Lebih dari $1 juta telah disedot dari pengguna crypto yang tidak curiga melalui smart contract jahat yang menyamar sebagai bot perdagangan MEV, menurut laporan baru oleh SentinelLABS.
Kampanye ini memanfaatkan video YouTube yang dihasilkan oleh AI, akun yang sudah berumur, dan kode Solidity yang disembunyikan untuk menghindari pengawasan pengguna yang dasar dan mendapatkan akses ke dompet kripto.
Penipu tampaknya menggunakan avatar dan suara yang dihasilkan oleh AI untuk mengurangi biaya produksi dan meningkatkan skala konten video.
Tutorial ini dipublikasikan di akun YouTube yang sudah tua yang dipenuhi dengan konten yang tidak terkait dan bagian komentar yang dimanipulasi untuk memberikan ilusi kredibilitas. Dalam beberapa kasus, video tersebut tidak terdaftar dan kemungkinan didistribusikan melalui Telegram atau DM.
Di pusat penipuan adalah smart contract yang dipromosikan sebagai bot arbitrase yang menguntungkan. Korban diarahkan melalui tutorial YouTube untuk menerapkan kontrak tersebut menggunakan Remix, mendanainya dengan ETH, dan memanggil fungsi “Start()”.
Namun, pada kenyataannya, kontrak tersebut mengalihkan dana ke dompet yang tersembunyi dan dikendalikan oleh penyerang, menggunakan teknik seperti obfuscation XOR ( yang menyembunyikan data dengan mengacaknya dengan nilai lain ) dan konversi desimal-ke-hex besar ( yang mengubah angka besar menjadi format alamat yang dapat dibaca dompet ) untuk menyembunyikan alamat tujuan ( yang membuat pemulihan dana menjadi lebih rumit ).
Alamat yang paling sukses teridentifikasi — 0x8725...6831 — menarik 244,9 ETH ( sekitar $902,000) melalui setoran dari pengembang yang tidak curiga. Dompet itu terhubung dengan tutorial video yang diposting oleh akun @Jazz_Braze, masih tayang di YouTube dengan lebih dari 387,000 tampilan.
"Setiap kontrak menetapkan dompet korban dan EOA penyerang yang tersembunyi sebagai pemilik bersama," kata peneliti SentinelLABS. "Bahkan jika korban tidak mengaktifkan fungsi utama, mekanisme cadangan memungkinkan penyerang untuk menarik dana yang disetorkan."
Dengan demikian, keberhasilan penipuan ini telah luas tetapi tidak merata. Sementara sebagian besar dompet penyerang menghasilkan empat hingga lima angka, hanya satu ( yang terkait dengan Jazz_Braze) yang melebihi nilai $900K. Dana kemudian dipindahkan secara massal ke alamat sekunder, kemungkinan untuk lebih memecah jejak.
Sementara itu, SentinelLABS memperingatkan pengguna untuk menghindari penerapan "bot gratis" yang diiklankan di media sosial, terutama yang melibatkan penerapan smart contract manual. Perusahaan menekankan bahwa bahkan kode yang diterapkan di testnet harus ditinjau dengan teliti, karena taktik serupa dapat dengan mudah bermigrasi antar rantai.
Baca selengkapnya: Kegagalan Multisig Mendominasi saat $3,1B Hilang dalam Peretasan Web3 di Paruh Pertama
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Bot Perdagangan yang Dipersenjatai Menguras $1M dari Pengguna Kripto melalui Penipuan YouTube yang Dihasilkan AI
Lebih dari $1 juta telah disedot dari pengguna crypto yang tidak curiga melalui smart contract jahat yang menyamar sebagai bot perdagangan MEV, menurut laporan baru oleh SentinelLABS.
Kampanye ini memanfaatkan video YouTube yang dihasilkan oleh AI, akun yang sudah berumur, dan kode Solidity yang disembunyikan untuk menghindari pengawasan pengguna yang dasar dan mendapatkan akses ke dompet kripto.
Penipu tampaknya menggunakan avatar dan suara yang dihasilkan oleh AI untuk mengurangi biaya produksi dan meningkatkan skala konten video.
Tutorial ini dipublikasikan di akun YouTube yang sudah tua yang dipenuhi dengan konten yang tidak terkait dan bagian komentar yang dimanipulasi untuk memberikan ilusi kredibilitas. Dalam beberapa kasus, video tersebut tidak terdaftar dan kemungkinan didistribusikan melalui Telegram atau DM.
Di pusat penipuan adalah smart contract yang dipromosikan sebagai bot arbitrase yang menguntungkan. Korban diarahkan melalui tutorial YouTube untuk menerapkan kontrak tersebut menggunakan Remix, mendanainya dengan ETH, dan memanggil fungsi “Start()”.
Namun, pada kenyataannya, kontrak tersebut mengalihkan dana ke dompet yang tersembunyi dan dikendalikan oleh penyerang, menggunakan teknik seperti obfuscation XOR ( yang menyembunyikan data dengan mengacaknya dengan nilai lain ) dan konversi desimal-ke-hex besar ( yang mengubah angka besar menjadi format alamat yang dapat dibaca dompet ) untuk menyembunyikan alamat tujuan ( yang membuat pemulihan dana menjadi lebih rumit ).
Alamat yang paling sukses teridentifikasi — 0x8725...6831 — menarik 244,9 ETH ( sekitar $902,000) melalui setoran dari pengembang yang tidak curiga. Dompet itu terhubung dengan tutorial video yang diposting oleh akun @Jazz_Braze, masih tayang di YouTube dengan lebih dari 387,000 tampilan.
"Setiap kontrak menetapkan dompet korban dan EOA penyerang yang tersembunyi sebagai pemilik bersama," kata peneliti SentinelLABS. "Bahkan jika korban tidak mengaktifkan fungsi utama, mekanisme cadangan memungkinkan penyerang untuk menarik dana yang disetorkan."
Dengan demikian, keberhasilan penipuan ini telah luas tetapi tidak merata. Sementara sebagian besar dompet penyerang menghasilkan empat hingga lima angka, hanya satu ( yang terkait dengan Jazz_Braze) yang melebihi nilai $900K. Dana kemudian dipindahkan secara massal ke alamat sekunder, kemungkinan untuk lebih memecah jejak.
Sementara itu, SentinelLABS memperingatkan pengguna untuk menghindari penerapan "bot gratis" yang diiklankan di media sosial, terutama yang melibatkan penerapan smart contract manual. Perusahaan menekankan bahwa bahkan kode yang diterapkan di testnet harus ditinjau dengan teliti, karena taktik serupa dapat dengan mudah bermigrasi antar rantai.
Baca selengkapnya: Kegagalan Multisig Mendominasi saat $3,1B Hilang dalam Peretasan Web3 di Paruh Pertama
Lihat Komentar