt chức năng chính, các cơ chế dự phòng cho phép kẻ tấn công rút tiền đã gửi."
Như vậy, sự thành công của trò lừa đảo này rất rộng nhưng không đồng đều. Trong khi hầu hết các ví của kẻ tấn công thu được từ bốn đến năm con số, chỉ có một ( liên quan đến Jazz_Braze) đã đạt hơn 900K USD giá trị. Các khoản tiền sau đó đã được chuyển đi hàng loạt đến các địa chỉ thứ cấp, có thể để làm cho việc theo dõi trở nên khó khăn hơn.
Trong khi đó, SentinelLABS cảnh báo người dùng nên tránh triển khai "bot miễn phí" được quảng cáo trên mạng xã hội, đặc biệt là những bot liên quan đến việc triển khai hợp đồng thông minh thủ công. Công ty nhấn mạnh rằng ngay cả mã được triển khai trên testnet cũng nên được xem xét kỹ lưỡng, vì các chiến thuật tương tự có thể dễ dàng di chuyển giữa các chuỗi.
Đọc thêm: Các lỗi Multisig chiếm ưu thế khi $3.1B bị mất trong các cuộc tấn công Web3 trong nửa đầu năm
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Bots giao dịch vũ khí hóa rút $1 triệu từ người dùng Tiền điện tử thông qua lừa đảo YouTube do AI tạo ra
Hơn 1 triệu đô la đã bị rút từ những người dùng crypto không nghi ngờ thông qua các hợp đồng thông minh độc hại giả vờ là bot giao dịch MEV, theo một báo cáo mới của SentinelLABS.
Chiến dịch đã tận dụng video YouTube được tạo ra bởi AI, các tài khoản cũ, và mã Solidity được làm mờ để vượt qua sự kiểm tra cơ bản của người dùng và truy cập vào ví tiền điện tử.
Kẻ lừa đảo dường như đang sử dụng hình đại diện và giọng nói được tạo ra bởi AI để giảm chi phí sản xuất và mở rộng nội dung video.
Những hướng dẫn này được công bố trên các tài khoản YouTube cũ có nội dung không liên quan và các phần bình luận bị thao túng để tạo ấn tượng về độ tin cậy. Trong một số trường hợp, các video không được liệt kê và có khả năng được phân phối qua Telegram hoặc tin nhắn trực tiếp.
Tại trung tâm của vụ lừa đảo là một hợp đồng thông minh được quảng bá như một bot giao dịch arbitrage có lợi nhuận. Nạn nhân được hướng dẫn thông qua các video hướng dẫn trên YouTube để triển khai hợp đồng bằng cách sử dụng Remix, cấp vốn cho nó bằng ETH, và gọi một hàm “Start()”.
Trong thực tế, hợp đồng đã chuyển tiền đến một ví ẩn danh, do kẻ tấn công kiểm soát, sử dụng các kỹ thuật như mã hóa XOR ( mà ẩn dữ liệu bằng cách xáo trộn nó với một giá trị khác ) và chuyển đổi số thập phân lớn thành hex ( mà chuyển đổi các số lớn thành định dạng địa chỉ có thể đọc được bởi ví ) để che giấu địa chỉ đích ( điều này làm cho việc phục hồi quỹ trở nên khó khăn hơn ).
Địa chỉ được xác định thành công nhất — 0x8725...6831 — đã thu về 244.9 ETH ( khoảng 902,000) thông qua các khoản tiền gửi từ những người triển khai không nghi ngờ. Ví đó được liên kết với một video hướng dẫn được đăng bởi tài khoản @Jazz_Braze, vẫn còn sống trên YouTube với hơn 387,000 lượt xem.
"Mỗi hợp đồng xác định ví của nạn nhân và một EOA tấn công ẩn danh là đồng sở hữu," các nhà nghiên cứu SentinelLABS lưu ý. "Ngay cả khi nạn nhân không kích hoạt chức năng chính, các cơ chế dự phòng cho phép kẻ tấn công rút tiền đã gửi."
Như vậy, sự thành công của trò lừa đảo này rất rộng nhưng không đồng đều. Trong khi hầu hết các ví của kẻ tấn công thu được từ bốn đến năm con số, chỉ có một ( liên quan đến Jazz_Braze) đã đạt hơn 900K USD giá trị. Các khoản tiền sau đó đã được chuyển đi hàng loạt đến các địa chỉ thứ cấp, có thể để làm cho việc theo dõi trở nên khó khăn hơn.
Trong khi đó, SentinelLABS cảnh báo người dùng nên tránh triển khai "bot miễn phí" được quảng cáo trên mạng xã hội, đặc biệt là những bot liên quan đến việc triển khai hợp đồng thông minh thủ công. Công ty nhấn mạnh rằng ngay cả mã được triển khai trên testnet cũng nên được xem xét kỹ lưỡng, vì các chiến thuật tương tự có thể dễ dàng di chuyển giữa các chuỗi.
Đọc thêm: Các lỗi Multisig chiếm ưu thế khi $3.1B bị mất trong các cuộc tấn công Web3 trong nửa đầu năm
Xem bình luận