Как фейковые MEV-боты превращают криптотрейдеров в собственных жертв

Спонсорный контент

Экосистема Web3 столкнулась с новой волной мошенничества, эксплуатирующей амбиции пользователей. Начинающие трейдеры, ищущие стратегии арбитража или извлечения максимальной стоимости (MEV — maximal extractable value), наталкиваются на обучающие материалы, обещающие автоматическую прибыль. Иногда код для таких «ботов» даже написан с помощью ChatGPT.

Реальность оказывается жестокой: вместо прибыли пользователи разворачивают злонамеренные смарт-контракты, которые самостоятельно выводят все средства с их счетов на кошельки хакеров. Согласно последним отчетам, таким способом мошенникам уже удалось «заработать» более $900 000 в криптовалюте.

Эта афера относится к новому классу образовательного мошенничества, где под видом урока по созданию торгового бота скрывается ловушка. Жертва самостоятельно разворачивает контракт, похожий на торговый инструмент, пополняет его эфиром (ETH) и активирует функцию, которая опустошает счет. Злоумышленник никогда не касается кошелька напрямую — технические шаги выполняет сама жертва.

Сравнение легитимных и фейковых MEV-ботов. Источник: Web3 Antivirus

Рост Web3-мошенничества, основанного на уроках

Фейковые обучающие материалы по MEV распространяются через крупные социальные платформы, где пользователи ищут информацию о Web3. Качество производства часто не уступает легитимному торговому или образовательному контенту: ведущие говорят в камеру, переключаются на демонстрацию экрана и шаг за шагом показывают процесс развертывания в знакомом интерфейсе.

Иллюзию достоверности усиливает социальное доказательство. Разделы комментариев заполнены похвалой, а у аккаунтов — аватары, напоминающие реальных блогеров, и правдоподобное количество подписчиков.

Скрытая ловушка в контрактах MEV-ботов

Настоящая опасность скрыта внутри шаблона смарт-контракта, ссылку на который дают под видео. Каждый урок предлагает слегка отличающийся файл. Неискушенные пользователи видят сложный, но правдоподобный контракт на Solidity, опубликованный как open-source код, и делают вывод, что автор уже проделал всю сложную работу. Код часто публикуют фрагментами через Pastebin или Google Docs, а затем переносят в знакомые инструменты вроде Remix IDE и Etherscan для компиляции, развертывания и верификации.

Внутри этого кода «зарыта» строка-«мусор», которая кодирует кошелек атакующего и не похожа на стандартный шестнадцатеричный адрес. Например, строка вида QG384C1A318cE21D85F34A8D2748311EA2F91c84f0 не выглядит как обычный адрес, но все же его кодирует.

Вспомогательные функции преобразуют ее в 40-символьную последовательность, представляющую 20-байтный адрес Ethereum. Функции с именами вроде «executeTrades» или «_stringReplace» копируют строку, заменяют символы и собирают адрес назначения.

Основная цель такого контракта — не торговля. Его логика восстанавливает скрытый адрес и перенаправляет любой внесенный ETH на этот кошелек, в то время как обфускация скрывает это поведение от поверхностной проверки, а видимые части кода продолжают имитировать легитимную MEV-стратегию.

Как демонстрация фейковой прибыли завершает сделку

После первоначальной «зацепки» — профессионально записанного видео — хакер объясняет, что делать, и ведет жертву через каждый шаг. Они в реальном времени проходят процесс и показывают, как баланс контракта, кажется, растет перед выводом.

Схема демонстрации обычно состоит из четырех шагов:

1. Жертва разворачивает вредоносный контракт и пополняет его ETH (например, 1 ETH), веря, что это прибыльный торговый бот.
2. Мошенник отправляет небольшую сумму ETH (например, 0.1 ETH) с отдельного кошелька на адрес контракта, создавая ложное ощущение прибыли.
3. Жертва проверяет баланс контракта и видит, как он вырос с 1 ETH до 1.1 ETH. Это кажущееся увеличение убеждает ее в работоспособности бота и стимулирует к внесению большего депозита.
4. Когда жертва выводит средства или вызывает предопределенную функцию, контракт активирует функцию вывода, которая переводит весь баланс (и 1 ETH жертвы, и 0.1 ETH «приманки») на кошелек мошенника.

