利用人工智能生成的YouTube骗局，武器化交易机器人从加密货币用户处抽取100万美元

根据 SentinelLABS 的最新报告，已有超过 100 万美元通过伪装成 MEV 交易机器人的恶意智能合约从毫无戒备的加密用户手中被盗取。

该活动利用了 AI 生成的 YouTube 视频、老账户及混淆的 Solidity 代码，以规避基本的用户审查并获取加密货币钱包的访问权限。

诈骗者似乎正在利用 AI 生成的头像和声音，以降低制作成本并扩大视频内容的规模。

这些教程发布在含有无关内容且评论区被操控的老旧YouTube账户上，以制造可信度的假象。在某些情况下，视频为非公开视频，可能通过Telegram或私信渠道分发。

骗局的核心是一份被宣传为盈利套利机器人的智能合约。受害者通过 YouTube 教程被指导使用 Remix 部署该合约，注入 ETH 资金，并调用“Start()”函数。

然而，实际上，该合约将资金转移至一个隐蔽的攻击者控制的钱包，采用了诸如XOR混淆（通过与另一个数值进行异或运算来隐藏数据）和大型十进制转十六进制转换（将大数转换为钱包可识别的地址格式）等技术，以掩盖目标地址（这使得资金追回更加困难）。

最成功的已识别地址——0x8725...6831——通过不知情的部署者存款共计获得了244.9 ETH（约合90.2万美元）。该钱包被追踪到与该账户发布的视频教程相关联@Jazz_Braze，在 YouTube 上仍然直播，观看次数超过 387,000 次。

“每个合约都将受害者的钱包和一个隐藏的攻击者外部拥有账户（EOA）设为共同所有者，”SentinelLABS 研究人员指出。“即使受害者未激活主要功能，回退机制仍允许攻击者提取存入的资金。”

因此，该骗局的成功范围广泛但不均衡。虽然大多数攻击者钱包获得了四到五位数的收益，但只有一个（与相关联）Jazz_Braze) 价值超过 90 万美元的资金被清算。随后，这些资金被批量转移到二级地址，可能是为了进一步分散可追踪性。

与此同时，SentinelLABS 警告用户避免部署社交媒体上宣传的“免费机器人”，尤其是涉及手动智能合约部署的机器人。该公司强调，即使是在测试网部署的代码也应进行彻底审查，因为类似的手法很容易跨链迁移。

阅读更多：多重签名失败主导，2023年上半年Web3攻击损失达31亿美元