Bot Perdagangan yang Digerakkan Menyedot $1 Juta dari Pengguna Crypto melalui Penipuan YouTube yang Dihasilkan AI

Laporan oleh SentinelLABS mengungkapkan kampanye canggih yang memanfaatkan video YouTube yang dihasilkan AI dan kontrak pintar yang dimanipulasi untuk menguras lebih dari $1 juta dalam bentuk ether dari pengguna yang tidak curiga. Video promosi menampilkan avatar dan suara AI, membimbing penonton melalui penerapan bot arbitrase MEV berbahaya. Kontrak mengandung rutinitas tersembunyi yang mengalihkan dana ke dompet penyerang melalui obfuscation XOR dan konversi desimal-ke-heksadesimal yang besar.

Instruksi penerapan mengarahkan korban ke Remix IDE, mendanai kontrak dengan ETH, dan memanggil fungsi Start(). Alih-alih menjalankan operasi arbitrase, fungsi ini memicu mekanisme fallback yang mentransfer simpanan pengguna ke akun Ethereum tersembunyi. Alamat paling menguntungkan, 0x8725...6831, mengumpulkan 244,9 ETH (≈ $902.000) sebelum mengirim dana ke alamat sekunder untuk menghambat pelacakan.

SentinelLABS mengidentifikasi ketergantungan kampanye pada saluran YouTube lama dengan konten yang tidak terkait dan komentar yang dimanipulasi untuk berpura-pura kredibilitas. Beberapa video tidak tercantum dan didistribusikan melalui Telegram dan pesan pribadi. Peneliti menemukan 387.000 tampilan di akun tutorial utama, @Jazz_Braze, yang tidak memiliki transparansi tentang kepemilikan kontrak.

Dompet yang terdampak sering menunjukkan struktur kepemilikan bersama yang mengikat akun eksternal korban dan penyerang. Bahkan tanpa aktivasi fungsi utama, rutinitas fallback memberi penyerang hak penarikan penuh. Dompet yang lebih kecil mendapatkan jumlah lima digit, tetapi hanya tutorial Jazz_Braze yang menarik setoran sembilan digit.

Sebagai tanggapan, SentinelLABS menghimbau kewaspadaan: bot perdagangan gratis yang diiklankan di media sosial tidak boleh pernah diterapkan tanpa audit menyeluruh. Pengguna disarankan untuk meninjau kode secara detail, bahkan di testnet, untuk mendeteksi alamat yang disamarkan dan alur kontrol yang tidak sah. Insiden ini menyoroti kebutuhan mendesak akan pemeriksaan tingkat pengembang dan pendidikan komunitas yang ditingkatkan mengenai risiko kontrak pintar.

SentinelLABS terus berkolaborasi dengan bursa dan platform analitik untuk melacak pergerakan penyerang dan memulihkan dana yang dicuri. Pemantauan berkelanjutan bertujuan mengidentifikasi penipuan serupa yang didorong AI dan mencegah kerugian di masa depan.