武器化交易机器人通过人工智能生成的YouTube骗局从加密货币用户那里掏走100万美元

根据SentinelLABS的新报告，超过100万美元通过伪装成最大可提取价值(MEV)量化机器人的恶意智能合约从毫不知情的加密用户手中 siphoned。

该活动利用AI生成的YouTube视频、老旧账户和模糊化的Solidity代码绕过基本用户审查，获取加密钱包的访问权限。

骗子似乎正在使用人工智能生成的头像和声音来降低制作成本，并扩大视频内容的规模。

这些教程发布在老旧的 YouTube 账户上，这些账户充满了无关内容和操控过的评论区，以营造出可信度的假象。在某些情况下，这些视频是非公开的，很可能通过 Telegram 或私信进行分发。

骗局的核心是一个被宣传为盈利套利机器人的智能合约。受害者通过YouTube教程被指示使用Remix部署合约，使用ETH为其提供资金，并调用“Start()”函数。

然而，实际上，该合约将资金路由到一个隐蔽的、攻击者控制的钱包，使用了诸如XOR混淆(等技术，通过与其他值混淆来隐藏数据)，以及大规模的十进制到十六进制转换(，将大数字转换为钱包可读的地址格式)，以掩盖目标地址(，这使得资金恢复更加棘手)。

最成功的识别地址 — 0x8725...6831 — 从毫无戒心的部署者那里获得了244.9 ETH (，约合902,000)美元。该钱包与账号 @Jazz_Braze 发布的一个视频教程相关，该视频在YouTube上仍然可以观看，已有超过387,000次观看。

“SentinelLABS的研究人员指出：‘每个合约将受害者的钱包和一个隐藏的攻击者EOA设置为共同拥有者。即使受害者没有激活主功能，后备机制也允许攻击者提取存入的资金。’

因此，这种骗局的成功程度广泛但不均匀。虽然大多数攻击者的钱包获得了四到五位数的收入，但仅有一个(与Jazz_Braze)相关的清除了超过90万美元的价值。资金随后被批量转移到二级地址，可能是为了进一步分散可追溯性。

同时，SentinelLABS警告用户避免在社交媒体上部署宣传的“免费机器人”，特别是那些涉及手动智能合约部署的。该公司强调，即使是在测试网中部署的代码也应该彻底审查，因为类似的策略可以轻易跨链迁移。

阅读更多：在Web3黑客攻击中，$31亿的损失中，多重签名失败占主导地位

查看评论