Des robots de trading armés siphonnent 1 million de dollars aux utilisateurs de crypto via une arnaque YouTube générée par IA

Plus d'un million de dollars ont été détournés auprès d'utilisateurs de crypto-monnaies sans méfiance par le biais de contrats intelligents malveillants se présentant comme des robots de trading MEV, selon un nouveau rapport de SentinelLABS.

La campagne a exploité des vidéos YouTube générées par IA, des comptes anciens et un code Solidity obscurci pour contourner les contrôles élémentaires des utilisateurs et accéder aux portefeuilles crypto.

Les arnaqueurs semblent utiliser des avatars et des voix générés par IA afin de réduire les coûts de production et d'intensifier la production de contenu vidéo.

Ces tutoriels sont publiés sur des comptes YouTube anciens, remplis de contenus non liés, avec des sections de commentaires manipulées pour donner une illusion de crédibilité. Dans certains cas, les vidéos sont non répertoriées et probablement diffusées via Telegram ou messages privés.

Au cœur de l'escroquerie se trouvait un contrat intelligent présenté comme un bot d'arbitrage rentable. Les victimes étaient invitées, via des tutoriels sur YouTube, à déployer le contrat en utilisant Remix, à le financer avec de l'ETH, puis à appeler une fonction « Start() ».

En réalité, cependant, le contrat a acheminé les fonds vers un portefeuille caché contrôlé par un attaquant, utilisant des techniques telles que l’obfuscation XOR (qui masque les données en les brouillant avec une autre valeur) et de grandes conversions décimal-vers-hexadécimal (qui transforment de grands nombres en formats d’adresse lisibles par les portefeuilles) pour dissimuler l’adresse de destination (ce qui complique la récupération des fonds).

L’adresse identifiée la plus performante — 0x8725...6831 — a récupéré 244,9 ETH (environ 902 000 $) via des dépôts effectués par des déployeurs non avertis. Ce portefeuille était lié à un tutoriel vidéo publié par le compte @Jazz_Braze, toujours en direct sur YouTube avec plus de 387 000 vues.

« Chaque contrat désigne le portefeuille de la victime et un EOA attaquant caché en tant que copropriétaires », ont noté les chercheurs de SentinelLABS. « Même si la victime n’active pas la fonction principale, des mécanismes de repli permettent à l’attaquant de retirer les fonds déposés. »

En tant que tel, le succès de l'arnaque a été large mais inégal. Alors que la plupart des portefeuilles des attaquants ont généré des gains à quatre ou cinq chiffres, un seul (lié à Jazz_Braze) a enregistré plus de 900 000 $ de valeur. Les fonds ont ensuite été transférés en vrac vers des adresses secondaires, probablement afin de compliquer davantage leur traçabilité.

Pendant ce temps, SentinelLABS met en garde les utilisateurs contre le déploiement de « bots gratuits » annoncés sur les réseaux sociaux, en particulier ceux impliquant un déploiement manuel de contrats intelligents. La société a insisté sur le fait que même le code déployé sur des testnets doit être examiné minutieusement, car des tactiques similaires peuvent facilement se transférer d’une chaîne à l’autre.

Lire la suite : Les défaillances multisignatures dominent alors que 3,1 milliards de dollars sont perdus dans les piratages Web3 au premier semestre