Video YouTube do AI tạo điều kiện thuận lợi cho việc trộm cắp tiền điện tử hơn 1 triệu đô la thông qua các vụ lừa đảo bot MEV độc hại

Tóm tắt điều hành

SentinelLABS báo cáo rằng hơn 1 triệu đô la đã bị đánh cắp từ người dùng tiền điện tử thông qua các vụ lừa đảo tinh vi sử dụng video YouTube do AI tạo ra để quảng bá các hợp đồng thông minh độc hại được ngụy trang thành bot giao dịch MEV, nhấn mạnh các lỗ hổng bảo mật Web3 ngày càng tăng.

Chi tiết sự kiện

SentinelLABS đã phát hành một báo cáo chi tiết về một loạt các vụ lừa đảo tiền điện tử đã dẫn đến việc người dùng bị mất hơn 1 triệu đô la. Những kẻ tấn công đã sử dụng video YouTube do AI tạo để quảng cáo các hợp đồng thông minh độc hại, được trình bày dưới dạng bot giao dịch Giá trị có thể trích xuất tối đa (MEV) có lợi nhuận cao. Các video này hướng dẫn nạn nhân triển khai các hợp đồng thông minh bằng nền tảng Remix Solidity Compiler, nạp tiền vào chúng bằng Ethereum (ETH) và khởi tạo hàm “Start()”. Chiến dịch đã lợi dụng các tài khoản YouTube cũ chứa nội dung không liên quan và các phần bình luận bị thao túng để tạo ra một cảm giác hợp pháp sai lầm. Một số video không được liệt kê, cho thấy việc phân phối thông qua các kênh riêng tư như Telegram hoặc tin nhắn trực tiếp. Việc sử dụng hình đại diện và giọng nói do AI tạo ra đã hợp lý hóa việc sản xuất nội dung, cho phép những kẻ tấn công mở rộng các hoạt động gian lận của chúng một cách hiệu quả.

Cơ chế tài chính

Cốt lõi của vụ lừa đảo là một hợp đồng thông minh độc hại được thiết kế để rút tiền từ ví người dùng. Nạn nhân được hướng dẫn triển khai hợp đồng này, mà họ không hề hay biết, đã chuyển tiền gửi của họ đến một ví ẩn, do kẻ tấn công kiểm soát. Những kẻ lừa đảo đã sử dụng các kỹ thuật che giấu nâng cao, bao gồm che giấu XOR và chuyển đổi số thập phân sang thập lục phân lớn, để che giấu địa chỉ đích thực của tiền trong mã hợp đồng. SentinelLABS đã xác định một địa chỉ đặc biệt thành công, 0x8725…6831, đã tích lũy 244,9 ETH, khoảng 902.000 đô la, từ những người triển khai không nghi ngờ. Hơn nữa, các hợp đồng được thiết kế với cơ chế dự phòng cho phép kẻ tấn công rút tiền gửi ngay cả khi nạn nhân không kích hoạt hàm “Start()” chính, đảm bảo các lỗ hổng quản lý tài sản. Nghiên cứu của skanf, một công cụ phân tích mã bytecode EVM, đã độc lập tiết lộ rằng việc che giấu như vậy thường che giấu các lỗ hổng nghiêm trọng hơn là tăng cường bảo mật. skanf đã phát hiện các lỗ hổng trong 1.028 hợp đồng và đã tạo thành công các khai thác cho 373 trong số đó, với các khoản lỗ tiềm tàng vượt quá 9,0 triệu đô la. Ngoài ra, 40 cuộc tấn công bot MEV thực tế được skanf phát hiện đã gây ra tổng cộng 900.000 đô la thiệt hại, nhấn mạnh tính phổ biến và tác động tài chính của các khai thác tinh vi này.

Chiến lược kinh doanh & Định vị thị trường

Những vụ lừa đảo này thể hiện sự tiến hóa tinh vi trong chiến lược tội phạm mạng trong hệ sinh thái Web3. Bằng cách khai thác các lỗ hổng của con người thông qua kỹ thuật xã hội và tận dụng công nghệ có sẵn như AI để tạo video, những kẻ tấn công có thể nhanh chóng triển khai nội dung trông đáng tin cậy với chi phí thấp. Chiến thuật sử dụng các tài khoản YouTube cũ và quản lý các phần bình luận là một nỗ lực có tính toán để vượt qua sự giám sát ban đầu và xây dựng cảm giác tin cậy sai lầm, phản ánh các mô hình lừa đảo và kỹ thuật xã hội đã được thiết lập được quan sát trên nhiều nền tảng kỹ thuật số khác nhau. Cách tiếp cận này hoàn toàn trái ngược với các dự án hợp pháp, vốn dựa vào sự minh bạch và kiểm toán có thể xác minh được. Hiệu quả của các phương pháp này làm nổi bật một thị trường nơi giáo dục người dùng và kiểm duyệt nền tảng đang gặp khó khăn trong việc bắt kịp với các mối đe dọa đang phát triển.

