武裝化交易機器人透過AI生成的YouTube詐騙從加密用戶中套取100萬美元
SentinelLABS的報告揭露了一場利用AI生成的YouTube影片及操控智能合約的複雜攻擊行動,從毫無戒心的用戶身上吸取超過100萬美元的以太幣。宣傳影片中出現AI虛擬形象和聲音,引導觀眾部署惡意的MEV套利機器人。合約包含隱藏的程序,透過XOR混淆和大型十進制轉十六進制的方式,將資金轉移至攻擊者錢包。
部署指南指示受害者使用Remix IDE,為合約注入ETH,並調用Start()
函數。該函數非執行套利操作,而是觸發後備機制,將用戶存款轉移至隱藏的以太坊帳戶。最賺錢的地址0x8725...6831收取了244.9 ETH(約合90.2萬美元),隨後將資金轉移至次級地址以妨礙追蹤。
SentinelLABS發現此攻擊依賴多年歷史且內容無關的YouTube頻道及被操控的留言,以假裝具可信度。部分影片未公開,並透過Telegram和私訊分發。研究人員發現主教程帳號@Jazz_Braze擁有387,000次觀看,但未揭露任何合約擁有權資訊。
受影響錢包常顯示受害者與攻擊者外部擁有帳戶的共管結構。即使未觸發主函數,後備例程仍賦予攻擊者全面提領權限。較小錢包獲得五位數資金,但僅Jazz_Braze教程吸引了九位數存款。
SentinelLABS呼籲注意:社群媒體所宣傳的免費交易機器人絕不可在未經徹底審計的情況下部署。用戶應仔細審查程式碼,即使在測試網也要檢查混淆地址和未授權的控制流程。此事件強調了開發者層級的審核及社群教育對智能合約風險的迫切需求。
SentinelLABS持續與交易所及分析平台合作,追蹤攻擊者動向並回收被盜資金。持續監控旨在識別類似AI驅動的詐騙並防止未來損失。
(0)