Yapay Zeka Üretimli YouTube Videoları, Kötü Amaçlı MEV Bot Dolandırıcılıkları Aracılığıyla 1 Milyon Doların Üzerinde Kripto Hırsızlığını Kolaylaştırıyor

Yönetici Özeti

SentinelLABS, AI tarafından oluşturulan YouTube videolarını kullanarak kötü amaçlı MEV ticaret botları olarak gizlenmiş akıllı sözleşmeleri tanıtan gelişmiş dolandırıcılıklar aracılığıyla kripto kullanıcılarından 1 milyon dolardan fazla para çalındığını bildirdi ve bu durum, Web3 güvenlik açıklarındaki artışı vurguladı.

Olay Detayı

SentinelLABS, kullanıcılardan 1 milyon doların üzerinde çalınmasına neden olan bir dizi kripto para dolandırıcılığını detaylandıran bir rapor yayınladı. Saldırganlar, yüksek karlı Maksimal Çıkarılabilir Değer (MEV) ticaret botları olarak sunulan kötü amaçlı akıllı sözleşmeleri tanıtmak için AI tarafından oluşturulmuş YouTube videoları kullandılar. Bu videolar, kurbanlara Remix Solidity Derleyici platformunu kullanarak akıllı sözleşmeleri dağıtmalarını, bunlara Ethereum (ETH) ile para yatırmalarını ve bir “Start()” işlevini başlatmalarını talimat verdi. Kampanya, aldatıcı bir meşruiyet duygusu yaratmak için alakalı olmayan içerikle doldurulmuş eski YouTube hesaplarını ve manipüle edilmiş yorum bölümlerini kullandı. Bazı videolar liste dışıydı, bu da Telegram veya doğrudan mesajlar gibi özel kanallar aracılığıyla dağıtımı düşündürüyordu. AI tarafından oluşturulan avatarların ve seslerin kullanılması içerik üretimini kolaylaştırdı ve saldırganların dolandırıcılık faaliyetlerini etkin bir şekilde ölçeklendirmesine olanak tanıdı.

Finansal Mekanizmalar

Dolandırıcılığın merkezinde, kullanıcı cüzdanlarını boşaltmak için tasarlanmış kötü amaçlı bir akıllı sözleşme vardı. Kurbanlara, farkında olmadan yatırılan fonlarını gizli, saldırgan kontrolündeki bir cüzdana yönlendiren bu sözleşmeyi dağıtmaları talimat verildi. Dolandırıcılar, sözleşmenin kodundaki fonların gerçek hedef adresini maskelemek için XOR karartma ve büyük ondalık-onaltılık dönüşümler dahil olmak üzere gelişmiş karartma teknikleri kullandılar. SentinelLABS, şüphelenmeyen dağıtıcılardan yaklaşık 902.000 dolar değerinde 244.9 ETH biriktiren özellikle başarılı bir adres olan 0x8725…6831'i tespit etti. Ayrıca, sözleşmeler, kurban ana “Start()” işlevini etkinleştirmese bile saldırganın yatırılan fonları çekmesine izin veren geri dönüş mekanizmaları ile tasarlanmış olup, varlık yönetimi güvenlik açıklarını garanti altına almıştır. Bir EVM bayt kodu analiz aracı olan skanf tarafından yapılan bağımsız araştırma, bu tür bir karartmanın güvenliği artırmak yerine genellikle kritik güvenlik açıklarını gizlediğini ortaya koydu. skanf, 1.028 sözleşmede güvenlik açıkları tespit etti ve bunlardan 373'ü için başarıyla istismarlar oluşturarak potansiyel kayıpların 9.0 milyon doları aşmasına neden oldu. Ek olarak, skanf tarafından ortaya çıkarılan 40 gerçek dünya MEV bot saldırısı toplu olarak 900.000 dolar kayıpla sonuçlandı ve bu gelişmiş istismarların yaygınlığını ve finansal etkisini vurguladı.

