Deel dit artikel
Gewapende Handelsbots Zuigen $1 Miljoen Weg bij Crypto-gebruikers via AI-gegenereerde YouTube-oplichting
Oplichters lijken AI-gegenereerde avatars en stemmen te gebruiken om de productiekosten te verlagen en video-inhoud op grotere schaal te produceren.
Maak ons favoriet op Google
Wat u moet weten:
- Meer dan $1 miljoen is gestolen van cryptogebruikers via kwaadaardige smart contracts die zich voordoen als MEV-handelbots, aldus SentinelLABS.
- Oplichters gebruikten door AI gegenereerde YouTube-video's en verhulde code om gebruikers te misleiden en hen ertoe te brengen geld te storten op door aanvallers beheerde wallets.
- SentinelLABS raadt af om gratis bots van sociale media te implementeren en benadrukt het belang van een grondige codebeoordeling, zelfs op testnets.
Meer dan $1 miljoen is weggevloeid van nietsvermoedende cryptogebruikers via kwaadaardige slimme contracten die zich voordoen als MEV-handelsbots, aldus een nieuw rapport van SentinelLABS.
De campagne maakte gebruik van door AI gegenereerde YouTube-video's, verouderde accounts en geobfusceerde Solidity-code om basisgebruikerscontrole te omzeilen en toegang te krijgen tot crypto wallets.
Verhaal gaat verder
Mis geen enkel verhaal.Abonneer je vandaag nog op de The Protocol Nieuwsbrief. Bekijk Alle Nieuwsbrieven
Oplichters lijken AI-gegeneerde avatars en stemmen te gebruiken om productiekosten te verlagen en videoinhoud op te schalen.
Deze tutorials worden gepubliceerd op oudere YouTube-accounts gevuld met niet-gerelateerde inhoud en gemanipuleerde reactiesecties om de schijn van geloofwaardigheid te wekken. In sommige gevallen zijn de video's niet openbaar en worden ze waarschijnlijk via Telegram of directe berichten verspreid.
In het hart van de scam stond een smart contract dat gepromoot werd als een winstgevende arbitragebot. Slachtoffers kregen via YouTube-tutorials instructies om het contract te implementeren met Remix, het te financieren met ETH en een “Start()”-functie aan te roepen.
In werkelijkheid stuurde het contract echter fondsen naar een verborgen, door de aanvaller gecontroleerde wallet, waarbij technieken zoals XOR-obfuscatie (die gegevens verbergt door ze te verstoren met een andere waarde) en grote decimaal-naar-hex-conversies (die grote getallen omzetten in wallet-leesbare adresformaten) werden gebruikt om het bestemmingsadres te maskeren (waardoor het terugvorderen van fondsen lastiger wordt).
Het meest succesvolle geïdentificeerde adres — 0x8725...6831 — ontving 244,9 ETH (ongeveer $902.000) via stortingen van nietsvermoedende deployers. Die wallet werd gekoppeld aan een videotutorial geplaatst door het account @Jazz_Braze, nog steeds live op YouTube met meer dan 387.000 weergaven.
“Elk contract stelt de wallet van het slachtoffer en een verborgen aanvaller EOA aan als mede-eigenaren,” merkten de onderzoekers van SentinelLABS op. “Zelfs als het slachtoffer de hoofdfunctie niet activeert, stellen fallback-mechanismen de aanvaller in staat om gestorte fondsen op te nemen.”
Als zodanig is het succes van de scam breed maar ongelijk verdeeld geweest. Terwijl de meeste aanvallersportefeuilles vier- tot vijfcijferige bedragen binnenhaalden, behaalde er slechts één (verbonden aan Jazz_Braze) ruim $900K aan waarde vrijgemaakt. Fondsen werden later in bulk verplaatst naar secundaire adressen, waarschijnlijk om de traceerbaarheid verder te verspreiden.
Ondertussen waarschuwt SentinelLABS gebruikers om het inzetten van “gratis bots” die op sociale media worden geadverteerd te vermijden, vooral die waarbij handmatige smart contract implementatie betrokken is. Het bedrijf benadrukte dat zelfs code die op testnetwerken wordt ingezet grondig moet worden beoordeeld, aangezien vergelijkbare tactieken gemakkelijk over ketens kunnen migreren.
Lees meer: Multisig-fouten domineren terwijl $3,1 miljard verloren gaat bij Web3-hacks in de eerste helft
