Как фейковые MEV-боты превращают криптотрейдеров в своих собственных жертв

«Гайды» в социальных сетях обещают создать приносящего прибыль MEV-бота всего за несколько строк кода, но в итоге оставляют ничего не подозревающего пользователя с опустошенным кошельком.

Web3 сталкивается с новой волной мошенничества, нацеленного на амбиции. Начинающие трейдеры ищут стратегии MEV или арбитража. MEV, или максимально извлекаемая ценность, — это дополнительная прибыль, которую трейдер может получить из блока, контролируя порядок транзакций в блокчейне. Они натыкаются на обучающие материалы, обещающие автоматическую прибыль, иногда с кодом, написанным ChatGPT. 

Суровая реальность настигает их в виде вредоносных, самоисполняющихся смарт-контрактов, которые крадут деньги с их счетов и переводят хакерам. Недавние отчеты показывают, что таким образом мошенникам удалось «заработать» более 900 000 долларов в украденной криптовалюте.

Эта афера относится к новому классу образовательного мошенничества, которое преподносится как урок по созданию скальпер-бота, хотя на самом деле является ловушкой. Жертвы развертывают контракт, который выглядит как торговый инструмент, пополняют его ETH, а затем вызывают функцию, опустошающую их счет. Злоумышленник никогда не прикасается к кошельку напрямую, поскольку жертва выполняет каждый технический шаг самостоятельно.

Фейковые MEV-уроки распространяются на крупных социальных платформах, где пользователи уже ищут образовательный контент по Web3. Качество производства часто соответствует легитимному торговому или девелоперскому контенту. Ведущие говорят на камеру, переключаются на демонстрацию экрана и показывают процесс развертывания в знакомом интерфейсе.

Социальное доказательство усиливает иллюзию подлинности. Разделы комментариев заполнены похвалой, а аккаунты отображают аватары, напоминающие реальных блогеров, и количество подписчиков, которое выглядит убедительно.

Настоящая опасность скрывается внутри шаблона смарт-контракта, ссылка на который находится под видео. Каждый урок предлагает немного отличающийся файл. Нетехнические пользователи видят сложный, но правдоподобный контракт на Solidity, опубликованный как открытый исходный код, и делают вывод, что создатель уже проделал всю сложную работу. Код часто появляется в виде фрагментов, распространяемых через Pastebin или Google Docs, а затем переносится в знакомые инструменты, такие как Remix IDE и Etherscan, для компиляции, развертывания и верификации.

В этом коде запрятана «мусорная» строка, которая кодирует кошелек злоумышленника и не похожа на стандартный шестнадцатеричный адрес. Например, строка типа QG384C1A318cE21D85F34A8D2748311EA2F91c84f0 не выглядит как обычный шестнадцатеричный адрес, но все же кодирует его.

Вспомогательные функции преобразуют ее в 40-символьную последовательность, которая представляет собой 20-байтовый адрес Ethereum. Функции с такими именами, как «executeTrades» или «_stringReplace», копируют строку, заменяют символы и собирают этот целевой адрес.

Мы обнаружили новую мошенническую схему с фейковым MEV-ботом.

Мошенники публикуют руководства на @YouTube, призывая пользователей развернуть «прибыльного бота» и внести $ETH. В этом конкретном случае жертва сначала отправила 1 $ETH, затем увидела фальшивую активность по получению прибыли, инсценированную злоумышленниками (небольшие поступления $ETH на контракт).… https://t.co/37khSJPH6J pic.twitter.com/Gobj240EyK

Основное назначение контракта — не торговля. Его логика реконструирует скрытый адрес и перенаправляет любой депонированный ETH на этот кошелек, при этом обфускация скрывает это поведение от случайной проверки, а видимые части кода продолжают имитировать легитимную MEV-стратегию.

После этой первоначальной «зацепки» — профессионально записанного видео — хакер объясняет, что делать, и ведет жертву через каждый шаг. Они показывают процесс в реальном времени и демонстрируют, как баланс на контракте, казалось бы, растет перед выводом средств. 

Жертва проверяет баланс контракта и видит, как он растет с 1 ETH до 1,1 ETH. Этот кажущийся прирост убеждает ее в том, что бот работает, и побуждает к более крупному депозиту.

Когда жертва выводит средства или вызывает предопределенную функцию, контракт запускает функцию вывода средств, которая переводит весь баланс (1 ETH жертвы плюс 0,1 ETH приманки) на кошелек мошенника.

