Немає доказів того, що це було свідоме отруєння для GPT, чи GPT активно збирає інформацію.

Автор: shushu

Нещодавно один користувач, намагаючись розробити автоматичний бот для pump.fun, звернувся за допомогою до ChatGPT щодо коду, але випадково став жертвою онлайн-шахрайства. Цей користувач, слідуючи інструкціям коду, наданим ChatGPT, відвідав рекомендований сайт Solana API. Однак цей сайт насправді виявився шахрайською платформою, що призвело до втрати користувача приблизно 2500 доларів.

Згідно з описом користувача, частина коду вимагала відправити приватний ключ через API. Через зайнятість користувач не перевірив і використав свій основний гаманец Solana. Після цього він зрозумів, що вчинив серйозну помилку, але в той момент довіра до OpenAI змусила його ігнорувати потенційні ризики.

Після використання цього API шахраї швидко вжили заходів, всього за 30 хвилин перевівши всі активи користувача з гаманця на адресу FdiBGKS8noGHY2fppnDgcgCQts95Ww8HSLUvWbzv1NhX. Спочатку користувач не підтвердив, що цей сайт має проблеми, але після ретельної перевірки головної сторінки цього домену виявив очевидні підозрілі ознаки.

Наразі цей користувач закликає спільноту допомогти заблокувати цей сайт @solana та видалити відповідну інформацію з платформи @OpenAI, щоб запобігти подальшим жертвам. Він також сподівається, що через розслідування слідів, залишених шахраєм, вдасться притягнути їх до відповідальності.

Scam Sniffer виявив шкідливі кодові репозиторії, метою яких є викрадення приватних ключів за допомогою коду, згенерованого AI.

• solanaapisdev/moonshot-trading-bot

• solanaapisdev/pumpfun-api

Користувач Github «solanaapisdev» створив кілька кодових репозиторіїв протягом останніх 4 місяців, намагаючись направити AI на створення шкідливого коду.

Причиною викрадення приватного ключа цього користувача стало те, що його приватний ключ був безпосередньо відправлений на фішинговий сайт у тілі HTTP запиту.

Засновник SlowMist Юй Сян висловився, що «це дуже небезпечні практики, різні види «отруєння». Не тільки завантажують приватні ключі, а й допомагають користувачам онлайн генерувати приватні ключі, щоб вони могли ними користуватися. Документація також написана так, щоб виглядала вражаюче.»

Він також зазначив, що ці шкідливі сайти мають однозначні контактні дані, офіційний сайт не містить змісту, в основному лише документація + кодові репозиторії. «Домен був зареєстрований наприкінці вересня, що змушує задуматися про навмисне отруєння, але немає доказів того, що це було свідоме отруєння для GPT, чи GPT активно збирає інформацію.»

Scam Sniffer пропонує заходи безпеки для створення коду з допомогою AI, включаючи:

• Ніколи не використовуйте код, згенерований AI, без думки

• Завжди ретельно перевіряйте код

• Зберігайте приватний ключ в офлайн-середовищі

• Використовуйте лише надійні джерела