Вредоносные криптовалютные торговые боты выкачали более 900k $ через старые аккаунты YouTube

Сеть криптовалютных мошенников использует старые аккаунты YouTube для продвижения торговых ботов, которые заманивают пользователей в развертывание вредоносных смарт-контрактов, способных опустошать их кошельки.

Предупреждая об этой "широко распространенной и продолжающейся" угрозе, старший исследователь угроз Алекс Деламоттеа из SentinelLABS предупредил, что пользователи криптовалют, которые полагаются на непроверенные инструменты, продвигаемые через видеоконтент, подвергают себя сложным схемам кражи, замаскированным под возможности.

Как работает мошенничество?

Согласно SentinelLABS, мошенничество начинается с видео на YouTube, которые предлагают пошаговые руководства по развертыванию прибыльных криптовалютных торговых ботов. Эти видео, часто созданные с использованием управляемых ИИ визуальных эффектов и повествования, направляют пользователей на внешний сайт, содержащий код смарт-контракта. 

Зрителям предлагается развернуть код на таких платформах, как Remix, популярной среде разработки Ethereum, под предлогом активации так называемого арбитражного бота или бота MEV (Maximal Extractable Value).

Однако контракт специально разработан для сокрытия кошелька, контролируемого злоумышленником. Во многих случаях было обнаружено, что код использует различные методы обфускации, такие как операции XOR, конкатенация строк или получение адреса через шестнадцатеричное преобразование, чтобы скрыть адрес мошенника от прямого просмотра.

Как только жертва развертывает контракт и финансирует его с помощью Ether, злоумышленник может извлечь эти средства, используя скрытые механизмы отказоустойчивости, встроенные в логику контракта.

SentinelLABS обнаружил, что жертв поощряют вносить минимум 0,5 ETH для покрытия предполагаемых комиссий за газ и увеличения потенциальной прибыли. Этот первоначальный депозит имеет решающее значение для запуска логики контракта, которая после выполнения позволяет адресу злоумышленника выкачивать средства.

В некоторых случаях, даже если пользователи явно не активируют контракт, встроенные резервные механизмы все равно позволяют злоумышленнику получить контроль над активами.

Мошенники зарабатывают большие деньги

Расследование Деламоттеа выявило несколько уникальных адресов, контролируемых мошенниками, хотя один кошелек выделялся. Адрес, связанный с пользователем YouTube "@Jazz_Braze", получил 244,9 ETH — стоимостью более 900 000 $ — через эти контракты. 

SentinelLABS отследил движение этих украденных средств через более чем два десятка вторичных адресов, придя к выводу, что средства отмывались.

Между тем, другие кошельки мошенников были менее успешными, но все же заметными, со средним притоком более 10 000 $ в ETH.

Все эти кошельки были связаны с различными видео или каналами YouTube, многие из которых имели управляемых ИИ рассказчиков и тщательно модерируемые разделы комментариев, которые отфильтровывали негативные отзывы, продвигая при этом сфабрикованные свидетельства успеха.

SentinelLABS также отметил, что аккаунты YouTube, используемые в мошенничестве, были старыми и ранее размещали плейлисты или видео, связанные с криптовалютой или поп-культурой. 

Согласно отчету, некоторые из этих аккаунтов, возможно, были куплены на онлайн-рынках, где старые каналы YouTube обычно продаются через группы Telegram ID или индексируемые поисковиками рынки.

Эта тактика старения помогает повысить видимость и доверие, затрудняя зрителям в большинстве случаев идентификацию злонамеренного вмешательства.

Что такое криптовалютные торговые боты на самом деле?

В легитимных условиях торговые боты — это алгоритмические инструменты, которые выполняют ордера на покупку или продажу на основе заранее установленных стратегий. Они часто способны работать на нескольких биржах, чтобы воспользоваться ценовыми неэффективностями или рыночными тенденциями, часто стремясь выполнять сделки быстрее, чем это мог бы сделать человек.

С появлением искусственного интеллекта эти приложения стали более адаптивными, эффективными и способными выполнять сложные стратегии в масштабе, и при правильном построении и проверке служат инструментами автоматизации для опытных трейдеров и учреждений, особенно в высокочастотных средах, таких как крипто.

Одна из известных категорий этих инструментов включает в себя боты MEV, которые пытаются извлечь ценность из упорядочивания транзакций внутри блоков. MEV означает Maximal Extractable Value, и эти боты отслеживают мемпулы блокчейна, чтобы стратегически опережать, следовать или "сэндвичить" законные транзакции пользователей. 

Хотя боты MEV технически законны, злоумышленники также вооружили их. Например, сэндвич-бот MEV "arsc" использовал автоматизированные стратегии для извлечения почти 30 миллионов $ у ничего не подозревающих пользователей Solana, опережая транзакции в реальном времени.

Предостережение для криптотрейдеров

SentinelLABS подчеркнул, что, хотя торговые боты имеют законное применение, инвесторы должны проявлять крайнюю осторожность, особенно когда исходный код поступает из видео в социальных сетях, обещающего нереалистичную прибыль.

"Для защиты от таких видов мошенничества криптотрейдерам рекомендуется избегать развертывания кода, рекламируемого через видео влиятельных лиц или посты в социальных сетях", — предупредил Деламоттеа, добавив, что "если предложение кажется слишком хорошим, чтобы быть правдой, обычно так оно и есть — особенно в мире криптовалют".