Nội dung được tài trợ
Web3 đang đối mặt với một làn sóng lừa đảo mới nhắm vào tham vọng. Các nhà giao dịch đầy tham vọng tìm kiếm MEV hoặc chiến lược chênh lệch giá. MEV, hay Giá trị có thể trích xuất tối đa (MEV) , là lợi nhuận bổ sung mà một nhà giao dịch có thể nhận được từ một Block bằng cách kiểm soát cách các giao dịch được sắp xếp trên chuỗi. Họ gặp phải các hướng dẫn hứa hẹn lợi nhuận tự động, đôi khi có mã do ChatGPT viết.
Thực tế phũ phàng khiến họ phải trả giá đắt với những hợp đồng thông minh độc hại, tự động thực thi, đánh cắp tiền từ tài khoản của họ và chuyển cho tin tặc. Các báo cáo gần đây cho thấy những kẻ lừa đảo đã "kiếm" được hơn 900.000 đô la tiền điện tử bị đánh cắp theo cách này.
Trò lừa đảo này thuộc một loại hình lừa đảo giáo dục mới , dạy người ta cách xây dựng một bot đầu cơ trong khi sản phẩm thực sự lại là một cái bẫy. Nạn nhân triển khai một hợp đồng trông giống như một công cụ giao dịch, nạp ETH vào đó rồi kích hoạt chức năng rút tiền khỏi tài khoản. Kẻ tấn công không bao giờ chạm trực tiếp vào ví vì nạn nhân đã thực hiện mọi bước kỹ thuật.
Sự gia tăng của các trò lừa đảo Web3 hướng dẫn
Các bài hướng dẫn MEV giả mạo lan truyền trên các nền tảng mạng xã hội lớn, nơi người dùng đã tìm kiếm thông tin về giáo dục Web3. Chất lượng sản xuất thường tương đương với nội dung giao dịch hoặc phát triển hợp pháp. Người thuyết trình nói chuyện trước camera, chuyển sang chia sẻ màn hình và hướng dẫn triển khai trong một giao diện quen thuộc.
Bằng chứng xã hội củng cố ảo tưởng về tính xác thực. Phần bình luận tràn ngập lời khen ngợi và tài khoản hiển thị ảnh đại diện giống với các blogger thực thụ cùng lượng người theo dõi trông có vẻ đã được xác lập.
Cái bẫy ẩn trong hợp đồng bot MEV
Mối nguy hiểm thực sự ẩn chứa bên trong mẫu hợp đồng thông minh được liên kết bên dưới video. Mỗi hướng dẫn cung cấp một tệp hơi khác nhau. Người dùng không rành về kỹ thuật sẽ thấy một hợp đồng Solidity phức tạp nhưng hợp lý được xuất bản dưới dạng mã nguồn mở và suy ra rằng người tạo ra nó đã hoàn thành công việc khó khăn. Mã này thường xuất hiện trong các đoạn mã được chia sẻ qua Pastebin hoặc Google Docs, sau đó được chuyển sang các công cụ quen thuộc như Remix IDE và Etherscan để biên dịch, triển khai và xác minh.
Ẩn sâu trong đoạn mã này là một chuỗi "rác" mã hóa ví của kẻ tấn công và không giống với địa chỉ thập lục phân tiêu chuẩn. Ví dụ, một dòng như QG384C1A318cE21D85F34A8D2748311EA2F91c84f0 trông không giống một địa chỉ thập lục phân thông thường nhưng vẫn mã hóa một địa chỉ.
Các hàm phụ trợ sẽ định hình lại chuỗi này thành một chuỗi 40 ký tự đại diện cho một địa chỉ Ethereum 20 byte. Các hàm có tên như “executeTrades” hoặc “_stringReplace” sẽ sao chép chuỗi, thay thế các ký tự và biên dịch đích đến đó.
Chúng tôi đã phát hiện ra một trò lừa đảo bot MEV giả mạo mới.
— Web3 Antivirus (@web3_antivirus) ngày 3 tháng 10 năm 2025
Những kẻ lừa đảo đăng hướng dẫn trên @YouTube yêu cầu người dùng triển khai một "bot sinh lời" và gửi $ETH . Trong trường hợp cụ thể này, nạn nhân đầu tiên gửi 1 $ETH , sau đó thấy kẻ tấn công dàn dựng hoạt động kiếm lời giả (một lượng nhỏ $ETH chảy vào hợp đồng).… https://t.co/37khSJPH6J pic.twitter.com/Gobj240EyK
Mục đích cốt lõi của hợp đồng không phải là giao dịch. Logic của nó tái tạo địa chỉ ẩn và chuyển hướng bất kỳ ETH nào được gửi đến ví đó, trong khi việc che giấu giúp ngăn chặn hành vi này khỏi sự kiểm tra thông thường, và các phần hiển thị của mã tiếp tục mô phỏng một chiến lược MEV hợp pháp.
