Bot di Trading Armati Prosciugano 1 Milione di Dollari dagli Utenti Crypto tramite Truffa YouTube Generata da AI

Oltre 1 milione di dollari è stato sottratto a utenti di criptovalute ignari tramite smart contract malevoli che si spacciano per bot di trading MEV, secondo un nuovo rapporto di SentinelLABS.

La campagna ha sfruttato video YouTube generati da AI, account vecchi e codice Solidity offuscato per bypassare il controllo basilare degli utenti e ottenere accesso a portafogli crypto.

I truffatori sembrano utilizzare avatar e voci generati dall'IA per ridurre i costi di produzione e aumentare la scala dei contenuti video.

Questi tutorial sono pubblicati su account YouTube datati, popolati da contenuti non correlati e sezioni commenti manipolate per dare l'illusione di credibilità. In alcuni casi, i video sono non in elenco e probabilmente distribuiti tramite Telegram o messaggi diretti.

Al centro della truffa vi era un smart contract promosso come un bot di arbitraggio redditizio. Le vittime sono state istruite tramite tutorial su YouTube a implementare il contratto utilizzando Remix, finanziarlo con ETH e chiamare una funzione “Start()”.

In realtà, tuttavia, il contratto dirottava i fondi verso un portafoglio nascosto e controllato dall’attaccante, utilizzando tecniche come l’offuscamento XOR (che nasconde i dati mescolandoli con un altro valore) e grandi conversioni da decimale a esadecimale (che trasformano numeri elevati in formati di indirizzi leggibili dal portafoglio) per mascherare l’indirizzo di destinazione (rendendo più complicato il recupero dei fondi).

L'indirizzo identificato di maggior successo — 0x8725...6831 — ha raccolto 244,9 ETH (circa 902.000 dollari) tramite depositi da parte di deployer ignari. Quel portafoglio è stato collegato a un tutorial video pubblicato dall'account @Jazz_Braze, ancora in diretta su YouTube con oltre 387.000 visualizzazioni.

“Ogni contratto imposta il portafoglio della vittima e un EOA nascosto dell’attaccante come co-proprietari,” hanno osservato i ricercatori di SentinelLABS. “Anche se la vittima non attiva la funzione principale, i meccanismi di fallback permettono all’attaccante di prelevare i fondi depositati.”

Pertanto, il successo della truffa è stato ampio ma disomogeneo. Mentre la maggior parte dei portafogli degli aggressori ha ottenuto guadagni da quattro a cinque cifre, solo uno (collegato a Jazz_Braze) ha superato i 900.000 $ in valore. I fondi sono stati successivamente trasferiti in blocco a indirizzi secondari, probabilmente per frammentare ulteriormente la tracciabilità.

Nel frattempo, SentinelLABS avverte gli utenti di evitare di utilizzare “bot gratuiti” pubblicizzati sui social media, in particolare quelli che prevedono il deployment manuale di smart contract. L’azienda ha sottolineato che anche il codice distribuito sulle testnet dovrebbe essere esaminato accuratamente, poiché tattiche simili possono facilmente migrare tra diverse blockchain.

Leggi di più: I fallimenti multisig dominano mentre 3,1 miliardi di dollari vengono persi negli hack Web3 nella prima metà