Ловушка захлопывается, когда жертва взаимодействует с функциями контракта. Метки, такие как Start, Stop и Withdraw, напоминают элементы управления ботом, но каждая версия мошенничества направляет вывод средств по разному пути. Некоторые контракты перемещают средства сразу после вызова Start, в то время как другие запускают вывод только при использовании Stop или Withdraw после периода кажущейся прибыли. Злоумышленники также отслеживают развернутые контракты и вызывают отдельную функцию, если средства простаивают на контракте, который никогда не достигает финального шага.

Традиционные средства безопасности испытывают трудности с фейковыми MEV-ботами, потому что внешние сигналы выглядят безобидно. Жертвы сами развертывают код контракта, поэтому истории транзакций не показывают вредоносных аирдропов или классических фишинговых схем. Контракт корректно верифицируется на Etherscan, Remix и MetaMask обрабатывают развертывание и взаимодействие так же, как и с любым другим децентрализованным приложением (DApp), поэтому весь процесс выглядит как стандартное развертывание с открытым исходным кодом. 

Классические антифишинговые фильтры и сканеры транзакций сосредоточены на подозрительных URL-адресах или одобрениях токенов, в то время как фейковые MEV-боты переносят риск во внутреннюю логику контракта. Только обнаружение во время выполнения и аналитика адресов могут выявить скрытые паттерны внутри таких контрактов до их исполнения.

Web3 Antivirus полагается на поведенческий анализ в сочетании с аналитикой кода и адресов. Его процесс обнаружения проходит несколько этапов:

Обнаружение подозрительных контрактов: Он отслеживает жизненный цикл каждого контракта и его создателя. Ключевой тревожный сигнал появляется, когда создатель пополняет контракт, а затем вызывает функцию, которая выводит весь баланс на сторонний адрес. Когда этот паттерн обнаруживается, система помечает контракт и связанные адреса как потенциальную аферу и записывает байт-код контракта.

Подтверждение мошенничества: Если более двух аналогичных событий вывода средств связаны с одним и тем же байт-кодом контракта, Web3 Antivirus классифицирует контракт как подтвержденное мошенничество. Система помечает контракт, его байт-код, пострадавших жертв и адрес, получивший средства.

Обновление базы данных: Платформа добавляет подтвержденные мошеннические байт-коды в свою базу данных и проверяет каждое новое создание контракта по этой библиотеке. Когда любой контракт выводит средства, система сравнивает адрес назначения с известными кластерами мошеннических адресов. Этот процесс применяет накопленные данные к новым транзакциям, контрактам и адресам.

Расширение для браузера предоставляет эту информацию в точке использования. Расширение перехватывает транзакции, анализирует целевой контракт и проверяет его байт-код на соответствие известным паттернам. Оно работает незаметно в фоновом режиме и выдает предупреждения до того, как произойдут высокорисковые взаимодействия, поэтому большинство участников получают защиту, не требуя глубоких знаний в области безопасности.

Пользователь потерял почти 3 $ETH (10 393 доллара) после просмотра фейкового урока по MEV-боту на YouTube.

Жертва развернула вредоносный контракт:https://t.co/Fm7icQntrT

Затем жертва пополнила контракт и запустила функцию «start», думая, что это принесет прибыль. pic.twitter.com/GQfVX7apom

Логика обнаружения остается эффективной, даже когда злоумышленники изменяют внешние детали в коде, потому что система сосредоточена на поведенческих сигнатурах и повторяющихся потоках вывода средств. База данных продолжает расширяться по мере появления новых мошеннических схем, и это непрерывное обучение помогает обычным пользователям избегать новых вариантов, которые имеют общую структуру с более ранними атаками.

Фейковые MEV-боты наглядно демонстрируют быструю адаптацию злоумышленников к новым возможностям в Web3. Образовательный контент стал одним из самых мощных векторов атак. Контракт выглядит созданным пользователем, инструменты кажутся стандартными, а видимые действия включают обычные шаги развертывания.

Реактивная безопасность в этой среде недостаточна. Защита должна предвидеть, что контракт предназначен делать, прежде чем через него пройдут большие объемы ценности. Web3 Antivirus стремится устранить этот пробел посредством непрерывного мониторинга, аналитики байт-кода и анализа транзакций в реальном времени. По мере развития схем с фейковыми MEV-ботами, такие поведенческие инструменты обеспечивают критически важный уровень защиты для обычных участников крипторынков.

Отказ от ответственности. Cointelegraph не одобряет какой-либо контент или продукт на этой странице. Хотя мы стремимся предоставить вам всю важную информацию, которую мы могли получить в этой спонсируемой статье, читатели должны провести собственное исследование, прежде чем предпринимать какие-либо действия, связанные с компанией, и несут полную ответственность за свои решения, и эта статья не может рассматриваться как инвестиционный совет.