En una campaña sofisticada descubierta a principios de 2024, los ciberdelincuentes han comenzado a distribuir contratos inteligentes de Ethereum maliciosos disfrazados como bots de comercio lucrativos.
Estos contratos armados aprovechan las plataformas de desarrollo de Web3, como el remix, para atraer a las víctimas al código de implementación que parece ejecutar estrategias de arbitraje, solo para desviar fondos depositados en billeteras controladas por los atacantes.
En lugar de realizar operaciones legítimas, los contratos emplean técnicas de ofuscación que ocultan la verdadera dirección del beneficiario, lo que dificulta tanto los usuarios finales como para las herramientas de seguridad automatizadas.
Las estafas proliferan principalmente a través de canales de YouTube con cuentas envejecidas con listas de reproducción curadas y secciones de comentarios administrados artificialmente.
Los videos presentan guías paso a paso que fomentan un depósito mínimo de 0.5 ETH, aparentemente para cubrir las tarifas de gas y las operaciones de arbitraje de semillas, mientras omiten cualquier indicación de que la lista de propietarios del contrato inteligente incluye un atacante anónimo EOA.
Funciones en el contrato de solidez de XOR que calcula el EOA del atacante y crean el contrato (fuente – Sentinelone)
A partir de agosto de 2025, una de esas campañas atribuida al usuario “jazz_braze” ha anotado más de 244.9 ETH (aproximadamente $ 902,000 de los Estados Unidos) de las víctimas que desplegan el bot de comercio falsificado.
Los investigadores de Sentinelone identificaron que los contratos comparten un patrón común: la propiedad dual se define en el despliegue, estableciendo la billetera de la víctima y la EOA oscurecida del atacante como propietarios.
.
Una vez financiado, una invocación simple de una función, con nombre de inicio () o inicio (), desencadena la transferencia de todas las ETH de contrato a la dirección del atacante oculto.
Incluso si la víctima descuida a invocar la función designada, un mecanismo de retiro de retroceso está integrado dentro del contrato, lo que permite al atacante drenar los fondos enviados al contrato.
Analistas de Sentinelone anotado Que las versiones más avanzadas de estos contratos de drenaje emplean una ofuscación basada en XOR para derivar tanto la dirección del enrutador de intercambio descentralizado como la dirección de la billetera del atacante de dos constantes de 32 bytes.
En la Declaración de Dexinterface, las constantes etiquetadas como apiikey y la apisignatura se XIR en el siguiente fragmento de solidez para producir el atacante EOA:–
Dirección atacante = dirección (uint160 (uint256 (apikey) ^ uint256 (apisignature)));
Esta técnica oculta el EOA saliente dentro del bytecodo de contrato, evitando el análisis estático y las búsquedas simples de cadenas para direcciones maliciosas conocidas.
Mecanismo de ofuscación y evasión
El método de ofuscación XOR representa una evolución significativa en las estafas inteligentes basadas en contratos, combinando primitivas criptográficas con las conversiones de tipo de solidez a la infraestructura de los atacantes de capa.
Al almacenar dos constantes aparentemente inocuas y calcular la verdadera billetera solo en tiempo de ejecución, el contrato evade la detección de escáneres basados en la firma.
El uso de UINT256 para realizar la operación XOR seguido de fundición a UINT160 garantiza la compatibilidad con las direcciones de Ethereum mientras elimina los bytes extraños de alto orden.
Instrucciones para implementar un contrato inteligente armado disfrazado de bote de comercio criptográfico (fuente – Sentinelone)
Además, los contratos incorporan variantes de ofuscación alternativas (concatenación de huellas de fragmentos de dirección y grandes conversiones de decimal a hex., Todos los mismos propósitos de ocultar al atacante EOA.
Estas tácticas en capas complican la ingeniería inversa, que requieren que los defensores descompilaran bytecode, identifiquen patrones de ofuscación y reconstruyan la lógica de tiempo de ejecución para extraer la dirección de la billetera maliciosa.
A medida que evoluciona este panorama de amenazas, los equipos de ciberseguridad deben integrar análisis dinámicos y herramientas de desobfuscación en sus marcos de seguridad Web3 para detectar y mitigar estafas de contratos inteligentes similares.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