Ловушка захлопывается, когда жертва взаимодействует с функциями контракта. Метки вроде Start, Stop и Withdraw напоминают элементы управления ботом, но в каждой версии аферы вывод средств происходит по разному пути. Некоторые контракты перемещают деньги сразу после вызова Start, другие активируют вывод только при использовании Stop или Withdraw после периода кажущейся прибыли. Атакующие также отслеживают развернутые контракты и вызывают отдельную функцию, если средства остаются без движения на контракте, который так и не дошел до финального шага.

Почему традиционные инструменты безопасности бессильны

Традиционные средства защиты плохо справляются с фейковыми MEV-ботами, потому что поверхностные сигналы выглядят безобидно. Жертвы сами разворачивают код контракта, поэтому история транзакций не показывает вредоносные аирдропы или классические фишинговые схемы. Контракт успешно верифицируется на Etherscan, а Remix и MetaMask обрабатывают развертывание и взаимодействие как с любым другим децентрализованным приложением (DApp), поэтому весь процесс выглядит как стандартное развертывание open-source проекта.

Классические антифишинговые фильтры и сканеры транзакций фокусируются на подозрительных URL или одобрениях токенов, в то время как фейковые MEV-боты переносят риск во внутреннюю логику контракта. Только обнаружение во время выполнения и анализ адресов могут выявить скрытые паттерны в таких контрактах до исполнения.

Как может помочь Web3 Antivirus

Web3 Antivirus полагается на поведенческий анализ в сочетании с анализом кода и адресов. Его процесс обнаружения включает несколько этапов:

1. Мониторинг: Web3 Antivirus отслеживает новые контракты, появляющиеся в сети.
2. Обнаружение подозрительных контрактов: Система отслеживает жизненный цикл каждого контракта и его создателя. Ключевым красным флагом является ситуация, когда создатель пополняет контракт, а затем вызывает функцию, которая выводит весь баланс на сторонний адрес. При обнаружении такого паттерна система помечает контракт и связанные адреса как потенциальное мошенничество и сохраняет его байт-код.
3. Подтверждение мошенничества: Если более двух похожих случаев вывода средств связаны с одним и тем же байт-кодом контракта, Web3 Antivirus классифицирует его как подтвержденное мошенничество. Система помечает контракт, его байт-код, пострадавших жертв и адрес, получивший средства.
4. Обновление базы данных: Платформа добавляет подтвержденный мошеннический байт-код в свою базу данных и проверяет каждый новый создаваемый контракт по этой библиотеке. Когда любой контракт выводит средства, система сравнивает адрес назначения с известными кластерами мошенничества. Этот процесс применяет накопленные данные к новым транзакциям, контрактам и адресам.

Браузерное расширение доставляет эту аналитику непосредственно в момент использования. Расширение перехватывает транзакции, анализирует целевой контракт и проверяет его байт-код на соответствие известным паттернам. Оно работает в фоновом режиме и выдает предупреждения перед выполнением рискованных взаимодействий, что позволяет большинству пользователей получить защиту без глубоких знаний в области безопасности.

Логика обнаружения остается эффективной, даже когда атакующие меняют поверхностные детали в коде, потому что система фокусируется на поведенческих сигнатурах и повторяющихся схемах вывода. База данных продолжает пополняться по мере появления новых афер, и это непрерывное обучение помогает обычным пользователям избегать новых вариантов, имеющих общую структуру с более ранними атаками.

В сторону предиктивной защиты в Web3

Фейковые MEV-боты наглядно демонстрируют быструю адаптацию злоумышленников к новым возможностям в Web3. Образовательный контент стал одним из самых мощных векторов атак. Контракт выглядит как созданный пользователем, инструменты кажутся стандартными, а видимые действия включают обычные шаги по развертыванию.

Реактивная безопасность в такой среде не справляется. Защита должна предугадывать, для чего предназначен контракт, до того, как через него пройдут крупные суммы. Web3 Antivirus стремится закрыть этот пробел с помощью непрерывного мониторинга, анализа байт-кода и анализа транзакций в реальном времени. По мере эволюции схем с фейковыми MEV-ботами подобные инструменты, основанные на поведенческом анализе, становятся критически важным уровнем защиты для обычных участников крипторынков.

Отказ от ответственности. Cointelegraph не поддерживает какой-либо контент или продукт на этой странице. Хотя мы стремимся предоставить вам всю важную информацию, которую смогли получить в этом спонсорном материале, читателям следует провести собственное исследование перед любыми действиями, связанными с компанией, и нести полную ответственность за свои решения. Данная статья не может считаться инвестиционной рекомендацией.