赞助内容
Web3 正面临新一轮针对使用者野心的诈骗浪潮。许多渴望成为交易员的人都在寻找 MEV( 最大可提取价值)或套利策略。 MEV 指的是交易员透过控制链上交易的排序方式,从区块中获取的额外利润。他们会遇到一些教程,承诺可以自动获利,有时甚至会使用 ChatGPT 编写的程式码。
残酷的现实是,恶意智能合约会自行执行,窃取他们帐户中的资金并将其转移给骇客。最近的报告显示,诈骗分子透过这种方式「赚取」 了超过90万美元的被盗加密货币。
这种骗局属于一种新型的教育诈骗,它以搭建黄牛机器人为教学内容,其实是个陷阱。受害者部署了一个看似交易工具的合约,用ETH为其充值,然后触发一个会掏空他们帐户的功能。攻击者无需直接操作钱包,因为所有技术步骤都是受害者自己完成的。
教学驱动型 Web3 诈骗的兴起
虚假的MEV教学在各大社群平台上广泛传播,这些平台正是用户搜寻Web3教育内容的地方。这些教学的制作品质往往与正规的交易或开发内容不相上下。解说者对著镜头讲话,然后切换到萤幕分享,并在使用者熟悉的介面中示范部署过程。
社会认同强化了真实性的假象。留言区充斥著赞扬之声,帐号头像酷似真实博主,粉丝数看起来也很可观。
MEV机器人合约中的隐藏陷阱
真正的危险隐藏在影片下方连结的智慧合约模板中。每个教程提供的档案略有不同。非技术用户看到的是一个复杂但看似合理的 Solidity 合约,以开源程式码的形式发布,并由此推断创建者已经完成了所有繁重的工作。这些程式码通常以片段的形式透过 Pastebin 或 Google Docs 分享,然后被汇入到 Remix IDE 和 Etherscan 等常用工具中进行编译、部署和验证。
这段程式码中隐藏著一个「垃圾」字串,它编码了攻击者的钱包位址,但不像标准的十六进位位址。例如,像 QG384C1A318cE21D85F34A8D2748311EA2F91c84f0 这样的字串看起来不像普通的十六进位位址,但它仍然编码了一个钱包位址。
辅助函数将其重塑为 40 个字元的序列,该序列代表一个 20 位元组的以太坊位址。诸如“executeTrades”或“_stringReplace”之类的函数会复制该字串,替换字元并组装成目标位址。
我们侦测到一种新的虚假 MEV 机器人诈骗。
— Web3 Antivirus (@web3_antivirus) 2025年10月3日
骗子在 YouTube上发布教程,教唆用户部署「获利机器人」并存入ETH 。在这个案例中,受害者先存入了 1 个ETH ,然后看到攻击者伪造的获利活动(少量ETH流入合约)。 …… https://t.co/37khSJPH6J pic.twitter.com/Gobj240EyK
该合约的核心目的并非交易。其逻辑会重构隐藏位址,并将所有存入的ETH重新导向到该钱包,同时透过混淆技术来防止这种行为被轻易发现,而程式码的可见部分则继续模仿合法的 MEV 策略。
虚假盈利演示如何促成交易
在最初的诱饵——一段专业录制的影片——之后,骇客会解释操作步骤,并指导受害者完成每一步。他们会即时演示整个过程,并展示合约余额如何在提款前不断增长。
示范方案通常包含四个步骤:
受害者部署恶意合约并用ETH(例如,1 个ETH)为其注资。他们误以为这是一个有利可图的交易机器人。
诈骗者从另一个钱包向合约地址发送少量ETH (例如 0.1 ETH),从而制造出虚假的盈利感。
受害者查看合约余额,发现余额从 1 ETH增加到 1.1 ETH。这种明显的成长让他们相信机器人有效,并促使他们存入更多资金。
当受害者提取资金或调用预定义函数时,合约会触发资金转移函数,将全部余额(受害者的 1 ETH加上 0.1 ETH诱饵)转移到诈骗者的钱包。
