تله درآمد غیرفعال: چرا ربات‌های MEV یوتیوب کلاهبرداری هستند

خلاصه: 'ربات ترید کریپتو' را در یوتیوب جستجو کنید و هزاران ویدیو خواهید یافت که سودهای دیوانه‌وار را وعده می‌دهند. آنها از شما می‌خواهند کدی را در ریمیکس (Remix) کپی و پیست کنید. این مقاله بلوف 'اجرای پیش‌دستانه در ممپول' (Mempool Front-running) و کد پنهانی که پول شما را می‌دزدد، فاش می‌کند.

---

---

۱. طعمه: "کپی، پیست، ثروت"

دارید در یوتیوب یا تیک‌تاک می‌چرخید. عنوانی می‌بینید:

"Make Front-Running Bot on Uniswap with ChatGPT (No Code) - $600/Day!"

کیفیت تولید بالاست. گوینده حرفه‌ای. "مدرک زنده" از کیف پولی که مدام اتر درمی‌آورد را نشان می‌دهد.

دستورالعمل‌ها:

۱. به Remix.ethereum.org (ابزار توسعه‌دهنده قانونی) بروید. ۲. "کد ربات" را از توضیحات / Pastebin کپی کنید. ۳. قرارداد را دیپلوی (Deploy) کنید. ۴. قرارداد را با ۰.۵ اتر یا بیشتر شارژ (Fund) کنید (برای "هزینه گس"). ۵. "Start" را بزنید.

۲. تله: تابع Start()

دیپلوی کردید. ۰.۵ اتر فرستادید. استارت را زدید.

انتظار: ربات شروع به اسکن ممپول می‌کند، فرصت‌های اجرای پیش‌دستانه را پیدا می‌کند و سود تولید می‌کند.

واقعیت: ۰.۵ اتر شما فوراً به کیف پول کلاهبردار ارسال می‌شود.

۳. کد: امنیت از طریق مبهم‌سازی (Obfuscation)

شما کد را نگاه کردید، چرا این را ندیدید؟

کلاهبرداران از مبهم‌سازی کد (Code Obfuscation) استفاده می‌کنند.

کد معمولاً این شکلی است:

function start() public payable {
    emit Log("Running Front Run function...");
    manager.performTasks();
}

function performTasks() {
    // Looks complicated...
    bytes memory _data = hex"6874747073a2f2f..."; // Massive hex string
    // ...
}

کلاهبردار آدرس کیف پول خود را در این لیست عظیم و ناخوانای اعداد هگزادسیمال پنهان می‌کند یا آن را از یک فایل "IPFS" جداگانه که کد به آن ارجاع می‌دهد، وارد می‌کند.

وقتی start() را می‌زنید، قرارداد آدرس کلاهبردار را از داده‌های هگز سرهم می‌کند و دستور transfer(address(this).balance) را اجرا می‌کند.

۴. چگونه این کلاهبرداری را تشخیص دهیم؟

"مارکتینگ"

• کامنت‌های ربات: کامنت‌ها را ببینید. "Wow, it really works!", "Made 2 ETH today!" - همه از اکانت‌هایی که ۲ روز پیش ساخته شده‌اند.
• سود بالا / تلاش کم: MEV (اجرای پیش‌دستانه) فوق‌العاده رقابتی است. به میلیون‌ها نقدینگی و تاخیر در حد میلی‌ثانیه نیاز دارد. این کاری نیست که با یک اسکریپت سالیدیتی ۵۰ خطی در ریمیکس انجام دهید.

کد

• ایمپورت‌های عجیب: آیا کد چیزی مثل github.com/RandomUser/mempool-api را ایمپورت می‌کند؟
• منطق ناخوانا: اگر بلوک‌های بزرگ hex"..." یا اسمبلر پیچیده برای وظیفه‌ای ساده دیدید، دارد آدرس مقصد را پنهان می‌کند.

۵. دفاع: قبل از دیپلوی بخوانید

هرگز کدی را که نمی‌فهمید دیپلوی نکنید. مخصوصاً اگر پای پول در میان باشد.

• استفاده از شبیه‌ساز: ابزارهایی مثل Tenderly به شما اجازه می‌دهند تراکنش‌ها را قبل از ارسال اتر واقعی شبیه‌سازی کنید. اگر دکمه "Start" را شبیه‌سازی کرده بودید، می‌دیدید که اتر کیف پول شما را به مقصد آدرسی مرموز ترک می‌کند.
• قانون طلایی: اگر رباتی واقعاً روزی ۵۰۰ دلار رایگان درمی‌آورد، سازنده‌اش آن را مخفی نگه می‌داشت - آن را در یوتیوب جار نمی‌زد.

اطلاعات بیشتر: کلاهبرداران روی این حساب می‌کنند که شما کد را کورکورانه اجرا کنید. بخوانید چگونه توسعه‌دهندگان را فریب می‌دهند تا ربات‌های مخرب را در تله همکاری تست کنند و چگونه فیشینگ یخی اجازه‌ها را با دکمه‌های "Start Bot" جعلی می‌دزدد.

نتیجه‌گیری

در بازار کریپتو کد تقلب (cheat code) وجود ندارد. الگوریتم‌های سودآور رازهای به شدت محافظت شده هستند، نه لینک‌های Pastebin. اگر خیلی خوب به نظر می‌رسد که واقعی باشد، شما بازدهی (Yield) هستید.