AI 생성 유튜브 사기를 통한 무기화된 거래 봇, 암호화폐 사용자로부터 100만 달러 탈취

SentinelLABS의 새로운 보고서에 따르면 MEV 트레이딩 봇으로 가장한 악성 스마트 계약을 통해 100만 달러 이상이 의심 없이 암호화폐 사용자를 대상으로 빼돌려졌습니다.

해당 캠페인은 AI로 생성된 유튜브 영상, 오래된 계정, 그리고 난독화된 Solidity 코드를 활용하여 기본적인 사용자 검토를 회피하고 암호화폐 지갑에 접근하는 데 성공했습니다.

사기꾼들은 제작 비용을 절감하고 영상 콘텐츠 확장을 위해 AI 생성 아바타와 음성을 사용하는 것으로 보입니다.

이 튜토리얼들은 관련 없는 콘텐츠로 채워진 오래된 유튜브 계정에 게재되며, 신뢰성을 가장하기 위해 댓글 섹션이 조작된 경우가 많습니다. 일부 영상은 비공개 처리되어 텔레그램이나 다이렉트 메시지를 통해 배포되는 것으로 보입니다.

사기의 중심에는 수익성 있는 차익거래 봇으로 홍보된 스마트 계약이 있었습니다. 피해자들은 YouTube 튜토리얼을 통해 Remix를 사용하여 계약을 배포하고, ETH로 자금을 조달한 후, “Start()” 함수를 호출하도록 안내받았습니다.

그러나 실제로는 계약이 XOR 난독화(다른 값으로 데이터를 스크램블하여 숨기는 기법)와 대규모 10진수-16진수 변환(큰 숫자를 지갑에서 읽을 수 있는 주소 형식으로 변환)을 사용하여 목적지 주소를 은폐함으로써, 공격자가 제어하는 숨겨진 지갑으로 자금을 우회 송금하는 방식이었습니다(이로 인해 자금 회수가 더욱 어렵게 됩니다).

가장 성공적인 식별된 주소 — 0x8725...6831 — 는 무심코 배포한 이용자들로부터 244.9 ETH(약 902,000달러)를 입금받았습니다. 해당 지갑은 계정에서 게시한 동영상 튜토리얼과 연결되어 있었습니다. @Jazz_Braze, 유튜브에서 387,000회 이상의 조회수를 기록하며 여전히 생중계 중입니다.

“각 계약은 피해자의 지갑과 은폐된 공격자 EOA를 공동 소유자로 설정합니다,”라고 SentinelLABS 연구진은 밝혔습니다. “피해자가 주요 기능을 활성화하지 않더라도, 폴백 메커니즘이 공격자가 예치된 자금을 인출할 수 있도록 허용합니다.”

따라서 이번 사기의 성공은 광범위하지만 고르지 못했습니다. 대부분의 공격자 지갑이 4~5자리 수익을 올린 반면, 단 한 개( 에 연계된 지갑만이)Jazz_Braze) 90만 달러 이상의 가치를 정리했습니다. 이후 자금은 추적 가능성을 더욱 분산시키기 위해 대량으로 2차 주소로 이동된 것으로 보입니다.

한편, SentinelLABS는 사용자들에게 특히 수동 스마트 컨트랙트 배포와 관련된 소셜 미디어에서 광고되는 “무료 봇” 배포를 피할 것을 경고했습니다. 이 회사는 테스트넷에 배포된 코드조차도 철저히 검토해야 하며, 유사한 수법이 체인 간에 쉽게 이동할 수 있다고 강조했습니다.

더 읽기: 2024년 상반기 Web3 해킹으로 31억 달러 손실, 멀티시그 실패가 주요 원인으로 부각