当受害者与合约功能互动时,陷阱就会启动。诸如「开始」、「停止」和「提现」之类的标签看起来像是机器人控制,但每个版本的骗局都会透过不同的路径转移资金。有些合约会在调用「开始」后立即转移资金,而另一些合约则会在一段时间的盈利后,当调用「停止」或「提现」时才触发资金转移。攻击者也会监控已部署的合约,如果资金在某个从未执行到最后一步的合约中闲置,他们就会呼叫一个单独的函数。
为什么传统安全工具会忽略它
传统的安全工具难以应付伪造的 MEV 机器人,因为其表面讯号看起来并无恶意。受害者会自行部署合约程式码,因此交易记录不会显示恶意空投或典型的网路钓鱼行为。该合约在 Etherscan 上验证正确,Remix 和Metamask处理部署和互动的方式与其他去中心化应用程式 (DApp)并无二致,因此整个流程看起来就像一个标准的开源部署。
传统的反钓鱼过滤器和交易扫描器专注于可疑的URL或代币授权,而伪造的MEV机器人则将风险转移到合约内部逻辑。只有运行时检测和地址智慧才能在合约执行前识别出其中隐藏的模式。
Web3 防毒软体如何提供协助
Web3 防毒软体依赖行为分析以及程式码和位址智慧分析。其检测过程分为以下阶段:
监控:Web3 Antivirus 会追踪网路上出现的新合约。
侦测可疑合约:系统会监控每个合约及其创建者的生命周期。当创建者为合约注资后,呼叫函数将全部余额转移到第三方位址时,就会出现一个关键的危险讯号。一旦出现这种模式,系统会将该合约及其关联位址标记为潜在的诈骗,并记录合约字节码。
诈骗确认:如果两起以上类似的资金转移事件涉及相同的合约字节码,Web3 Antivirus 会将该合约标记为已确认的诈骗。系统会标记该合约、其字节码、受影响的受害者以及接收资金的地址。
资料库更新:平台会将已确认的诈骗字节码添加到资料库中,并对照该库检查每个新建立的合约。当任何合约资金被盗时,系统会将目标地址与已知的诈骗群集进行比对。此过程会将累积的资料应用于新的交易、合约和地址。
这款浏览器扩充功能可在用户使用时提供此类安全情报。此扩充程式会拦截交易、分析目标合约并将其位元组码与已知模式进行比对。它会在后台静默运行,并在高风险互动发生前发出警告,因此大多数用户无需具备深厚的安全专业知识即可获得保护。
一名用户在 YouTube 上听信了一个虚假的 MEV 机器人教学后,损失了近 3 美元ETH (10,393 美元)。
— Web3 Antivirus (@web3_antivirus) 2025年7月24日
受害者部署了一个恶意合约: https://t.co/Fm7icQntrT
然后,受害者为合约注资并触发了「启动」功能,以为这样就能获利。 pic.twitter.com /GQfVX7apom
即使攻击者修改程式码中的表面细节,侦测逻辑仍然有效,因为系统专注于行为特征和重复的流量流。随著新型诈骗手段的出现,资料库也不断扩展,这种持续学习有助于一般使用者避免与早期攻击具有相似结构的新变种。
面向 Web3 的预测性保护
伪造的MEV机器人清楚展现了攻击者如何迅速适应Web3领域的新机会。教育内容已成为最具攻击力的途径之一。合约看似用户自制,工具也看似标准,可见的操作步骤也与常规部署步骤无异。
在这种环境下,被动式安全措施远远不够。防护措施必须在大量资金流动之前,预先预测合约的设计意图。 Web3 Antivirus 旨在透过持续监控、字节码智慧和即时交易分析来弥补这一缺陷。随著虚假 MEV 机器人骗局的不断演变,这类基于行为的工具为加密货币市场的日常参与者提供了一层至关重要的防御。
免责声明。 Cointelegraph 不为本页面上的任何内容或产品背书。尽管Cointelegraph力求在本篇赞助文章中提供我们所能获取的所有重要信息,但读者在采取任何与公司相关的行动之前,应自行进行研究,并对自己的决定承担全部责任。此外,本文不应被视为投资建议。
