动机

研究币圈科学家必备技能Solidity和web3也有一段时间了，也写了一些一级市场常用的功能，比如dex实时获取价格，dex自动购买，dex挂单交易等功能，并且已经投入使用。近期想看看其他人的科学家软件的实现方式，结果很不巧，找到的第一个“科学家”就是个骗子，给的软件无用不说，还会盗取私钥，接下来给大家分享一下过程。

试探

在电报上找到了一个机器人的宣传群组，这时候觉得老哥真敞亮，提供了程序下载，还提供了教学视频。不过现在币圈骗子横行，先聊几句看看这老哥懂不懂技术，还有这软件是不是他写的。

装模做样问了老哥一些技术问题，嗯，感觉这老哥还是懂技术的，而且也比较有耐心，毕竟我是以陌生人的身份问他技术问题。

观察

 接下来打开软件看看，出于安全考虑，不要在本机直接打开，放在虚拟机中执行，发现居然无法运行，推测软件中存在虚拟机检测，这时候就有不好的预感，如果是正常的软件，为何要检测虚拟机。

接下来看看教学视频，视频中的软件看起来还挺专业的，就是不知道只有个空壳没有实际功能。

继续往下看视频，发现了不对劲的地方，生成的代码中存在大量无意义的注释，正常的程序中绝对不会加入如此多的无意义注释，可能骗子想通过这种方式欺骗小白，使得代码显得高级。

骗子加的注释就是Solidity官方文档中的示例，一个字都没改那种。

分析

发现这么多问题之后，我们回头来逆向分析一下软件，看看这葫芦里到底装的什么逼。

软件拖入DIE，发现VB6编写，没有加壳。

 上VB逆向神器VB.Decompiler打开软件，简单看了一下，基本就是个空壳子。

 继续分析发现用户点击开始按钮后，程序会将使用者输入的私钥发送至

http[:]//cc.bjs.life/xiaoli/lin.asp

 后记

直接找大佬问了一下，大佬果然敞亮人，直接承认了。

本人TG @zhongbendeng ，欢迎交流。