武器化交易機器人通過人工智能生成的YouTube騙局從加密貨幣用戶那裏掏走100萬美元

根據SentinelLABS的新報告，超過100萬美元通過僞裝成最大可提取價值(MEV)量化機器人的惡意智能合約從毫不知情的加密用戶手中 siphoned。

該活動利用AI生成的YouTube視頻、老舊帳戶和模糊化的Solidity代碼繞過基本用戶審查，獲取加密錢包的訪問權限。

騙子似乎正在使用人工智能生成的頭像和聲音來降低制作成本，並擴大視頻內容的規模。

這些教程發布在老舊的 YouTube 帳戶上，這些帳戶充滿了無關內容和操控過的評論區，以營造出可信度的假象。在某些情況下，這些視頻是非公開的，很可能通過 Telegram 或私信進行分發。

騙局的核心是一個被宣傳爲盈利套利機器人的智能合約。受害者通過YouTube教程被指示使用Remix部署合約，使用ETH爲其提供資金，並調用“Start()”函數。

然而，實際上，該合約將資金路由到一個隱蔽的、攻擊者控制的錢包，使用了諸如XOR混淆(等技術，通過與其他值混淆來隱藏數據)，以及大規模的十進制到十六進制轉換(，將大數字轉換爲錢包可讀的地址格式)，以掩蓋目標地址(，這使得資金恢復更加棘手)。

最成功的識別地址 — 0x8725...6831 — 從毫無戒心的部署者那裏獲得了244.9 ETH (，約合902,000)美元。該錢包與帳號 @Jazz_Braze 發布的一個視頻教程相關，該視頻在YouTube上仍然可以觀看，已有超過387,000次觀看。

“SentinelLABS的研究人員指出：‘每個合約將受害者的錢包和一個隱藏的攻擊者EOA設置爲共同擁有者。即使受害者沒有激活主功能，後備機制也允許攻擊者提取存入的資金。’

因此，這種騙局的成功程度廣泛但不均勻。雖然大多數攻擊者的錢包獲得了四到五位數的收入，但僅有一個(與Jazz_Braze)相關的清除了超過90萬美元的價值。資金隨後被批量轉移到二級地址，可能是爲了進一步分散可追溯性。

同時，SentinelLABS警告用戶避免在社交媒體上部署宣傳的“免費機器人”，特別是那些涉及手動智能合約部署的。該公司強調，即使是在測試網中部署的代碼也應該徹底審查，因爲類似的策略可以輕易跨鏈遷移。

閱讀更多：在Web3黑客攻擊中，$31億的損失中，多重籤名失敗佔主導地位

查看評論