Làm thế nào các cuộc biểu tình lợi nhuận giả tạo có thể chốt được thỏa thuận
Sau cú lừa ban đầu này — một video được ghi hình chuyên nghiệp — tin tặc sẽ giải thích những việc cần làm và hướng dẫn nạn nhân từng bước. Chúng sẽ hướng dẫn nạn nhân thực hiện quy trình theo thời gian thực và cho thấy số dư trên hợp đồng dường như tăng lên như thế nào trước khi rút tiền.
Kế hoạch trình diễn thường theo bốn bước sau:
Nạn nhân triển khai hợp đồng độc hại và nạp ETH vào đó (ví dụ: 1 ETH). Họ tin rằng đó là một bot giao dịch có lợi nhuận.
Scammer gửi một lượng nhỏ ETH (ví dụ: 0,1 ETH) từ một ví riêng đến địa chỉ hợp đồng, tạo ra cảm giác lợi nhuận giả tạo.
Nạn nhân kiểm tra số dư hợp đồng và thấy nó tăng từ 1 ETH lên 1,1 ETH. Khoản lợi nhuận rõ ràng này khiến họ tin rằng bot hoạt động và khuyến khích họ gửi thêm tiền.
Khi nạn nhân rút tiền hoặc gọi một hàm được xác định trước, hợp đồng sẽ kích hoạt hàm rút tiền chuyển toàn bộ số dư (1 ETH của nạn nhân cộng với 0,1 ETH tiền thưởng) vào ví của kẻ lừa đảo.
Bẫy sẽ đóng lại khi nạn nhân tương tác với các hàm hợp đồng. Các nhãn như Bắt đầu, Dừng và Rút tiền trông giống như các lệnh điều khiển bot, nhưng mỗi phiên bản lừa đảo lại định tuyến việc rút tiền qua một đường dẫn khác nhau. Một số hợp đồng chuyển tiền ngay khi lệnh Bắt đầu được gọi, trong khi một số khác chỉ kích hoạt việc rút tiền khi lệnh Dừng hoặc Rút tiền được sử dụng sau một khoảng thời gian lợi nhuận rõ ràng. Kẻ tấn công cũng theo dõi các hợp đồng đã triển khai và gọi một hàm riêng nếu tiền không được sử dụng trên một hợp đồng không bao giờ đến bước cuối cùng.
Tại sao các công cụ bảo mật truyền thống lại bỏ lỡ nó
Các công cụ bảo mật truyền thống gặp khó khăn với Bots MEV giả mạo vì tín hiệu bề mặt trông có vẻ vô hại. Nạn nhân tự triển khai mã hợp đồng, do đó lịch sử giao dịch không hiển thị các đợt airdrop độc hại hoặc luồng lừa đảo thông thường. Hợp đồng được xác minh chính xác trên Etherscan, Remix và MetaMask xử lý việc triển khai và tương tác như với bất kỳ ứng dụng phi tập trung (DApp) nào khác, do đó toàn bộ quy trình trông giống như một triển khai mã nguồn mở tiêu chuẩn.
Các bộ lọc chống lừa đảo và trình quét giao dịch cổ điển tập trung vào các URL hoặc phê duyệt Token đáng ngờ, trong khi Bots MEV giả mạo chuyển rủi ro sang logic hợp đồng nội bộ. Chỉ có phát hiện thời gian chạy và trí tuệ địa chỉ mới có thể xác định các mẫu ẩn bên trong các hợp đồng đó trước khi thực thi.
Web3 Antivirus có thể giúp ích như thế nào
Web3 Antivirus dựa trên phân tích hành vi kết hợp với trí tuệ mã hóa và địa chỉ. Quá trình phát hiện của nó trải qua nhiều giai đoạn:
Giám sát : Web3 Antivirus theo dõi các hợp đồng mới xuất hiện trên mạng.
Phát hiện hợp đồng đáng ngờ: Hệ thống giám sát vòng đời của từng hợp đồng và người tạo hợp đồng. Một cờ đỏ quan trọng sẽ xuất hiện khi người tạo hợp đồng tài trợ cho một hợp đồng và sau đó gọi một hàm rút toàn bộ số dư sang một địa chỉ của bên thứ ba. Khi mô hình này xuất hiện, hệ thống sẽ đánh dấu hợp đồng và các địa chỉ liên quan là lừa đảo tiềm ẩn và ghi lại mã bytecode của hợp đồng.
Xác nhận lừa đảo: Nếu có nhiều hơn hai sự cố rút tiền tương tự liên quan đến cùng một mã bytecode hợp đồng, Web3 Antivirus sẽ phân loại hợp đồng đó là lừa đảo đã được xác nhận. Hệ thống sẽ gắn thẻ hợp đồng, mã bytecode của hợp đồng, nạn nhân bị ảnh hưởng và địa chỉ nhận tiền.
Cập nhật cơ sở dữ liệu: Nền tảng thêm mã bytecode lừa đảo đã được xác nhận vào cơ sở dữ liệu và kiểm tra mọi hợp đồng mới được tạo dựa trên thư viện này. Khi bất kỳ hợp đồng nào rút tiền, hệ thống sẽ so sánh địa chỉ đích với các cụm lừa đảo đã biết. Quá trình này áp dụng dữ liệu tích lũy vào các giao dịch, hợp đồng và địa chỉ mới.
Tiện ích mở rộng trình duyệt cung cấp thông tin tình báo này ngay tại thời điểm sử dụng. Tiện ích mở rộng này chặn các giao dịch, phân tích hợp đồng mục tiêu và kiểm tra mã bytecode của nó với các mẫu đã biết. Tiện ích này chạy ngầm và đưa ra cảnh báo trước khi các tương tác rủi ro cao diễn ra, do đó hầu hết người tham gia đều được bảo vệ mà không cần chuyên môn bảo mật sâu.
Một người dùng đã mất gần 3 $ETH (10.393 đô la) sau khi làm theo hướng dẫn về bot MEV giả mạo trên YouTube.
— Web3 Antivirus (@web3_antivirus) ngày 24 tháng 7 năm 2025
Nạn nhân đã triển khai một hợp đồng độc hại: https://t.co/Fm7icQntrT
Sau đó, nạn nhân đã tài trợ cho hợp đồng và kích hoạt chức năng 'khởi động', nghĩ rằng nó sẽ tạo ra lợi nhuận. pic.twitter.com/GQfVX7apom
Logic phát hiện vẫn hiệu quả ngay cả khi kẻ tấn công sửa đổi chi tiết bề mặt trong mã vì hệ thống tập trung vào các dấu hiệu hành vi và các luồng thoát lặp lại. Cơ sở dữ liệu tiếp tục mở rộng khi các vụ lừa đảo mới xuất hiện, và việc học liên tục này giúp người dùng thông thường tránh các biến thể mới có chung cấu trúc với các cuộc tấn công trước đó.
Hướng tới bảo vệ dự đoán trong Web3
Bots MEV giả mạo cho thấy rõ sự thích nghi nhanh chóng của kẻ thù với những cơ hội mới trong Web3. Nội dung giáo dục đã trở thành một trong những phương thức tấn công mạnh mẽ nhất . Hợp đồng dường như do người dùng tự xây dựng, các công cụ trông có vẻ chuẩn mực, và các hành động hiển thị bao gồm các bước triển khai thông thường.
Bảo mật phản ứng còn Short trong môi trường này. Bảo mật phải dự đoán được mục đích của hợp đồng trước khi một lượng lớn giá trị được chuyển qua đó. Web3 Antivirus đặt mục tiêu thu hẹp khoảng cách này thông qua giám sát liên tục, trí tuệ mã byte và phân tích giao dịch theo thời gian thực. Khi các chương trình bot MEV giả mạo phát triển, các công cụ dựa trên hành vi như thế này cung cấp một lớp phòng thủ quan trọng cho những người tham gia thị trường tiền điện tử hàng ngày.
Tuyên bố miễn trừ trách nhiệm. Cointelegraph không xác nhận bất kỳ nội dung hoặc sản phẩm nào trên trang này. Mặc dù chúng tôi mong muốn cung cấp cho bạn tất cả thông tin quan trọng mà chúng tôi có thể thu thập được trong bài viết được tài trợ này, độc giả nên tự nghiên cứu trước khi thực hiện bất kỳ hành động nào liên quan đến công ty và chịu hoàn toàn trách nhiệm cho quyết định của mình. Bài viết này cũng không thể được coi là lời khuyên đầu tư.
