Bots de negociação de cripto maliciosos desviam mais de 900 mil dólares através de contas antigas do YouTube

Uma rede de golpistas de criptomoedas está aproveitando contas antigas do YouTube para promover bots de negociação que atraem usuários a implementar contratos inteligentes maliciosos capazes de drenar suas carteiras.

Soando o alarme sobre esta ameaça "generalizada e em curso", o pesquisador sênior de ameaças Alex Delamottea da SentinelLABS alertou que usuários de criptomoedas que dependem de ferramentas não verificadas promovidas através de conteúdo em vídeo estão se expondo a golpes sofisticados de roubo disfarçados de oportunidade.

Como funciona o golpe?

De acordo com a SentinelLABS, o golpe começa com vídeos do YouTube que parecem oferecer tutoriais passo a passo sobre como implementar bots de negociação cripto lucrativos. Estes vídeos, frequentemente produzidos usando visuais e narração gerados por IA, direcionam os usuários para um site externo contendo código de contrato inteligente. 

Os espectadores são instruídos a implementar o código em plataformas como o Remix, um ambiente de desenvolvimento Ethereum popular, sob o pretexto de ativar um suposto bot de arbitragem ou MEV (Valor Extraível Máximo).

No entanto, o contrato é deliberadamente projetado para ocultar uma carteira controlada pelo atacante. Em muitos casos, descobriu-se que o código estava usando várias técnicas de ofuscação, como operações XOR, concatenação de strings ou derivação de endereço através de conversão hexadecimal, para esconder o endereço do golpista da vista comum.

Uma vez que a vítima implementa o contrato e o financia com Ether, o atacante pode extrair esses fundos usando mecanismos ocultos de failover incorporados na lógica do contrato.

A SentinelLABS descobriu que as vítimas são encorajadas a depositar um mínimo de 0,5 ETH para cobrir supostas taxas de gás e aumentar os lucros potenciais. Este depósito inicial é crítico para acionar a lógica do contrato, que, uma vez executada, permite que o endereço do atacante desvie os fundos.

Em alguns casos, mesmo que os usuários não ativem explicitamente o contrato, mecanismos de fallback incorporados ainda permitem que o atacante ganhe controle sobre os ativos.

Golpistas estão ganhando muito dinheiro

A investigação de Delamottea revelou múltiplos endereços únicos controlados por golpistas, embora uma carteira se destacasse. O endereço associado ao usuário do YouTube "@Jazz_Braze" recebeu 244,9 ETH—no valor de mais de $900.000—através destes contratos. 

A SentinelLABS rastreou o movimento desses fundos roubados através de mais de duas dúzias de endereços secundários, concluindo que os fundos estavam sendo lavados.

Enquanto isso, outras carteiras de golpistas foram menos bem-sucedidas, mas ainda notáveis, com fluxos de entrada médios superiores a $10.000 em ETH.

Todas essas carteiras estavam vinculadas a diferentes vídeos ou canais do YouTube, muitos dos quais apresentavam narradores gerados por IA e seções de comentários fortemente moderadas que filtravam feedback negativo enquanto promoviam depoimentos fabricados de sucesso.

A SentinelLABS também observou que as contas do YouTube usadas no golpe eram antigas e anteriormente hospedavam playlists ou vídeos relacionados a criptomoedas ou cultura pop. 

De acordo com o relatório, algumas dessas contas possivelmente foram compradas de marketplaces online, onde canais antigos do YouTube são comumente vendidos através de grupos do Telegram ou marketplaces indexados por busca.

Esta tática de envelhecimento ajuda a aumentar a visibilidade e confiança, tornando mais difícil para os espectadores identificar a intenção maliciosa na maioria dos casos.

O que são realmente os bots de negociação cripto?

Em ambientes legítimos, os bots de negociação são ferramentas algorítmicas que executam ordens de compra ou venda com base em estratégias predefinidas. Eles são frequentemente capazes de operar em várias bolsas para aproveitar ineficiências de preço ou tendências de mercado, muitas vezes visando executar negociações mais rapidamente do que um humano poderia.

Com o advento da inteligência artificial, essas aplicações tornaram-se mais adaptáveis, eficientes e capazes de executar estratégias complexas em escala, e quando adequadamente construídas e verificadas, servem como ferramentas de automação para traders sofisticados e instituições, especialmente em ambientes de alta frequência como cripto.

Uma categoria bem conhecida dessas ferramentas inclui bots MEV, que tentam extrair valor da ordenação de transações dentro dos blocos. MEV significa Valor Extraível Máximo, e esses bots monitoram mempools de blockchain para estrategicamente antecipar, seguir ou fazer sandwich em transações legítimas de usuários. 

Embora os bots MEV sejam tecnicamente legais, atores maliciosos também os transformaram em armas. Por exemplo, o Sandwich Bot "arsc" do MEV aproveitou estratégias automatizadas para extrair quase $30 milhões de usuários desavisados da Solana, antecipando transações em tempo real.

Uma nota de cautela para traders de cripto

A SentinelLABS enfatizou que, embora os bots de negociação tenham usos legítimos, os investidores devem exercer extrema cautela, especialmente quando o código-fonte vem de um vídeo de mídia social prometendo ganhos irrealistas.

"Para se defender contra esses tipos de golpes, aconselha-se aos traders de cripto que evitem implementar código promovido através de vídeos de influenciadores ou posts de mídia social", alertou Delamottea, acrescentando que "se uma oferta parece boa demais para ser verdade, geralmente é—especialmente no mundo das criptomoedas."