AI生成YouTube视频通过恶意MEV机器人诈骗促成逾100万美元加密货币盗窃

执行摘要

SentinelLABS报告称，通过利用AI生成的YouTube视频推广伪装成MEV交易机器人的恶意智能合约，超过100万美元已从加密货币用户手中被骗走，这凸显了Web3安全漏洞的日益增长。

事件详情

SentinelLABS发布了一份报告，详细阐述了一系列加密货币诈骗案，这些诈骗已导致用户损失超过100万美元。攻击者利用AI生成的YouTube视频来宣传恶意智能合约，这些合约被呈现为高利润的最大可提取价值（MEV）交易机器人。这些视频指导受害者使用Remix Solidity编译器平台部署智能合约，用以太坊（ETH）为其注资，并启动一个“Start()”函数。该活动利用了拥有不相关内容的老旧YouTube账户和被操纵的评论区来营造虚假的合法性。一些视频是未公开的，表明它们是通过Telegram等私人渠道或直接消息进行分发的。AI生成的头像和声音的使用简化了内容制作，使攻击者能够有效地扩大其欺诈活动。

财务机制

诈骗的核心是一个旨在耗尽用户钱包的恶意智能合约。受害者被指示部署此合约，但他们不知道的是，其存入的资金会被路由到一个隐蔽的、由攻击者控制的钱包。诈骗者利用高级混淆技术，包括异或混淆和大十进制到十六进制转换，以掩盖合约代码中资金的真实目标地址。SentinelLABS识别出一个特别成功的地址，0x8725…6831，该地址从毫无戒心的部署者那里积累了244.9 ETH，约合90.2万美元。此外，这些合约还设计了回退机制，即使受害者没有激活主要的“Start()”函数，攻击者也可以提取存入的资金，从而确保了资产管理中的漏洞。EVM字节码分析工具skanf的独立研究显示，这种混淆通常会隐藏关键漏洞，而不是增强安全性。skanf检测到1,028个合约中的漏洞，并成功为其中373个生成了攻击利用，潜在损失超过900万美元。此外，skanf发现的40起真实世界的MEV机器人攻击总共造成了90万美元的损失，这凸显了这些复杂攻击的普遍性和财务影响。

商业策略与市场定位

这些诈骗代表了Web3生态系统中网络犯罪策略的复杂演变。通过社会工程利用人类的脆弱性，并利用像AI生成视频这样易于获取的技术，攻击者可以低成本快速部署看似可信的内容。使用老旧YouTube账户和管理评论区的策略是经过计算的努力，旨在绕过初步审查并建立虚假的信任感，这与在各种数字平台上观察到的既定网络钓鱼和社会工程模式如出一辙。这种方法与依赖透明度和可验证审计的合法项目形成鲜明对比。这些方法的有效性凸显了一个市场，其中用户教育和平台内容审核难以跟上不断变化的威胁。

市场影响

此事件凸显了加密领域中一个重要且不断增长的威胁载体，可能侵蚀用户信任，并需要加强安全措施和用户教育。AI生成内容用于促进此类诈骗的便捷性可能导致对AI在金融推广中作用的更严格审查，并促使像YouTube这样的平台收紧加密货币相关内容的内容审核政策。Hacken 2025上半年Web3安全报告指出，2025年上半年数字资产被盗金额达到31亿美元，超过2024年全年总和。这个数字凸显了一个更广泛的趋势，即访问控制漏洞（占事件的18.3亿美元或59%）和智能合约缺陷（导致2.63亿美元或8%的损失）仍然是关键漏洞。利用智能合约漏洞和社会工程策略的诈骗泛滥表明，Web3的安全格局仍然极具挑战性。

专家评论

SentinelLABS研究人员明确警告用户“避免部署在社交媒体上宣传的免费机器人，特别是那些涉及手动智能合约部署的”。他们进一步指出，“每个合约都将受害者的钱包和一个隐藏的攻击者EOA（外部拥有账户）设置为共同所有者”，并且“即使受害者没有激活主要功能，回退机制也允许攻击者提取存入的资金”，揭示了这种掠夺性设计的深度。专家强调，Web3安全中最薄弱的环节往往在于人类的脆弱性而非加密问题，敦促对通过未经证实社交媒体推广的交易工具保持极其谨慎。

更广泛的背景

AI生成诈骗视频的兴起与针对加密社区的复杂网络威胁的广泛激增相符。2024年的数据显示，社交媒体平台与53%的加密货币欺诈方案相关联，AI生成深度伪造诈骗在2023年至2025年间激增了900%。网络钓鱼攻击仍然是最常见的策略，在2024年占加密货币欺诈案件的31%，这表明数字资产领域存在持续的漏洞。2024年，加密货币欺诈案件中每位受害者的平均损失上升至12,400美元，2025年的预测估计平均损失为38,000美元，这表明全球加密货币投资者面临的金融风险正在迅速升级。这一持续趋势强调了在快速发展的Web3环境中加强安全协议、积极平台审核和持续用户教育的迫切需求。