套利機器人,又稱三明治機器人或夾子機器人,它可以實時檢測Pancake或uniswap上面所有的交易,發現一定金額以上的交易時,會通過提高Gas費在購買者之前提前買入,然后等它的買入成功抬高價格后,再自動賣出,實現套利。套利機器人都是通過智能合約部署,24小時全天候運行。
在這種靠著套利機器人自動獲利的模式傳播開來之后,很多人都想通過這種途徑實現躺著賺錢。然而,就在這些人在想著躺著賺錢時,卻又另一批人謀劃著收割這些人的錢。
最近,我在研究套利機器人時,發現網上有不少教程,視頻加文字講解,事無巨細,無比貼心。然而,事實上卻是暗藏禍心。
我們先來看看第一個套路:https://www.youtube.com/watch?v=yj0RJ-3YuWk?。
下面是視頻教程最新的截圖,顯示視頻播放量已達15k之多,且攻擊者仍保持更新,以便吸引更多的人關注并實施釣魚攻擊。
接下來看看評論區,發現竟然一片叫好,只是不知道是攻擊者自己刷好評,還是受害者還沒意識自己已經受騙呢?
北京朝陽區將每年投入不少于1億元支持互聯網3.0產業建設:金色財經報道,在今日舉行的中關村論壇-互聯網3.0:未來互聯網產業發展論壇上,中關村朝陽園管委會主任楊洪福表示,從今年起,朝陽區將每年投入不少于1億元的專項資金,用于支持互聯網3.0產業生態體系建設。根據《朝陽區互聯網3.0創新發展三年行動計劃(2023年-2025年)》,目標到2025年將朝陽區打造成為具有全國引領性的互聯網3.0產業高地。(財聯社)[2023/5/27 9:45:51]
隨后,我總結了下視頻中攻擊者教導用戶的步驟,大致如下:
創建MetaMask錢包,連接BSC或ETH主網;訪問編譯器Remix,進行Remix編輯器的基本介紹;點擊“contracts”文件夾并創建一個“NewFile”,根據需要重命名,如:“AutoBot.sol”;在Remix中粘貼給定鏈接中寫好的智能合約代碼;移動到SolidityCompiler選項卡,選擇對應版本編譯;移動到部署選項卡,選擇InjectedWeb3環境,連接MetaMask錢包授權;填寫_tokenName和_tokenSymbol,點擊DEPLOY進行部署;部署成功后,用MetaMask錢包向剛剛部署的合約進行轉賬,存入資金,并溫馨提示轉賬的合約地址別填錯了;交易確認后,點擊“Action”按鈕啟動BOT。接下來,攻擊者貼出了代碼地址?https://rentry.co/9349g/raw?,我們發現,該代碼也是持續在更新,猜測是更新攻擊者的錢包地址,保證獲利不放在同一個錢包地址。
比特幣法律辯護基金正支持核心開發者對澳本聰提起訴訟:金色財經報道,由Block(原Square)首席執行官Jack Dorsey支持的比特幣法律辯護基金(BLDF)支持核心開發人員對澳本聰(Craig Wright)提起訴訟,比特幣法律辯護基金的首席法律官Jessica Jonas表示,比特幣法律辯護基金站出來是為了捍衛自由、開源軟件的權利。(decrypt.co)[2023/4/27 14:30:03]
把代碼下載到本地后,縱觀全部代碼,共有500多行,且看函數名和注釋,涉及到合約、內存池、流動性等操作,且代碼內有大量hex字符串代碼,閱讀難度大,給人一種看起來很干貨的錯覺。攻擊者這樣設計,很容易讓部分讀者知難而退,不去深究合約代碼的細節,從而按照攻擊者既定的步驟直接進行合約部署并運行。
一般遇到這種閱讀難度大的代碼怎么辦呢?
既然全部代碼的閱讀難度大,那我們就直接從攻擊者誘導我們執行的函數*action()*開始,看看到底想干啥。
安全團隊:DeFi AI項目發生Rug pull,合約部署者獲利約4000萬美元:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin?EagleEye 安全風險監控、預警與阻斷平臺監測顯示, DeFi AI項目發生Rug pull,合約部署者獲利約4000萬美元。Beosin Trace正在對被盜資金進行監控和追蹤。[2022/11/14 13:02:16]
從代碼分析,很容易得出結論:
引誘用戶將本合約的全部余額轉給*_callFrontRunActionMempool()*函數返回的這個地址。
繼續往上追蹤,發現調用了*parseMemoryPool()和callMempool()*兩個函數:
看名字也誤以為是操作內存池,而這就是攻擊者故意做的混淆,我們把相關的函數全部提取出來拼接整理如下:
MetisDAO:注意到持續的 RPC 問題,開發團隊正在修復:8月6日消息,以太坊擴容解決方案 MetisDAO 發推稱注意到持續的 RPC 問題,目前開發團隊正在努力修復。此前有用戶稱,Metis網絡已54分鐘沒有出塊。[2022/8/6 12:06:25]
這段代碼看起來很高大上且難以閱讀,涉及很多硬編碼的hex字符串計算,實質上就是進行地址拼接。我們在這里不做細節講解,直接在remix上選擇JavaScriptVM進行部署運行:
電子音樂制作人deadmau5與金融科技公司Zytara達成合作:6月15日消息,電子音樂制作人deadmau5與金融科技公司Zytara達成品牌合作。Zytara將使deadmau5粉絲能夠獲得deadmau5定制設計的實物借記卡和虛擬借記卡,可以在全球4500多萬商家使用。此外,通過deadmau5品牌的金融科技應用程序,粉絲可以訪問deadmau5的在線商店,購買其商品、音樂會門票以及游戲內商品。(Beincrypto)[2022/6/15 4:28:23]
輸出為:0x2b47f7cffa72e048afff49d6c0fdffecf477feaa
顯然,這就是一個攻擊者的錢包地址。
我們去瀏覽器上查看,發現這個地址比較新,只獲利了0.01BNB。
顯然,攻擊者是定期更新攻擊者錢包地址,一方面避免被追蹤,一方面給受害者一種代碼定時更新的假象。
然而,故事還沒結束。
我在YouTube上繼續搜尋,又發現了一個攻擊套路:?https://www.youtube.com/watch?v=z6MmH6mT2kI,這個視頻所采取的詐騙路數和上一個如出一轍,不同點在于對攻擊者錢包地址的隱匿手法。
這里攻擊者引誘用戶將本合約的全部余額轉給*manager.uniswapDepositAddress()*返回的這個地址。
這里調用了*manager.uniswapDepositAddress(),*本身代碼也不在本合約中,看名字又極具迷惑性,很容易讓人以為是調用了uniswap的某個官方函數而掉以輕心。但我們根據本合約引用的代碼進行追蹤,發現存在于這個地址:
進一步到bitbucket的代碼庫中進行跟蹤,可以發現*manager.uniswapDepositAddress()*返回的就是攻擊者的其中一個錢包地址:
在本案例中,攻擊者甚至都拋棄了復雜的hex運算,直接從import方式獲取錢包地址,簡單粗暴。
我們去瀏覽器上查看,發現該地址持續收到轉賬,說明一直都有人上當受騙。
上面為什么說是攻擊者的其中一個錢包地址呢?因為我們對攻擊者的bitbucket中進行了代碼掃描,初步發現了利用這種方法攻擊的收款地址多達十幾個,攻擊者只需要更改import文件即可實現收款地址的更改,這些地址均使用*manager.uniswapDepositAddress()*進行偽裝。
就在我準備結束時,竟然意外收到了朋友的舉報:https://www.youtube.com/watch?v=OZ-YAB5_-Dg
這是一個代碼更簡單,釣魚更直接,更新也最頻繁,播放量也最高的一個。
我們用同樣的方法進行分析,先通過攻擊者的代碼地址https://pst.klgrth.io/paste/kyh3m/raw將代碼拷貝到remix,發現大部分都是注釋。果斷先刪掉注釋后,再來看:
發現攻擊手法如出一轍,且代碼更加簡單粗暴。同樣action()直接調用transfer進行轉賬,而轉賬地址則來自于import的另一處代碼,繼續追蹤:
和上一個案例一樣,在外部代碼返回攻擊者錢包地址。
我們去瀏覽器上查看,發現攻擊者已獲利7.5BNB。
我們對上述提到的所有攻擊者地址進行了初步統計,目前共獲利125BNB,價值約3萬美元,詳細地址及獲利如下:
最后,我們來總結一下這種類型的釣魚攻擊的手法:
受害者先按照視頻上的教學步驟復制代碼并在remix上進行惡意合約的部署,再根據視頻和評論中所說需要gas費才能啟動套利機器人,于是往合約上轉入資金,最后根據攻擊者引導,調用action操作,將轉入的資金全部轉給攻擊者的錢包。
所以在此建議大家,天下沒有免費的午餐,想要通過套利機器人進行獲利,最好是能吃透原理,仔細分析代碼的實現邏輯,確保自己在獲利前不被釣魚詐騙。
目錄 Introduction中心化元宇宙數據存儲現狀Web3驅動的分布式數據存儲網絡發展現狀分布式存儲網絡創業公司Mapping? 總結 #Introduction?#在上一篇《A&T.
1900/1/1 0:00:00“元宇宙”的概念被許多科技公司、科技專業分析和市場人士譽為是互聯網的未來,那它究竟是什么? 元宇宙究竟是什么? 元宇宙有點像加強版的虛擬現實,但有些人認為元宇宙將成為互聯網的未來.
1900/1/1 0:00:00高倍杠桿、暴富、年輕人、欲望和罵戰,有涼兮在的地方從來不缺少流量。無數初入行業的人總能從無數渠道聽到他一戰成名的事跡:在519的大跌中,用1000塊本金,高倍杠桿滾倉到1000W人民幣.
1900/1/1 0:00:00今日早間,SushiSwap新任“主廚”JaredGrey在推特上遭到了yannickcrypto.eth等多位網友的集體聲討.
1900/1/1 0:00:00NFT聚合平臺如何促進行業發展?早在2016-2018年,以?OpenSea,MakersPlace,SuperRare?為代表的第一批NFT交易市場橫空出世.
1900/1/1 0:00:00前言 有天本熊在OpenSea上閑逛時,想起自己當初沒有買到藝術向項目RenArt的NFT后,便到他們的項目Discord中看看公售兩個月后的社群狀況,意外發現本來熱鬧的社群已經冷清起來.
1900/1/1 0:00:00