به گفته شرکت امنیت سایبری سنتینل لبز (SentinelLABS)، کلاهبرداران از حسابهای قدیمی یوتیوب برای تبلیغ یک ربات تریدر ارز دیجیتال استفاده کردهاند که در واقع حاوی قرارداد هوشمندی مخرب است و برای سرقت ارز دیجیتال طراحی شده است.
الکس دلاموتا (Alex Delamottea)، پژوهشگر ارشد در سنتینللبز، در گزارشی اعلام کرد این کلاهبرداری از سال ۲۰۲۴ بهطور گسترده و مداوم ادامه داشته و از طریق ویدیوهایی در یوتیوب که در شبکههای اجتماعی منتشر شدهاند گسترش یافته است. این ویدیوها ضمن ارائه نکات آموزشی، کدی را در اختیار کاربران قرار میدهند تا یک ربات تریدر بر بستر قرارداد هوشمند پیادهسازی کنند.
بهمحض پیادهسازی این قرارداد، آدرس کیف پول مهاجم بهصورت مخفی و در قالب آدرس معاملاتی وارد قرارداد میشود. زمانی که قربانی قرارداد را شارژ میکند، مهاجم امکان دسترسی و تخلیه وجوه را به دست میآورد. شرط لازم برای وقوع این کلاهبرداری، واریز وجه به قرارداد از سوی قربانی است.
دلاموتا میگوید:
اکوسیستم رمزارزها روزبهروز پیچیدهتر میشود و کلاهبرداریهایی از این دست، قربانیانی را هدف قرار میدهند که ابزارهای مرتبط را بهطور کامل تحلیل و بررسی نمیکنند و نمیدانند ورودیها و خروجیهای آنها دقیقاً چه چیزهایی هستند.
در این کلاهبرداری، به قربانیان توصیه میشود که حداقل ۰.۵ اتریوم (معادل ۱۸۲۹ دلار) واریز کنند تا هزینه گس پرداخت شده و سود احتمالی نیز بهاندازهای باشد که انجام آن معامله منطقی به نظر برسد. دلاموتا در تحقیقات خود به مواردی اشاره کرده که در آنها یکی از کیف پولهای کلاهبردار ۷.۵۹ اتریوم، دیگری ۴.۱۹ اتریوم و سومی ۲۴۴.۹ اتریوم دریافت کردهاند. مجموع این مبالغ بیش از ۹۳۹ هزار دلار ارزش دارد.
او افزود:
مشاهده کردهایم که یک کیف پول مشخص در چند قرارداد هوشمند به کار رفته، اما از طرفی تعداد زیادی آدرس منحصربهفرد دیگر نیز وجود دارند. بنابراین نمیتوان با اطمینان گفت که چه تعدادی از افراد پشت این کلاهبرداری هستند.
تمام حسابهای یوتیوبی که این کلاهبرداری را انجام دادهاند، حسابهایی قدیمی هستند که سابقه انتشار اخبار رمزارز، نکات سرمایهگذاری یا محتوای عامهپسند داشتهاند تا اعتبار و رتبه بالایی نزد یوتیوب کسب کنند.
مشخص نیست که آیا کلاهبرداران این حسابها را خودشان ساختهاند یا از بازارهایی مانند تلگرام آنها را خریداری کردهاند.
دلاموتا همچنین عنوان کرد که برخی از این ویدیوها نشانههایی از تولید توسط هوش مصنوعی دارند؛ چه در صدا و چه در تصویر. این موضوع ساخت محتوای جعلی را برای مهاجمان بسیار سادهتر کرده است، چرا که نیازی به هویتسازی جدید ندارند.
در بخش نظرات این ویدیوها، دیدگاههای منفی حذف میشوند و بهجای آن، نظراتی ظاهر میشود که ادعا میکنند از این ربات سود گرفتهاند. دلاموتا معتقد است که گردانندگان این کانالها، بخش نظرات را مدیریت میکنند تا هرگونه نظر منفی حذف شود. در مقابل، کاربران آگاهتر برای یافتن واقعیت ماجرا به پلتفرمهایی مثل ردیت (Reddit) مراجعه میکنند.
دلاموتا میگوید:
این نوع کلاهبرداریها به دلیل اثربخشی بالا در حال افزایش هستند. به همین دلیل، کاربران رمزارز باید نسبت به ابزارهای معاملاتی معرفیشده در شبکههای اجتماعی یا ویدیوهای ناشناس بسیار محتاط باشند.
او در ادامه تأکید کرد که برای محافظت در برابر این نوع تهدیدات، نباید هیچگونه کدی را که از طریق ویدیوها یا پستهای شبکههای اجتماعی معرفی میشود، اجرا کرد؛ بهخصوص اگر وعده سود سریع و بدون زحمت داده شده باشد.
به گفته دلاموتا:
پیش از استفاده از هر ابزار، باید عملکرد آن را بررسی و تأیید کرد و نسبت به هر پیشنهاد غیرواقعی و وسوسهبرانگیز که نوید سود بالا بدون ریسک میدهد، شک داشت.
نظرات کاربران