Le retour du bot mev : comment les escrocs exploitent l'IA pour renaître

Une vieille menace dans le monde des cryptomonnaies revient sous une toute nouvelle apparence. Les cybercriminels ont redécouvert une escroquerie historique liée aux bots mev et l’ont réinventée en exploitant l’engouement autour de l’intelligence artificielle. Selon la société de sécurité blockchain SlowMist, ce rebranding représente une stratégie sophistiquée pour attirer de nouvelles victimes parmi les investisseurs moins expérimentés, en promettant des gains faciles via des bots de trading automatisés qui dissimulent en réalité une porte dérobée mortelle.

L’évolution de l’escroquerie : du nom ancien au ChatGPT Arbitrage mev bot

Il y a quelques années, le schéma frauduleux circulait sous le nom de “Uniswap Arbitrage MEV Bot”, se présentant comme un outil de trading légitime. Aujourd’hui, cette même escroquerie a été entièrement relookée et s’appelle désormais “ChatGPT Arbitrage MEV Bot”. Ce changement de nom n’est pas anodin : les fraudeurs exploitent délibérément le nom d’OpenAI et de sa célèbre plateforme d’intelligence artificielle pour renforcer la crédibilité du produit.

“En apposant l’étiquette ChatGPT à leurs opérations frauduleuses, les criminels parviennent à attirer facilement l’attention d’un public plus large et à paraître beaucoup plus crédibles,” explique SlowMist dans son rapport d’analyse. “Ils prétendent avoir utilisé ChatGPT pour générer le code du mev bot lui-même, ce qui aide à dissiper tout doute des utilisateurs concernant d’éventuels intentions malveillantes cachées dans le code.” Cette technique psychologique exploitant le nom d’une entreprise reconnue représente une avancée qualitative dans la sophistication des attaques.

Comment fonctionne l’arnaque : la stratégie de la porte dérobée dans le smart contract

Le mécanisme de l’arnaque est bien conçu et exploite plusieurs vulnérabilités du comportement humain. Les attaquants attirent leurs victimes avec la promesse d’un mev bot de trading capable de générer des profits extraordinaires, affirmant que l’outil surveillera automatiquement les nouveaux tokens et les fluctuations importantes de prix sur la blockchain Ethereum.

Le processus commence par une demande apparemment anodine : créer un portefeuille MetaMask. Ensuite, les victimes sont dirigées à cliquer sur un lien qui les mène à Remix, la plateforme open source couramment utilisée par les développeurs Ethereum. Une fois ici, il leur est demandé de copier et déployer le code du prétendu mev bot. Jusqu’à ce stade, tout semble légitime et basé sur des procédures standard de développement blockchain.

Le coup final survient lorsque l’on dit aux utilisateurs d’« activer » le bot en déposant de l’ETH dans le smart contract. Les fraudeurs insistent sur le fait que plus la somme d’Ether transférée sera grande, plus les profits supposés seront importants. Mais ce qui se passe réellement est tout autre : “Dès que l’utilisateur clique sur le bouton ‘start’, tout l’ETH déposé disparaît immédiatement, dirigé directement vers le portefeuille du criminel via une porte dérobée intégrée dans le smart contract lui-même,” révèle SlowMist. “Les fonds volés sont ensuite transférés vers des exchanges ou déplacés vers des adresses de stockage temporaires pour dissimuler la trace.”

Les chiffres de l’arnaque : trois adresses et des centaines de victimes

SlowMist a identifié et analysé trois adresses de fraudeurs utilisant activement ces techniques pour voler des utilisateurs ignorants. Les données sont alarmantes : une première adresse a volé environ 30 Ether, d’une valeur dépassant 78 000 dollars, à plus de 100 victimes différentes sur plusieurs mois. Les deux autres adresses identifiées ont dérobé au total 20 Ether, d’une valeur supérieure à 52 000 dollars, à 93 victimes supplémentaires.

Ce qui rend cette stratégie criminelle particulièrement efficace, c’est ce qu’on appelle l’« approche à réseau étendu » : les fraudeurs volent de petites sommes à de nombreuses victimes, comptant sur le fait que la majorité des utilisateurs volés ne tenteront pas de récupérer leurs fonds. “Étant donné que les pertes individuelles restent relativement faibles, beaucoup de victimes n’ont tout simplement pas le temps ou les ressources pour engager des actions légales ou récupérer leurs fonds,” note SlowMist. “Cela permet aux criminels de poursuivre leurs opérations sans être inquiétés, en changeant souvent simplement le nom de l’escroquerie et en relançant le même schéma.”

Signes d’alerte dans les vidéos promotionnelles : comment reconnaître l’arnaque

Une composante essentielle de la diffusion de ces bots mev frauduleux se fait via des vidéos promotionnelles en ligne, notamment sur YouTube. SlowMist a signalé que le réseau contient une grande quantité de contenus qui promeuvent activement ce type de schéma. Heureusement, plusieurs signaux d’alerte permettent d’identifier ces vidéos trompeuses avant de tomber dans le piège.

Le premier signe est la désynchronisation entre l’audio et la vidéo. Si la vidéo présente des décalages évidents entre ce que vous entendez et ce que vous voyez à l’écran, c’est un signal d’alarme sérieux. Le recyclage de contenu provenant d’autres sources est également un indicateur fort de contenu frauduleux. Un second signe crucial à surveiller est le pattern anormal des commentaires : si vous remarquez un nombre inhabituellement élevé de messages pleins d’éloges et de remerciements au début du fil, suivis de commentaires ultérieurs avertissant explicitement de l’arnaque, vous tenez probablement une carte en temps réel de la fraude.

Identifier ces schémas permet aux investisseurs de se protéger eux-mêmes et d’éviter de transférer des fonds vers des adresses contrôlées par des criminels. Il reste fondamental de faire preuve d’un scepticisme élevé face à toute promesse de gains faciles et automatisés, peu importe la sophistication ou la crédibilité apparente du nom ou de la présentation du mev bot.