网络安全公司Sentinellabs具有 裸露 一项复杂的骗局活动,从毫无戒心的加密用户中汲取了超过90万美元的费用。
根据报告,攻击者使用恶意 以太坊– 基于伪装的智能合约将其伪装成针对遵循YouTube上看似教育内容的个人的贸易机器人。
该报告补充说,这些骗局自2024年初以来一直活跃,并通过新的视频和帐户不断发展。
骗局的工作方式
欺诈计划围绕YouTube视频,提供有关部署自动交易机器人的教程,特别是 最大可提取值(MEV)机器人,通过Remix Solidity Compiler,这是一种流行的基于Web的IDE,用于智能合同开发。
这些视频指导观众从外部链接下载智能合同代码。部署后,对合同进行编程,以直接从用户钱包中排出资金。
骗子投资于老化的YouTube帐户,以使其显得可信,并以偏离或看似合法的方式填充它们 与加密相关的内容。这种策略有助于提高可见性,同时建立信任的幻想。
AI生成的视频
该活动中的一个显着策略是使用 AI生成的视频。根据该公司的说法,许多教程剪辑具有合成的声音,并带有机器人色调,不自然的节奏和僵硬的面部运动。
这种方法使肇事者可以在不雇用真实参与者的情况下快速生产骗局内容,从而大大降低运营成本。
但是,Sentinellabs发现的最有利可图的视频(因耗尽90万美元而受到负责)是由真实的人而不是AI Avatar创建的。这表明,尽管自动化增强了可扩展性,但人类生成的内容仍可能会推动更高的转化率。
同时,Sentinellabs还发现了武器化合同的多次迭代,每种合同都使用不同的混淆技术来隐藏攻击者控制的外部账户(EOAAS)。
尽管有些合同共享了一个共同的钱包地址,但许多其他合同使用了不同的目的地,因此很难确定该活动是单个实体还是多个威胁行为者的工作。
考虑到这一点,Sentinellabs警告说,将Web3工具,社会工程和生成性AI融合会呈现出越来越多的威胁格局。
该公司敦促加密用户验证所有外部代码源,并持怀疑态度过于善,尤其是那些通过未经审查的YouTube教程推广的bot