Tác động thị trường

Sự cố này nhấn mạnh một vectơ mối đe dọa đáng kể và ngày càng tăng trong không gian tiền điện tử, có khả năng làm xói mòn niềm tin của người dùng và đòi hỏi phải tăng cường các biện pháp bảo mật và giáo dục người dùng. Việc nội dung do AI tạo có thể dễ dàng được sử dụng để tạo điều kiện cho các vụ lừa đảo như vậy có thể dẫn đến việc giám sát chặt chẽ hơn vai trò của AI trong quảng bá tài chính và thúc đẩy các nền tảng như YouTube thắt chặt các chính sách kiểm duyệt nội dung liên quan đến tiền điện tử. Báo cáo bảo mật Web3 nửa đầu năm 2025 của Hacken chỉ ra rằng nửa đầu năm 2025 đã chứng kiến 3,1 tỷ đô la tài sản kỹ thuật số bị đánh cắp, vượt qua tổng số của cả năm 2024. Con số này làm nổi bật một xu hướng rộng hơn, trong đó các vi phạm kiểm soát truy cập (chiếm 1,83 tỷ đô la hoặc 59% các sự cố) và các lỗi hợp đồng thông minh (chịu trách nhiệm cho 263 triệu đô la hoặc 8% các khoản lỗ) vẫn là những lỗ hổng nghiêm trọng. Sự gia tăng của các vụ lừa đảo khai thác các lỗ hổng hợp đồng thông minh và các chiến thuật kỹ thuật xã hội cho thấy rằng bối cảnh bảo mật cho Web3 vẫn còn rất thách thức.

Bình luận của chuyên gia

Các nhà nghiên cứu SentinelLABS cảnh báo rõ ràng người dùng "tránh triển khai các bot miễn phí được quảng cáo trên mạng xã hội, đặc biệt là những bot liên quan đến việc triển khai hợp đồng thông minh thủ công." Họ còn lưu ý rằng "Mỗi hợp đồng đặt ví của nạn nhân và một EOA (tài khoản thuộc sở hữu bên ngoài) của kẻ tấn công ẩn làm đồng sở hữu," và "Ngay cả khi nạn nhân không kích hoạt chức năng chính, các cơ chế dự phòng cũng cho phép kẻ tấn công rút tiền gửi," tiết lộ độ sâu của thiết kế săn mồi. Các chuyên gia nhấn mạnh rằng liên kết yếu nhất trong bảo mật Web3 thường nằm ở các lỗ hổng của con người hơn là các vấn đề mật mã, thúc giục cực kỳ thận trọng với các công cụ giao dịch được quảng bá thông qua mạng xã hội không được xác minh.

Bối cảnh rộng hơn

Sự gia tăng của các video lừa đảo do AI tạo ra phù hợp với sự gia tăng rộng lớn hơn của các mối đe dọa mạng tinh vi nhắm vào cộng đồng tiền điện tử. Dữ liệu từ năm 2024 tiết lộ rằng các nền tảng mạng xã hội có liên quan đến 53% các kế hoạch lừa đảo tiền điện tử, với các vụ lừa đảo deepfake do AI tạo tăng vọt 900% từ năm 2023 đến 2025. Các cuộc tấn công lừa đảo vẫn là chiến thuật phổ biến nhất, chiếm 31% các trường hợp lừa đảo tiền điện tử vào năm 2024, cho thấy các lỗ hổng dai dẳng trên toàn bộ bối cảnh tài sản kỹ thuật số. Mức lỗ trung bình trên mỗi nạn nhân trong các trường hợp lừa đảo tiền điện tử đã tăng lên 12.400 đô la vào năm 2024, với dự đoán cho năm 2025 ước tính mức lỗ trung bình là 38.000 đô la, báo hiệu một rủi ro tài chính đang leo thang nhanh chóng đối với các nhà đầu tư tiền điện tử trên toàn thế giới. Xu hướng tiếp diễn này nhấn mạnh nhu cầu cấp thiết về các giao thức bảo mật nâng cao, kiểm duyệt nền tảng chủ động và giáo dục người dùng liên tục trong môi trường Web3 đang phát triển nhanh chóng.