Edgen Crypto·Oct 21 2025, 02:03SentinelLABSは、AIが生成したYouTube動画を利用してMEV取引ボットを装った悪意のあるスマートコントラクトを宣伝する巧妙な詐欺により、100万ドル以上の暗号資産が仮想通貨ユーザーから流出したと報告しており、Web3セキュリティ脅威の深刻なエスカレーションを浮き彫りにしています。
SentinelLABSは、AI生成YouTube動画を利用してMEV取引ボットを装った悪意のあるスマートコントラクトを宣伝する巧妙な詐欺により、100万ドル以上が仮想通貨ユーザーから盗まれたと報告しており、Web3セキュリティの脆弱性が増大していることを浮き彫りにしています。
SentinelLABSは、ユーザーから100万ドル以上が盗まれた一連の仮想通貨詐欺を詳述したレポートを発表しました。攻撃者は、収益性の高い最大抽出可能価値(MEV)取引ボットとして提示された悪意のあるスマートコントラクトを宣伝するために、AI生成YouTube動画を使用しました。これらの動画は、被害者にRemix Solidity Compilerプラットフォームを使用してスマートコントラクトを展開し、イーサリアム(ETH)を資金として投入し、「Start()」関数を開始するように指示しました。このキャンペーンでは、無関係なコンテンツで埋められた古いYouTubeアカウントと操作されたコメントセクションを利用して、欺瞞的な正当性の感覚を作り出しました。一部の動画は非公開であり、Telegramやダイレクトメッセージなどのプライベートチャネルを通じて配布されたことを示唆しています。AI生成アバターと音声の使用により、コンテンツ制作が合理化され、攻撃者は詐欺活動を効果的に拡大することができました。
この詐欺の中心にあったのは、ユーザーウォレットから資金を抜き取ることを目的とした悪意のあるスマートコントラクトでした。被害者はこのコントラクトを展開するように指示されましたが、彼らは知らぬ間に、預け入れた資金は隠された攻撃者管理のウォレットにルーティングされました。詐欺師は、XOR難読化や大きな10進数から16進数への変換などの高度な難読化技術を使用して、コントラクトコード内の資金の真の宛先アドレスを隠しました。SentinelLABSは、特に成功したアドレスである0x8725…6831を特定しました。このアドレスは、無防備なデプロイヤーから約90万2,000ドル相当の244.9 ETHを蓄積しました。さらに、これらのコントラクトは、被害者がメインの「Start()」関数をアクティブにしなくても、攻撃者が預け入れられた資金を引き出すことを可能にするフォールバックメカニズムで設計されており、資産管理における脆弱性を保証していました。EVMバイトコード分析ツールであるskanfによる独立した調査により、このような難読化がセキュリティを強化するのではなく、しばしば重大な脆弱性を隠していることが明らかになりました。skanfは1,028個のコントラクトで脆弱性を検出し、そのうち373個の悪用を成功させ、潜在的な損失は900万ドルを超えました。さらに、skanfによって発見された40件の実際のMEVボット攻撃は、合計で90万ドルの損失をもたらし、これらの洗練された悪用の普及と財政的影響を強調しました。
これらの詐欺は、Web3エコシステムにおけるサイバー犯罪戦略の洗練された進化を表しています。ソーシャルエンジニアリングによる人間の脆弱性を悪用し、AIによる動画生成のような容易に入手可能なテクノロジーを活用することで、攻撃者は低コストで信頼できるコンテンツを迅速に展開できます。古いYouTubeアカウントの使用とコメントセクションのキュレーションという戦術は、最初の精査を回避し、誤った信頼感を築くための計算された努力であり、さまざまなデジタルプラットフォームで観察される既存のフィッシングおよびソーシャルエンジニアリングパターンを反映しています。このアプローチは、透明性と検証可能な監査に依存する正当なプロジェクトとは対照的です。これらの方法の有効性は、ユーザー教育とプラットフォームのモデレーションが進化する脅威に追いつくのに苦労している市場を浮き彫りにしています。
この事件は、仮想通貨分野における重要かつ増大する脅威ベクトルを浮き彫りにし、ユーザーの信頼を損なう可能性があり、セキュリティ対策とユーザー教育の強化を必要とします。AI生成コンテンツがこのような詐欺を促進するために容易に使用できることは、金融プロモーションにおけるAIの役割に対するより厳格な精査につながる可能性があり、YouTubeのようなプラットフォームに仮想通貨関連コンテンツのコンテンツモデレーションポリシーを強化するよう促すでしょう。Hacken 2025年上半期Web3セキュリティレポートは、2025年上半期に31億ドルのデジタル資産が盗まれ、2024年全体の合計を上回ったと指摘しています。この数字は、アクセス制御違反(インシデントの18.3億ドルまたは59%を占める)とスマートコントラクトの欠陥(損失の2.63億ドルまたは8%を占める)が依然として重大な脆弱性であるというより広範な傾向を強調しています。スマートコントラクトの脆弱性とソーシャルエンジニアリング戦術を悪用する詐欺の増加は、Web3のセキュリティ状況が依然として非常に困難であることを示しています。
SentinelLABSの研究者は、ユーザーに「ソーシャルメディアで宣伝されている無料のボット、特に手動でのスマートコントラクトの展開を伴うボットの展開を避ける」ように明示的に警告しています。彼らはさらに、「各コントラクトは被害者のウォレットと隠された攻撃者のEOA(外部所有アカウント)を共同所有者として設定する」こと、そして「被害者がメイン機能をアクティブにしなくても、フォールバックメカニズムにより攻撃者が預け入れられた資金を引き出すことができる」と指摘し、略奪的な設計の深さを明らかにしました。専門家は、Web3セキュリティの最も弱いリンクは、暗号化の問題よりも人間の脆弱性にあることが多いと強調し、未検証のソーシャルメディアを通じて宣伝される取引ツールには極めて注意するよう促しています。
AI生成詐欺動画の台頭は、仮想通貨コミュニティを標的とした洗練されたサイバー脅威の広範な急増と一致しています。2024年のデータによると、ソーシャルメディアプラットフォームは仮想通貨詐欺スキームの53%に関連しており、AI生成ディープフェイク詐欺は2023年から2025年の間に900%急増しました。フィッシング攻撃は引き続き最も一般的な戦術であり、2024年には仮想通貨詐欺事件の31%を占め、デジタル資産分野全体で持続的な脆弱性を示しています。仮想通貨詐欺事件における被害者1人あたりの平均損失は2024年に12,400ドルに上昇し、2025年には平均損失が38,000ドルになると予測されており、世界中の仮想通貨投資家にとって急速にエスカレートする金融リスクを示唆しています。この継続的な傾向は、急速に進化するWeb3環境において、強化されたセキュリティプロトコル、積極的なプラットフォームモデレーション、および継続的なユーザー教育の緊急の必要性を強調しています。
