2024’ün başlarında ortaya çıkan sofistike bir kampanyada, siber suçlular kazançlı ticaret botları olarak maskelenen kötü niyetli Ethereum akıllı sözleşmeleri dağıtmaya başladı.
Bu silahlandırılmış sözleşmeler, kurbanları arbitraj stratejileri yürüttüğü gibi görünen kodu dağıtmaya ikna etmek için Remix gibi Web3 geliştirme platformlarından, yalnızca saldırgan kontrollü cüzdanlara yatırılan fonları sifonlamak için kullanıyor.
Sözleşmeler, meşru işlem yapmak yerine, gerçek faydalanıcı adresini gizleyen, hem son kullanıcılar hem de otomatik güvenlik araçları için algılamayı zorlaştıran gizleme teknikleri kullanır.
Dolandırıcılar öncelikle küratörlü çalma listeleri ve yapay olarak yönetilen yorum bölümlerine sahip yaşlı hesaplar içeren YouTube kanalları aracılığıyla çoğalır.
Videolar, akıllı sözleşmenin sahip listesinin anonim bir saldırgan EOA içerdiğine dair herhangi bir göstergeyi atlarken, minimum 0.5 ETH depozitosunu-görünürde gaz ücretlerini ve tohum arbitraj operasyonlarını kapsayacak şekilde-teşvik eden adım adım kılavuzlar sunar.
.webp)
Ağustos 2025 itibariyle, kullanıcı “Jazz_Braze” adlı bir kampanya, sahte ticaret botunu konuşlandıran kurbanlardan 244.9 ETH’den (yaklaşık 902.000 ABD Doları) netleştirdi.
Sentinelone araştırmacıları, sözleşmelerin ortak bir model paylaştığını belirlediler: ikili sahiplik, hem kurbanın cüzdanını hem de saldırganın gizemli EOA’sını sahip olarak belirleyerek dağıtımda tanımlanır.
.
Bir kez finanse edildikten sonra, bir fonksiyonun basit bir çağrısı – Start() veya StartNative()—Bürün sözleşmesi yapıldığı tüm ETH’nin gizli saldırgan adresine aktarılmasını sağlar.
Mağdur belirlenen işlevi çağırmayı ihmal etse bile, sözleşmeye geri dönüş para çekme mekanizması gömülür ve saldırganın sözleşmeye gönderilen fonları boşaltmasını sağlar.
Sentinelone analistleri, bu drenaj sözleşmelerinin en gelişmiş versiyonlarının, hem merkezi olmayan değişim yönlendirici adresini hem de saldırganın cüzdan adresini 32 baytlık iki sabitten elde etmek için XOR tabanlı bir şaşkınlık kullandığını belirtti.
İçinde DexInterface beyan, etiketli sabitler apiKey Ve apiSignature saldırgan eoa’yı vermek için aşağıdaki sağlam snippet’te xored:-
address attacker = address(uint160(uint256(apiKey) ^ uint256(apiSignature)));Bu teknik, sözleşme bayt kodu içindeki giden EOA’yı gizleyerek bilinen kötü niyetli adresler için statik analizi ve basit dize aramalarını önler.
Gizleme mekanizması ve kaçırma
XOR gizleme yöntemi, akıllı sözleşmeye dayalı dolandırıcılıklarda önemli bir evrimi temsil eder ve kriptografik ilkelleri Solidid’in tip dönüşümleriyle pelerin saldırgan altyapısına birleştirir.
Görünüşte zararsız iki sabit saklayarak ve gerçek cüzdanı sadece çalışma zamanında hesaplayarak, sözleşme imza tabanlı tarayıcılarla tespitten kaçınır.
Kullanımı uint256 XOR işlemini gerçekleştirmek ve ardından döküm yapmak uint160 yabancı yüksek dereceli baytları sıyırırken Ethereum adresleriyle uyumluluk sağlar.
.webp)
Ayrıca, sözleşmeler alternatif şaşkınlık varyantlarını-adres parçalarının string birleştirilmesi ve büyük ondalık-heks dönüşümler-hepsi de saldırgan EOA’yı gizlemek için aynı amaca hizmet ediyor.
Bu katmanlı taktikler, savunucuların bayt kodunu ayrıştırmasını, gizleme modellerini tanımlamasını ve kötü amaçlı cüzdan adresini çıkarmak için çalışma zamanı mantığını yeniden yapılandırmasını gerektiren ters mühendisliği karmaşıklaştırır.
Bu tehdit manzarası geliştikçe, siber güvenlik ekipleri, benzer akıllı sözleşme dolandırıcılıklarını tespit etmek ve azaltmak için dinamik analiz ve deobfuscation araçlarını Web3 güvenlik çerçevelerine entegre etmelidir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın