Não há evidências de que foi um envenenamento intencional para o GPT ou se o GPT coletou ativamente.

Escrito por: shushu

Recentemente, um usuário que tentava desenvolver um bot automático para pump.fun pediu ajuda de código ao ChatGPT e acabou se tornando vítima de uma fraude online. Este usuário, seguindo as orientações de código fornecidas pelo ChatGPT, acessou um site de API Solana recomendado. No entanto, este site era na verdade uma plataforma de golpe, resultando em uma perda de cerca de 2500 dólares.

De acordo com a descrição do usuário, uma parte do código exigia a submissão da chave privada através da API. Devido à operação ocupada, o usuário usou sua carteira principal Solana sem revisão. Após refletir sobre o ocorrido, ele percebeu que cometeu um erro grave, mas na hora, a confiança na OpenAI o levou a ignorar os riscos potenciais.

Após usar a API, os golpistas agiram rapidamente, transferindo todos os ativos da carteira do usuário para o endereço FdiBGKS8noGHY2fppnDgcgCQts95Ww8HSLUvWbzv1NhX em apenas 30 minutos. Inicialmente, o usuário não havia confirmado completamente que o site tinha problemas, mas após verificar cuidadosamente a página inicial do domínio, encontrou sinais claramente suspeitos.

Atualmente, este usuário está pedindo ajuda da comunidade para bloquear este site @solana e remover informações relacionadas da plataforma @OpenAI, para evitar que mais pessoas sejam vítimas. Ele também espera que, através da investigação das pistas deixadas, os golpistas sejam levados à justiça.

Scam Sniffer descobriu repositórios de código malicioso, cujo objetivo é roubar chaves privadas através de código gerado por IA.

• solanaapisdev/moonshot-trading-bot

• solanaapisdev/pumpfun-api

O usuário do Github 'solanaapisdev' criou vários repositórios de código nos últimos 4 meses, tentando guiar a IA na geração de código malicioso.

A razão pela qual a chave privada deste usuário foi roubada é que sua chave privada foi enviada diretamente ao site de phishing no corpo da requisição HTTP.

O fundador da SlowMist, Yu Xian, afirmou: 'Essas são práticas muito inseguras, diversos envenenamentos. Não apenas carregam a chave privada, mas também ajudam os usuários a gerar chaves privadas online para uso. A documentação também é escrita de forma a parecer legítima.'

Ele também afirmou que os contatos desses sites de código malicioso são muito limitados, o site oficial não contém conteúdo, sendo principalmente documentação + repositórios de código. 'O domínio foi registrado no final de setembro, o que levanta suspeitas de envenenamento premeditado, mas não há provas de que foi um envenenamento intencional para o GPT ou se o GPT coletou ativamente.'

Scam Sniffer oferece recomendações de segurança para códigos criados com assistência de IA, incluindo:

• Nunca use cegamente códigos gerados por IA

• Sempre revise o código cuidadosamente

• Armazene a chave privada em um ambiente offline

• Use apenas fontes confiáveis