撰文:Liz,慢雾

背景

今年初,慢雾创始人 Cos 在 X 上提醒用户注意套利 MEV 机器人骗局,如今黑客团伙也是紧跟热点,骗局的名字也从「简单易用的 Uniswap 套利 MEV 机器人」变成了「ChatGPT 套利 MEV 机器人:如何使用滑点机器人每天完全被动地赚取 2000 美元」。慢雾安全团队注意到,近期因这类骗局受损的用户数量有所增加,因此,本文将讲解该骗局的套路和分析骗子的资金转移模式,帮助用户避免落入此类骗局。

(https://x.com/evilcos/status/1745728599171457120)

套利反被骗

AI 已经成为越来越多人提升生产力的工具,骗子也深谙这一点,给自己的骗局带上了 ChatGPT 这个标签,既吸引注意力,又显得靠谱高级。然而,ChatGPT 只在骗子的视频教程里短暂出现过:骗子声称套利机器人的代码是他利用 ChatGPT 生成的,顺带打消了一部分用户对代码作恶的怀疑。

(https://www.youtube.com/watch?v=Z32hH3eLK-c)

实际上,仔细看骗子在 YouTube 制作的视频,不难发现音画不同步,历史视频是凑数的,账号大概率是买的。种种迹象表明这个 YouTuber 不可信,尽管评论区几乎被好评和感谢的话占领,但往下翻就能发现一些受害者的提醒和警告。

骗子声称,他的这个机器人可以监控 Ethereum 上的新代币和大的价格变化,寻找套利机会,用户只需要坐等收钱就行。而用户首先得有个 MetaMask 钱包,然后打开教程中提供的 Remix 链接(假 Remix)。

接着,用户需要粘贴骗子提供的代码、编译机器人和部署智能合约。到了这一步,骗子表示用户得为合约提供初始资金,且往合约里存越多的 ETH,就能获得越多的利润。而在用户按上述流程操作并点击了「start」后,钱就「消失」了,打入的套利本金都进入骗子钱包地址,因为代码有后门。

我们以 Web3 反诈骗平台 Scam Sniffer 报道过的下述诈骗事件为例,分析此类骗子的资金转移模式。

(https://x.com/realScamSniffer/status/1828364436241031669)

使用链上追踪和反洗钱平台 MistTrack 查询骗子的地址 (0xAEF35f154C318c87744913f38A6d357691258122),可以看到从八月底至今,仅骗子的这个地址就已获利约 30 ETH,受害者超过百人。

该地址的资金转入模式单一,均为受害者根据上述骗局的流程操作,将 ETH 转入合约,随后被骗子盗走。转出模式呈现直接转入交易所;或是转移至用于暂存资金的地址(如:0xea06b983e144432919779b236ba28ece28b74ec6),然后再转入交易所。

下图中的 0x442a4960c783affe2b6d9884f32d7cf2683a408b 和 0x44d63ce270637553f89f3c2706869d98d1248da3 也是骗子用来直接收集受害者资金的地址,这两个地址创建于八月底,至今已盗走约 20 ETH,受害者约 93 名。

由于骗子采取广撒网,积小利的模式,因此虽然受害者众多,但因损失相对较少,花费精力去追究不太现实,这类骗子也因此能够长期逍遥法外,给骗局换个「皮」便可继续进行类似的欺诈活动。Remix 已在其网站提醒用户们注意此类骗局,在其发布在 Medium 上的骗局分析文章的评论区发现,从两年前到近期都有受害者发布被骗的留言,还有不少用户提供了相关诈骗视频的链接,提醒大家注意安全,可见这类骗局的泛滥程度。

总结

慢雾安全团队提醒广大用户,切勿点击不明链接或运行不明代码。既然骗子声称代码是由 ChatGPT 生成的,那我们至少可以将代码再发给 ChatGPT、Claude 等工具检查下,看看是否包含恶意行为。许多用户原本只是希望赚取被动收益,也愿意付出本金,但跟着骗子一通操作,没想到最后本金也没了,倒是骗子靠着这些「教程」忽悠了一个个受害者往他的钱包里转钱,实现「被动收益」。因此,请用户们保持警惕,操作前多确认下是天降馅饼还是陷阱,避免资金受损。