武器化交易機器人透過AI生成的YouTube詐騙從加密用戶手中抽走100萬美元
SentinelLABS報告揭示了一個複雜的活動,利用AI生成的YouTube視頻和被操控的智能合約,從毫無戒心的用戶手中吸取超過100萬美元以太幣。推廣視頻中使用了AI虛擬形象和聲音,引導觀眾部署惡意的MEV套匯機器人。合約包含隱藏程序,通過XOR混淆和大數字十進制轉十六進制轉換,將資金路由至攻擊者錢包。
部署指示要求受害者使用Remix IDE,為合約注資ETH,並調用Start()函數。該函數並未執行套利操作,而是觸發回退機制,將用戶存款轉移到隱藏的以太坊賬戶。最盈利的地址0x8725...6831收集了244.9 ETH(約$902,000),然後將資金轉至次級地址以阻礙追蹤。
SentinelLABS發現此活動依賴老舊且內容無關的YouTube頻道,以及被操控的評論來製造可信度。一些視頻未公開,通過Telegram和私人消息分發。研究人員發現主要教程帳號@Jazz_Braze擁有387,000次觀看,但對合約所有權毫無透明度。
受影響錢包經常顯示受害者與攻擊者外部擁有的帳戶之間的共同所有權結構。即使主函數未被啟動,回退機制仍賦予攻擊者完全提款權限。較小的錢包獲得了五位數的金額,但僅Jazz_Braze教程吸引了九位數的存款。
為此,SentinelLABS呼籲謹慎:社交媒體上宣傳的免費交易機器人切勿在未經全面審核的情況下部署。用戶應詳細審查代碼,即使是在測試網路上,以檢測混淆地址和未授權的控制流程。此次事件凸顯了開發者層面的嚴密審查及加強社區智能合約風險教育的迫切需求。
SentinelLABS持續與交易所及分析平台合作,追蹤攻擊者行動並追回被盜資金。持續監控旨在識別類似的AI驅動詐騙並防止未來損失。
(0)