Nedávno se jeden uživatel při pokusu o vývoj automatického botu na pump.fun obrátil na ChatGPT pro pomoc s kódem a nečekaně se stal obětí internetového podvodu. Tento uživatel podle pokynů z ChatGPT navštívil doporučenou webovou stránku Solana API. Avšak tato stránka byla ve skutečnosti podvodná platforma, což vedlo k tomu, že uživatel přišel o přibližně 2500 dolarů.

Podle popisu uživatele část kódu vyžaduje odeslání soukromého klíče prostřednictvím API. Kvůli vytížení operací uživatel bez kontroly použil svou hlavní peněženku Solana. Po zpětném zamyšlení si uvědomil, že udělal vážnou chybu, ale tehdy mu důvěra v OpenAI umožnila ignorovat potenciální rizika.

Po použití tohoto API podvodníci rychle zahájili akci a během pouhých 30 minut převedli všechny prostředky z uživatelovy peněženky na adresu FdiBGKS8noGHY2fppnDgcgCQts95Ww8HSLUvWbzv1NhX. Zpočátku si uživatel nebyl zcela jistý, že na webu je problém, ale po pečlivé kontrole domovské stránky této domény našel zřejmé podezřelé znaky.

V současnosti tento uživatel vyzývá komunitu, aby pomohla zablokovat tuto @solana stránku a odstranila související informace z platformy @OpenAI, aby se zabránilo dalším obětem. Doufá také, že díky vyšetřování stop, které zanechali, přivedou podvodníky k odpovědnosti.

Scam Sniffer zjistil škodlivé kódové repozitáře, jejichž cílem je krást soukromé klíče pomocí kódu generovaného AI.

• solanaapisdev/moonshot-trading-bot

• solanaapisdev/pumpfun-api

Uživatel Githubu „solanaapisdev“ vytvořil v posledních 4 měsících několik kódových repozitářů, aby vedl AI k generování škodlivého kódu.

Důvodem krádeže soukromého klíče tohoto uživatele bylo to, že jeho soukromý klíč byl přímo odeslán na phishingovou stránku v těle HTTP požadavku.

Zakladatel SlowMist Yúxīn uvedl: „To vše jsou velmi nebezpečné praktiky, různé formy 'otrávení'. Nejenže se nahrává soukromý klíč, ale také se uživatelům online generují soukromé klíče, které jim poskytují. Dokumentace je také napsána velmi formálně.“

Také uvedl, že kontakty na tyto webové stránky s škodlivým kódem jsou velmi omezené, oficiální stránka nemá obsah a skládá se hlavně z dokumentace + kódových repozitářů. „Doména byla registrována na konci září, což nutí k domněnce, že jde o předem naplánované otrávení, ale není žádný důkaz, že by to bylo úmyslné otrávení pro GPT, nebo zda GPT aktivně shromažďovalo.“

Scam Sniffer se zaměřuje na bezpečnostní doporučení týkající se kódu vytvářeného s pomocí AI, včetně:

• Nikdy bezmezně nepoužívejte kód generovaný AI

• Vždy pečlivě kontrolujte kód

• Uchovávejte soukromé klíče v offline prostředí

• Používejte pouze důvěryhodné zdroje

「Odkaz na originál」