O retorno do bot mev: como os golpistas aproveitam a IA para renascer

Uma antiga ameaça no mundo das criptomoedas está a regressar com uma aparência completamente nova. Os cibercriminosos redescobriram uma fraude histórica relacionada com bots mev e reinventaram-na aproveitando o entusiasmo em torno da inteligência artificial. Segundo a empresa de segurança blockchain SlowMist, esta mudança de branding representa uma estratégia sofisticada para atrair novas vítimas entre investidores menos experientes, prometendo lucros fáceis através de bots de trading automatizados que na realidade escondem uma backdoor letal.

A evolução da fraude: do nome antigo ao ChatGPT Arbitrage mev bot

Há alguns anos, o esquema fraudulento circulava sob o nome de “Uniswap Arbitrage MEV Bot”, apresentando-se como uma ferramenta legítima de trading. Hoje, essa mesma fraude foi completamente renovada e chama-se agora “ChatGPT Arbitrage MEV Bot”. A mudança de nome não é casual: os criminosos aproveitam deliberadamente o nome da OpenAI e da sua famosa plataforma de inteligência artificial para aumentar a credibilidade do produto.

“Aplicando o rótulo ChatGPT às suas operações fraudulentas, os criminosos conseguem atrair facilmente a atenção de um público mais vasto e parecer muito mais credíveis,” explicou a SlowMist no seu relatório de análise. “Afirmam ter utilizado o ChatGPT para gerar o código do próprio mev bot, o que ajuda a dissipar qualquer dúvida dos utilizadores sobre possíveis intenções maliciosas escondidas no código.” Esta técnica psicológica de exploração do nome de uma empresa reconhecida representa um avanço na sofisticação dos ataques.

Como funciona o esquema: a estratégia do backdoor no smart contract

O mecanismo da fraude está bem elaborado e explora várias vulnerabilidades do comportamento humano. Os atacantes atraem as vítimas com promessas de um bot de trading mev capaz de gerar lucros extraordinários, alegando que a ferramenta monitorizará automaticamente novos tokens e flutuações significativas de preço na blockchain Ethereum.

O processo começa com um pedido aparentemente inocente: criar uma carteira MetaMask. Depois, as vítimas são direcionadas a clicar num link que as leva ao Remix, a plataforma open source amplamente utilizada por desenvolvedores Ethereum. Aqui, pedem-lhes que copiem e distribuam o código do suposto mev bot. Até aqui, tudo parece legítimo e baseado em procedimentos padrão de desenvolvimento blockchain.

O golpe final ocorre quando os utilizadores são instruídos a “ativar” o bot depositando ETH no smart contract. Os criminosos insistem que quanto mais ETH for transferido, maiores serão os supostos lucros gerados. Mas o que realmente acontece é bastante diferente: “Assim que o utilizador clica no botão ‘start’, todo o ETH depositado desaparece imediatamente, canalizado diretamente para a carteira do criminoso através de uma backdoor codificada no próprio smart contract,” revelou a SlowMist. “Os fundos roubados são depois transferidos para exchanges ou movidos para endereços de armazenamento temporário para esconder a pista.”

Os números da fraude: três endereços e centenas de vítimas

A SlowMist identificou e analisou três endereços de criminosos que utilizam ativamente estas técnicas para roubar utilizadores incautos. Os dados são alarmantes: um primeiro endereço roubou cerca de 30 ETH, equivalentes a mais de 78.000 dólares, de mais de 100 vítimas diferentes ao longo de vários meses. Os outros dois endereços identificados roubaram no total 20 ETH, avaliado em mais de 52.000 dólares, de 93 vítimas adicionais.

O que torna esta estratégia criminosa particularmente eficaz é o chamado “abordagem de rede ampla”: os criminosos roubam pequenas quantias de muitas vítimas, contando que a maioria dos utilizadores roubados não irá tentar recuperar os fundos. “Como as perdas individuais permanecem relativamente baixas, muitas vítimas simplesmente não têm tempo ou recursos para tomar ações legais ou recuperar o dinheiro,” observou a SlowMist. “Isto permite aos criminosos continuar as suas operações sem obstáculos, muitas vezes apenas mudando o nome da fraude e relançando o esquema.”

Sinais de alerta nos vídeos promocionais: como reconhecer o esquema

Uma componente crucial na disseminação destes bots mev fraudulentos ocorre através de vídeos promocionais online, especialmente no YouTube. A SlowMist alertou que a rede contém uma vasta quantidade de conteúdos que promovem ativamente este tipo de esquema. Felizmente, existem vários sinais de alerta que podem ajudar a identificar estes vídeos enganosos antes de se tornarem vítimas.

O primeiro sinal é a desincronização entre áudio e vídeo. Se o vídeo apresentar discrepâncias evidentes entre o que ouvem e o que veem na tela, é um forte indicador de fraude. Também o reaproveitamento de material de outras fontes é um forte sinal de conteúdo fraudulento. Um segundo sinal importante é o padrão anormal nos comentários: se notarem um número incomum de mensagens cheias de elogios e agradecimentos no início do tópico, seguidas de comentários posteriores a alertar para a fraude, estão a ver praticamente um mapa da fraude em tempo real.

Identificar estes padrões permite aos investidores protegerem-se por conta própria e evitarem transferir fundos para endereços controlados por criminosos. É fundamental manter um elevado nível de ceticismo perante qualquer promessa de lucros fáceis e automatizados, independentemente de quão sofisticado ou credível pareça o nome ou a apresentação do mev bot.