Plus de 1 million de dollars ont été siphonnés à des utilisateurs de crypto à l'insu de leur plein gré par le biais de contrats intelligents malveillants se faisant passer pour des bots de trading MEV, selon un nouveau rapport de SentinelLABS.
La campagne a tiré parti de vidéos YouTube générées par l'IA, de comptes âgés et de code Solidity obfusqué pour contourner le contrôle de base des utilisateurs et accéder aux portefeuilles crypto.
Des arnaqueurs semblaient utiliser des avatars et des voix générés par l'IA pour réduire les coûts de production et augmenter le contenu vidéo.
Ces tutoriels sont publiés sur des comptes YouTube anciens peuplés de contenu non lié et de sections de commentaires manipulées pour donner l'illusion de crédibilité. Dans certains cas, les vidéos sont non répertoriées et probablement distribuées via Telegram ou DMs.
Au centre de l'escroquerie se trouvait un smart contract promu comme un bot de trading d'arbitrage rentable. Les victimes étaient instruites via des tutoriels YouTube pour déployer le contrat en utilisant Remix, le financer avec de l'ETH et appeler une fonction "Start()".
En réalité, cependant, le contrat a dirigé des fonds vers un portefeuille dissimulé, contrôlé par l'attaquant, en utilisant des techniques telles que l'obfuscation XOR ( qui cache les données en les brouillant avec une autre valeur ) et de grandes conversions décimales en hexadécimal ( qui convertissent de grands nombres en formats d'adresse lisibles par le portefeuille ) pour masquer l'adresse de destination ( ce qui rend la récupération des fonds plus délicate ).
L'adresse la plus réussie identifiée — 0x8725...6831 — a attiré 244,9 ETH ( soit environ 902 000 $) via des dépôts de déployeurs sans méfiance. Ce portefeuille était lié à un tutoriel vidéo publié par le compte @Jazz_Braze, toujours en ligne sur YouTube avec plus de 387 000 vues.
« Chaque contrat définit le portefeuille de la victime et un EOA attaquant caché comme co-propriétaires », ont noté les chercheurs de SentinelLABS. « Même si la victime n'active pas la fonction principale, les mécanismes de secours permettent à l'attaquant de retirer les fonds déposés. »
Ainsi, le succès de l'escroquerie a été large mais inégal. Alors que la plupart des portefeuilles des attaquants ont rapporté quatre à cinq chiffres, seul un ( lié à Jazz_Braze) a dépassé 900 000 $ en valeur. Les fonds ont ensuite été déplacés en masse vers des adresses secondaires, probablement pour fragmenter davantage la traçabilité.
Pendant ce temps, SentinelLABS avertit les utilisateurs d'éviter de déployer des "bots gratuits" annoncés sur les réseaux sociaux, en particulier ceux impliquant le déploiement manuel de smart contracts. La société a souligné que même le code déployé dans les testnets doit être examiné minutieusement, car des tactiques similaires peuvent facilement migrer entre les chaînes.
Lire la suite : Les échecs de multisig dominent alors que 3,1 milliards de dollars sont perdus dans des hacks Web3 au cours du premier semestre
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Des Bots de Trading Armes Drainent 1M$ des Utilisateurs de Crypto via une Arnaque YouTube Générée par IA
Plus de 1 million de dollars ont été siphonnés à des utilisateurs de crypto à l'insu de leur plein gré par le biais de contrats intelligents malveillants se faisant passer pour des bots de trading MEV, selon un nouveau rapport de SentinelLABS.
La campagne a tiré parti de vidéos YouTube générées par l'IA, de comptes âgés et de code Solidity obfusqué pour contourner le contrôle de base des utilisateurs et accéder aux portefeuilles crypto.
Des arnaqueurs semblaient utiliser des avatars et des voix générés par l'IA pour réduire les coûts de production et augmenter le contenu vidéo.
Ces tutoriels sont publiés sur des comptes YouTube anciens peuplés de contenu non lié et de sections de commentaires manipulées pour donner l'illusion de crédibilité. Dans certains cas, les vidéos sont non répertoriées et probablement distribuées via Telegram ou DMs.
Au centre de l'escroquerie se trouvait un smart contract promu comme un bot de trading d'arbitrage rentable. Les victimes étaient instruites via des tutoriels YouTube pour déployer le contrat en utilisant Remix, le financer avec de l'ETH et appeler une fonction "Start()".
En réalité, cependant, le contrat a dirigé des fonds vers un portefeuille dissimulé, contrôlé par l'attaquant, en utilisant des techniques telles que l'obfuscation XOR ( qui cache les données en les brouillant avec une autre valeur ) et de grandes conversions décimales en hexadécimal ( qui convertissent de grands nombres en formats d'adresse lisibles par le portefeuille ) pour masquer l'adresse de destination ( ce qui rend la récupération des fonds plus délicate ).
L'adresse la plus réussie identifiée — 0x8725...6831 — a attiré 244,9 ETH ( soit environ 902 000 $) via des dépôts de déployeurs sans méfiance. Ce portefeuille était lié à un tutoriel vidéo publié par le compte @Jazz_Braze, toujours en ligne sur YouTube avec plus de 387 000 vues.
« Chaque contrat définit le portefeuille de la victime et un EOA attaquant caché comme co-propriétaires », ont noté les chercheurs de SentinelLABS. « Même si la victime n'active pas la fonction principale, les mécanismes de secours permettent à l'attaquant de retirer les fonds déposés. »
Ainsi, le succès de l'escroquerie a été large mais inégal. Alors que la plupart des portefeuilles des attaquants ont rapporté quatre à cinq chiffres, seul un ( lié à Jazz_Braze) a dépassé 900 000 $ en valeur. Les fonds ont ensuite été déplacés en masse vers des adresses secondaires, probablement pour fragmenter davantage la traçabilité.
Pendant ce temps, SentinelLABS avertit les utilisateurs d'éviter de déployer des "bots gratuits" annoncés sur les réseaux sociaux, en particulier ceux impliquant le déploiement manuel de smart contracts. La société a souligné que même le code déployé dans les testnets doit être examiné minutieusement, car des tactiques similaires peuvent facilement migrer entre les chaînes.
Lire la suite : Les échecs de multisig dominent alors que 3,1 milliards de dollars sont perdus dans des hacks Web3 au cours du premier semestre
Voir les commentaires