武器化交易机器人通过AI生成的YouTube骗局从加密用户处抽走100万美元
SentinelLABS的报告揭示了一场复杂的活动,利用AI生成的YouTube视频和被操纵的智能合约,从无辜用户处转移超过100万美元的以太坊。宣传视频采用AI虚拟形象和语音,引导观众部署恶意的MEV套利机器人。合约中包含隐藏例程,通过XOR混淆和大规模十进制转十六进制转换,将资金路由至攻击者钱包。
部署指令指向Remix IDE,要求用ETH为合约提供资金,并调用Start()函数。该函数并未执行套利操作,而是触发回退机制,将用户存款转移至隐藏的以太坊账户。最赚钱的地址0x8725...6831收集了244.9 ETH(约90.2万美元),随后将资金发送至次级地址以阻碍追踪。
SentinelLABS发现该活动依赖于内容无关的老旧YouTube频道和被操纵的评论来伪造可信度。一些视频为非公开,通过Telegram和私信传播。研究人员在主要教程账号@Jazz_Braze上发现了387,000次观看,该账号对合约所有权缺乏任何透明度。
受影响钱包通常显示受害者与攻击者的外部拥有账户共同拥有结构。即使未激活主函数,回退例程也赋予攻击者完全的提款权限。较小的钱包获得了五位数的收益,但只有Jazz_Braze教程吸引了九位数的存款。
对此,SentinelLABS敦促谨慎:社交媒体上宣传的免费交易机器人绝不可在未经全面审核的情况下部署。建议用户即便在测试网上也要彻底审查代码,以检测混淆地址和未经授权的控制流。此事件凸显了开发者层面审查和社区智能合约风险教育的紧迫需求。
SentinelLABS继续与交易所和分析平台合作,追踪攻击者动向并追回被盗资金。持续监控旨在识别类似AI驱动骗局,防止未来损失。
评论 (0)