İş Stratejisi ve Pazar Konumlandırması

Bu dolandırıcılıklar, Web3 ekosistemi içinde siber suç stratejisinde gelişmiş bir evrimi temsil etmektedir. Sosyal mühendislik yoluyla insan güvenlik açıklarını sömürerek ve video üretimi için yapay zeka gibi kolayca bulunabilen teknolojileri kullanarak, saldırganlar düşük maliyetle güvenilir görünen içeriği hızla dağıtabilirler. Eski YouTube hesapları kullanma ve yorum bölümlerini düzenleme taktiği, ilk incelemeyi atlatmak ve yanlış bir güven duygusu oluşturmak için hesaplanmış bir çabadır ve çeşitli dijital platformlarda gözlemlenen yerleşik kimlik avı ve sosyal mühendislik modellerini yansıtır. Bu yaklaşım, şeffaflığa ve doğrulanabilir denetimlere dayanan meşru projelerle keskin bir tezat oluşturmaktadır. Bu yöntemlerin etkinliği, kullanıcı eğitimi ve platform moderasyonunun gelişen tehditlere ayak uydurmakta zorlandığı bir pazarı vurgulamaktadır.

Piyasa Etkileri

Bu olay, kripto alanında önemli ve büyüyen bir tehdit vektörünü vurgulamakta, potansiyel olarak kullanıcı güvenini aşındırmakta ve gelişmiş güvenlik önlemleri ile kullanıcı eğitimi gerektirmektedir. AI tarafından oluşturulan içeriğin bu tür dolandırıcılıkları kolaylaştırmak için kolayca kullanılabilmesi, AI'nın finansal tanıtımdaki rolüne ilişkin daha sıkı bir incelemeye yol açabilir ve YouTube gibi platformları kripto para birimiyle ilgili içeriğe yönelik içerik denetleme politikalarını sıkılaştırmaya teşvik edebilir. Hacken 2025 Yarı Yıl Web3 Güvenlik Raporu, 2025'in ilk yarısında 3.1 milyar dolar değerinde dijital varlığın çalındığını, bunun 2024'ün tamamını aştığını belirtmektedir. Bu rakam, erişim kontrolü ihlallerinin (olayların 1.83 milyar doları veya %59'u) ve akıllı sözleşme kusurlarının (kayıpların 263 milyon doları veya %8'inden sorumlu) kritik güvenlik açıkları olarak kaldığı daha geniş bir eğilimi vurgulamaktadır. Akıllı sözleşme güvenlik açıklarını ve sosyal mühendislik taktiklerini sömüren dolandırıcılıkların çoğalması, Web3 için güvenlik ortamının hala oldukça zorlayıcı olduğunu göstermektedir.

Uzman Yorumu

SentinelLABS araştırmacıları, kullanıcılara "sosyal medyada reklamı yapılan ücretsiz botları, özellikle de manuel akıllı sözleşme dağıtımını içerenleri dağıtmaktan kaçınmaları" konusunda açıkça uyarıda bulundu. Ayrıca, "her sözleşmenin mağdurun cüzdanını ve gizli bir saldırgan EOA'sını (harici olarak sahip olunan hesap) ortak sahip olarak ayarladığını" ve "mağdur ana işlevi etkinleştirmese bile geri dönüş mekanizmalarının saldırganın yatırılan fonları çekmesine izin verdiğini" belirterek yırtıcı tasarımın derinliğini ortaya koydular. Uzmanlar, Web3 güvenliğindeki en zayıf halkanın genellikle kriptografik sorunlardan ziyade insan güvenlik açıklarında yattığını vurgulamakta ve doğrulanmamış sosyal medya aracılığıyla tanıtılan ticaret araçları konusunda son derece dikkatli olunmasını tavsiye etmektedirler.

Daha Geniş Bağlam

AI tarafından oluşturulan dolandırıcılık videolarının yükselişi, kripto topluluğunu hedef alan gelişmiş siber tehditlerdeki daha geniş bir artışla uyumludur. 2024'ten elde edilen veriler, sosyal medya platformlarının kripto dolandırıcılık planlarının %53'ü ile bağlantılı olduğunu ortaya koyarken, AI tarafından oluşturulan derin sahtekarlık dolandırıcılıkları 2023 ile 2025 arasında %900 arttı. Kimlik avı saldırıları, 2024'te kripto dolandırıcılık vakalarının %31'ini oluşturan en yaygın taktik olmaya devam ederek, dijital varlık ortamında devam eden güvenlik açıklarını göstermektedir. Kripto para birimi dolandırıcılık vakalarında mağdur başına ortalama kayıp 2024'te 12.400 dolara yükselirken, 2025 için tahminler ortalama kaybın 38.000 dolar olacağını öngörmekte olup, dünya çapındaki kripto yatırımcıları için hızla artan bir finansal riske işaret etmektedir. Bu devam eden eğilim, hızla gelişen Web3 ortamında gelişmiş güvenlik protokolleri, proaktif platform moderasyonu ve sürekli kullanıcı eğitiminin acil ihtiyacını vurgulamaktadır.