Mev bot truffaldini che mimetizzano ChatGPT: cảnh báo của SlowMist

Một chiến thuật lừa đảo cũ trong giao dịch tự động lại xuất hiện trở lại với một hình thức mới. Những kẻ lừa đảo lợi dụng làn sóng hào hứng xung quanh trí tuệ nhân tạo để thúc đẩy các trò lừa dựa trên mev bot, đổi tên chúng để khiến người dùng nghĩ rằng chúng sử dụng các công nghệ AI phổ biến nhất. Theo công ty an ninh blockchain SlowMist, các mô hình lừa đảo này đang thu hút ngày càng nhiều nạn nhân, thậm chí cả khi đã đổi nhãn hiệu.

Cách ChatGPT trở thành mồi nhử hoàn hảo cho mev bot

Trước đây, các robot lừa đảo này được giới thiệu là “Uniswap Arbitrage MEV Bot”, hứa hẹn lợi nhuận qua việc tự động theo dõi các token mới và biến động giá. Ngày nay, phương pháp vẫn giống nhau, nhưng tên gọi đã thay đổi thành: “ChatGPT Arbitrage MEV Bot”. Việc đổi thương hiệu này không phải ngẫu nhiên. Bằng cách thêm nhãn ChatGPT vào tên, các kẻ xấu có thể thu hút sự chú ý và khiến chúng trông đáng tin hơn trong mắt các trader chưa có nhiều kinh nghiệm.

Những hacker tuyên bố rằng mã của bot được tạo ra bởi ChatGPT, cho rằng điều này đảm bảo an toàn cho công cụ. Chiến lược này của kỹ thuật xã hội đặc biệt hiệu quả trong việc xóa bỏ nghi ngờ của người dùng về các ý định xấu tiềm ẩn trong mã.

Mô hình kỹ thuật: từ ví MetaMask đến trộm cắp qua hợp đồng thông minh

Phương pháp hoạt động khá tinh vi nhưng được cấu trúc rõ ràng. Những kẻ lừa đảo thu hút người dùng bằng lời hứa về một robot giao dịch thông minh có thể tạo ra lợi nhuận ổn định chỉ bằng cách theo dõi các biến động thị trường trên Ethereum. Nạn nhân được hướng dẫn tạo ví MetaMask và nhấp vào một liên kết lừa đảo dẫn đến nền tảng mã nguồn mở Remix.

Sau khi mã độc đã được sao chép và bot phân phối trên blockchain, người dùng sẽ được yêu cầu “kích hoạt” công cụ bằng cách gửi ETH vào hợp đồng thông minh. Lời hứa đơn giản: càng gửi nhiều tiền, lợi nhuận sẽ càng lớn. Khi trader tự tin nhấn “bắt đầu” để khởi động hệ thống, điều xảy ra hoàn toàn khác: ETH biến mất ngay lập tức.

Các khoản tiền không đi vào bất kỳ thuật toán giao dịch nào. Chúng được chuyển trực tiếp vào ví của kẻ lừa đảo qua một lối backdoor được mã hóa trong chính hợp đồng thông minh. Từ đó, số tiền bị đánh cắp nhanh chóng được chuyển đến các sàn giao dịch tiền mã hóa hoặc địa chỉ lưu trữ tạm thời, khiến việc truy vết gần như không thể.

Hơn $130.000 bị đánh cắp: chiến lược “mạng lưới rộng”

SlowMist đã xác định ít nhất ba địa chỉ của các kẻ lừa đảo hoạt động bằng các kỹ thuật này. Các số liệu gây sốc: một địa chỉ đã lấy đi 30 ETH (hơn $78.000 vào thời điểm đó) từ hơn 100 nạn nhân kể từ tháng 8. Hai địa chỉ còn lại mỗi địa chỉ đã trộm 20 ETH (khoảng $52.000) từ 93 nạn nhân.

Điều đáng chú ý không chỉ là số tiền tổng cộng mà còn là phương pháp. Những kẻ lừa đảo không nhắm vào các vụ trộm lớn từ từng nạn nhân riêng lẻ. Thay vào đó, họ áp dụng “chiến lược mạng lưới rộng”: trộm số lượng nhỏ từ rất nhiều người. Chiến lược này có tính toán kỹ lưỡng: thiệt hại cá nhân nhỏ đến mức phần lớn nạn nhân quyết định rằng việc pháp lý và kỹ thuật để lấy lại tiền vượt quá giá trị của số tiền đó. Do đó, tội phạm tiếp tục hoạt động không bị cản trở, thường chỉ đổi tên lừa đảo khi tên cũ thu hút quá nhiều chú ý.

Các dấu hiệu cảnh báo trong các video quảng cáo trên YouTube

Internet, đặc biệt là YouTube, tràn ngập các video quảng cáo chính xác về những mev bot lừa đảo này. Việc nhận biết các dấu hiệu của một trò lừa đảo trở nên cực kỳ quan trọng. SlowMist chỉ ra một số chỉ số chính: video và âm thanh không đồng bộ có thể là dấu hiệu đầu tiên (bộ phim đã được tái sử dụng từ nguồn khác), hoặc các đoạn video rõ ràng đã được dùng lại mà không chỉnh sửa.

Một dấu hiệu cảnh báo khác là phần bình luận của các video lừa đảo: bạn sẽ thấy số lượng bình luận khen ngợi và cảm ơn bất thường ở đầu chuỗi, sau đó là các cập nhật sau này nơi người dùng tố cáo bị lừa. Những bình luận này, thường bị các kẻ lừa đảo xóa bỏ sau đó, tiết lộ bản chất thực của mô hình.

Việc cảnh giác với các chi tiết này có thể tạo ra sự khác biệt giữa việc bảo vệ tài sản của chính mình và trở thành nạn nhân của các hoạt động tội phạm này, vốn dù đổi tên và diện mạo vẫn giữ nguyên cách thức hoạt động của chúng.