O SentinelLABS expôs uma série sofisticada de golpes de criptomoeda em que os agentes de ameaças distribuem contratos inteligentes maliciosos disfarçados de bots de negociação automatizados, resultando na drenagem de carteiras de usuários superiores a US$ 900.000.
Esses golpes aproveitam o código Solidity ofuscado implantado em plataformas como o Remix Solidity Compiler, visando ecossistemas baseados em Ethereum.
As campanhas, ativas desde o início de 2024, empregam contas antigas do YouTube para disseminar vídeos instrutivos que orientam as vítimas na implantação dos contratos armados.
Esses vídeos, geralmente gerados por IA com cadências de áudio não naturais e elementos visuais estáticos, criam um verniz de legitimidade ao selecionar seções de comentários para suprimir feedback negativo e promover endossos positivos.
Campanha de fraude de criptomoeda
Os atores gerenciam esses canais postando conteúdo não relacionado, como listas de reprodução de notícias de criptomoedas ou compilações de cultura pop, para aumentar a credibilidade da conta e a classificação algorítmica.
Em um caso proeminente, um vídeo de @Jazz_Braze acumulou mais de 387.000 visualizações, gerando os maiores lucros sem artefatos de IA evidentes, sugerindo uma mistura de métodos de produção humanos e automatizados para detecção de evasão.
A estratégia de distribuição envolve links para sites externos que hospedam o código malicioso, instruindo os usuários a financiar o contrato implantado com pelo menos 0,5 ETH para cobrir taxas de gás e supostas operações de arbitragem.
As vítimas são atraídas com promessas de renda passiva por meio de bots de Valor Extraível Máximo (MEV), que supostamente exploram discrepâncias de preços em exchanges descentralizadas.
No entanto, após a implantação e o financiamento, o contrato inicializa funções como Start() ou StartNative(), que desobstruem a EOA (Conta de Propriedade Externa) do invasor e roteiam os fundos de acordo.
Mesmo sem invocação explícita, os mecanismos de failover integrados permitem que os invasores retirem ativos, garantindo altas taxas de sucesso.
Canais como @todd_tutorials e @SolidityTutorials exibem características de IA, incluindo narração robótica e sincronização labial desalinhada, enquanto selecionam comentários extremamente positivos por meio das ferramentas de moderação do YouTube.
Essa manipulação, combinada com vídeos não listados compartilhados por meio de plataformas como o Telegram, amplifica o alcance e a urgência, muitas vezes enquadrando os bots como ofertas gratuitas por tempo limitado.
Análise Técnica de Exploração
No centro desses golpes estão os contratos inteligentes da Solidity, que empregam ofuscação avançada para ocultar EOAs controlados pelo invasor, complicando a análise estática e o escrutínio da vítima.
As variações incluem operações XOR em constantes de 32 bytes (por exemplo, DexRouter e fábrica) para derivar endereços por meio de expressões como address(uint160(uint256(a) ^ uint256(b))), concatenação de string de fragmentos de endereço e conversão de grandes decimais de 256 bits em tipos uint160, mascarando efetivamente os endereços Ethereum.
De acordo com o relatório, Um EOA recorrente, 0x872528989c4D20349D0dB3Ca06751d83DC86D831, aparece em vários contratos usando XOR, fazendo interface com declarações como DexInterface para calcular endereços de roteador e facilitar transferências de fundos.
A implantação define dois proprietários: a carteira da vítima e o invasor oculto EOA, permitindo uma drenagem perfeita após o financiamento.
A análise da transação revela eficácia variável: um EOA de @SolidityTutorials rendeu 4,19 ETH (~ $ 15.000 USD), enquanto @todd_tutorials rendeu 7,59 ETH (~ $ 28.000 USD).
O outlier, vinculado ao @Jazz_Braze, acumulou 244,9 ETH (~ $ 902.000 USD), canalizados para endereços secundários para lavagem.
Essas operações ressaltam os riscos no espaço Web3, onde o código não verificado das mídias sociais pode explorar a imutabilidade do blockchain.
Os usuários de criptomoedas devem auditar rigorosamente os contratos inteligentes, evitando implantações apressadas promovidas por meio de conteúdo de influenciadores, pois a proliferação de ferramentas de IA e contas antigas compráveis reduz as barreiras para os adversários.
Esses golpes destacam a interseção de Engenharia social e engano técnico em criptomoeda, pedindo validação de entradas, saídas e comportamentos on-chain antes do engajamento.
Indicadores de comprometimento
| Tipo | Valor | Nota |
|---|---|---|
| Solidez SHA-1 | 2923cdf2caba3a92e0ea215d14343ce73e8f08a5 | Contrato JazzBraze |
| Solidez SHA-1 | f0a34770f03428c8abc9e73df93263f10f8320b1 | Contrato SolidityTutorials |
| URL | hxxps://codeshare[.]io/0bV94e | Jazz_Braze host de código |
| URL | hxxps://pastebin[.]com/raw/8Yar7QyU | Host de código ToddTutorials |
| EOA | 0x872528989c4D20349D0dB3Ca06751d83DC86D831 | Endereço do invasor do JazzBraze |
| EOA | 0x7359EA6AA3343b3238171e76F97e6aA3cDB8d696 | Endereço do invasor SolidityTutorials |
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça