SWAP:收割“科学家”？——套利机器人陷阱

套利机器人，又称三明治机器人或夹子机器人，它可以实时检测Pancake或uniswap上面所有的交易，发现一定金额以上的交易时，会通过提高Gas费在购买者之前提前买入，然后等它的买入成功抬高价格后，再自动卖出，实现套利。套利机器人都是通过智能合约部署，24小时全天候运行。

在这种靠着套利机器人自动获利的模式传播开来之后，很多人都想通过这种途径实现躺着赚钱。然而，就在这些人在想着躺着赚钱时，却又另一批人谋划着收割这些人的钱。

最近，我在研究套利机器人时，发现网上有不少教程，视频加文字讲解，事无巨细，无比贴心。然而，事实上却是暗藏祸心。

我们先来看看第一个套路：https://www.youtube.com/watch?v=yj0RJ-3YuWk?。

下面是视频教程最新的截图，显示视频播放量已达15k之多，且攻击者仍保持更新，以便吸引更多的人关注并实施钓鱼攻击。

接下来看看评论区，发现竟然一片叫好，只是不知道是攻击者自己刷好评，还是受害者还没意识自己已经受呢？

随后，我总结了下视频中攻击者教导用户的步骤，大致如下：

创建MetaMask钱包，连接BSC或ETH主网；访问编译器Remix，进行Remix编辑器的基本介绍；点击“contracts”文件夹并创建一个“NewFile”，根据需要重命名，如：“AutoBot.sol”；在Remix中粘贴给定链接中写好的智能合约代码；移动到SolidityCompiler选项卡，选择对应版本编译；移动到部署选项卡，选择InjectedWeb3环境，连接MetaMask钱包授权；填写_tokenName和_tokenSymbol，点击DEPLOY进行部署；部署成功后，用MetaMask钱包向刚刚部署的合约进行转账，存入资金，并温馨提示转账的合约地址别填错了；交易确认后，点击“Action”按钮启动BOT。接下来，攻击者贴出了代码地址?https://rentry.co/9349g/raw?，我们发现，该代码也是持续在更新，猜测是更新攻击者的钱包地址，保证获利不放在同一个钱包地址。

数据：Arbitrum One链上交易量突破3亿笔，独立地址已近90万个:金色财经报道，据Dune Analytics数据显示，Arbitrum One链上交易量突破3亿笔，独立地址已近90万个，本文撰写时总交易量达到311,851,012笔，独立地址数为8,977,137个，其中桥接交易量超100万笔，桥接存储金额为2,731,913 ETH，按照当前价格计算超过50亿灭源。[2023/8/7 21:28:44]

把代码下载到本地后，纵观全部代码，共有500多行，且看函数名和注释，涉及到合约、内存池、流动性等操作，且代码内有大量hex字符串代码，阅读难度大，给人一种看起来很干货的错觉。攻击者这样设计，很容易让部分读者知难而退，不去深究合约代码的细节，从而按照攻击者既定的步骤直接进行合约部署并运行。

一般遇到这种阅读难度大的代码怎么办呢？

既然全部代码的阅读难度大，那我们就直接从攻击者诱导我们执行的函数*action()*开始，看看到底想干啥。

Mike McGlone：银行业危机可能会引发下一次加密牛市:金色财经报道，彭博高级商品策略师 Mike McGlone 在Cointelegraph采访中表示，银行业危机可能会引发下一次加密货币牛市，而比特币的表现可能优于所有其他加密货币。

McGlone 认为，随着硅谷银行和瑞士信贷等大银行的倒闭，人们对传统金融机构的信心正在动摇，比特币作为对冲银行风险的吸引力越来越大。 同时，尽管发生了银行业危机，美联储仍不愿放松货币政策，这导致美国经济陷入衰退，这种宏观环境最终将有利于比特币。比特币越能维持在 25,000 美元上方，那么标普 500 指数在 4,000 点下方的潜在压力就越大，比特币起飞的动力就越大，我认为比特币的表现将胜过几乎所有的加密货币，包括以太坊。[2023/3/25 13:26:06]

从代码分析，很容易得出结论：

引诱用户将本合约的全部余额转给*_callFrontRunActionMempool()*函数返回的这个地址。

继续往上追踪，发现调用了*parseMemoryPool()和callMempool()*两个函数：

看名字也误以为是操作内存池，而这就是攻击者故意做的混淆，我们把相关的函数全部提取出来拼接整理如下：

某巨鲸将3073万USDC转入币安并转出近1.47万枚ETH，又转入约3580万USDT:金色财经报道，据Lookonchain监测，某巨鲸昨日将3073万枚USDC转入币安，刚才从币安收到14683枚ETH（约2600万美元），然后在近一个小时内，又将约3580万枚USDT转入币安。[2023/3/19 13:13:38]

深圳：围绕元宇宙产业高质量发展:11月10日消息，深圳市政府副市长张华在2022全球元宇宙大会深圳站上表示，“2021年深圳数字经济核心产业增加值突破9000亿元，占全市GDP比重达到30.5%，规模和质量均位居全国大中城市首位。接下来深圳将全力培育、发展、壮大“20+8”产业集群，特别是围绕元宇宙产业高质量发展，持续完善产业政策，招引和培育一批骨干企业、创新载体和高端人才，积极推动应用场景开放。”[2022/11/10 12:43:58]

这段代码看起来很高大上且难以阅读，涉及很多硬编码的hex字符串计算，实质上就是进行地址拼接。我们在这里不做细节讲解，直接在remix上选择JavaScriptVM进行部署运行：

输出为：0x2b47f7cffa72e048afff49d6c0fdffecf477feaa

显然，这就是一个攻击者的钱包地址。

我们去浏览器上查看，发现这个地址比较新，只获利了0.01BNB。

显然，攻击者是定期更新攻击者钱包地址，一方面避免被追踪，一方面给受害者一种代码定时更新的假象。

然而，故事还没结束。

观点：使用区块链分配联邦救灾资金可节省数十亿美元:金色财经报道，美国区块链PAC的Adelle Nazarian和美国区块链倡议的Alex Allaire最近在《国家利益》的Techland栏目中提供了10个关于负责任地发展数字资产的实质性立法建议。其中第四项，考虑到欺诈和挪用联邦救灾资金的情况太常见了，指出我们将从创建一个股权证明区块链平台来分配联邦救灾资金中受益匪浅。（coindesk）[2022/10/29 11:54:58]

我在YouTube上继续搜寻，又发现了一个攻击套路：?https://www.youtube.com/watch?v=z6MmH6mT2kI，这个视频所采取的路数和上一个如出一辙，不同点在于对攻击者钱包地址的隐匿手法。

这里攻击者引诱用户将本合约的全部余额转给*manager.uniswapDepositAddress()*返回的这个地址。

这里调用了*manager.uniswapDepositAddress()，*本身代码也不在本合约中，看名字又极具迷惑性，很容易让人以为是调用了uniswap的某个官方函数而掉以轻心。但我们根据本合约引用的代码进行追踪，发现存在于这个地址：

进一步到bitbucket的代码库中进行跟踪，可以发现*manager.uniswapDepositAddress()*返回的就是攻击者的其中一个钱包地址：

在本案例中，攻击者甚至都抛弃了复杂的hex运算，直接从import方式获取钱包地址，简单粗暴。

我们去浏览器上查看，发现该地址持续收到转账，说明一直都有人上当受。

上面为什么说是攻击者的其中一个钱包地址呢？因为我们对攻击者的bitbucket中进行了代码扫描，初步发现了利用这种方法攻击的收款地址多达十几个，攻击者只需要更改import文件即可实现收款地址的更改，这些地址均使用*manager.uniswapDepositAddress()*进行伪装。

就在我准备结束时，竟然意外收到了朋友的举报：https://www.youtube.com/watch?v=OZ-YAB5_-Dg

这是一个代码更简单，钓鱼更直接，更新也最频繁，播放量也最高的一个。

我们用同样的方法进行分析，先通过攻击者的代码地址https://pst.klgrth.io/paste/kyh3m/raw将代码拷贝到remix，发现大部分都是注释。果断先删掉注释后，再来看：

发现攻击手法如出一辙，且代码更加简单粗暴。同样action()直接调用transfer进行转账，而转账地址则来自于import的另一处代码，继续追踪：

和上一个案例一样，在外部代码返回攻击者钱包地址。

我们去浏览器上查看，发现攻击者已获利7.5BNB。

我们对上述提到的所有攻击者地址进行了初步统计，目前共获利125BNB，价值约3万美元，详细地址及获利如下：

最后，我们来总结一下这种类型的钓鱼攻击的手法：

受害者先按照视频上的教学步骤复制代码并在remix上进行恶意合约的部署，再根据视频和评论中所说需要gas费才能启动套利机器人，于是往合约上转入资金，最后根据攻击者引导，调用action操作，将转入的资金全部转给攻击者的钱包。

所以在此建议大家，天下没有免费的午餐，想要通过套利机器人进行获利，最好是能吃透原理，仔细分析代码的实现逻辑，确保自己在获利前不被钓鱼。

标签：SWAPUniswapREMMIXBSWAP价格uniswap币价格预测xtremcoinmixin币圈

ETH热门资讯