Методів впровадження шкідливих посилань стає все більше, і, схоже, вони поширилися навіть на чат AI. У цьому випадку бот AI запропонував шахрайські API-сервіси, що призвело до втрат користувачів. 

Користувач виявив, що ChatGPT не так дбає про безпеку, як вони очікували, особливо з криптопосиланнями, коли вони намагалися створити простий криптододаток, бампер для токенів для Pump.fun. Посилання на API, надане ChatGPT, було забруднене, що призвело до негайної втрати. 

Бампер маркера підключився до помилкового API, який у підсумку вимагав приватний ключ гаманця та викачував усі його активи. Інцидент служить своєчасним нагадуванням про те, що інструменти штучного інтелекту не зовсім надійні, коли мова йде про безпеку Web3.

Будьте обережні з інформацією від @OpenAI! Сьогодні я намагався написати бота для https://t.co/cIAVsMwwFk і попросив @ChatGPTapp допомогти мені з кодом. Я отримав те, що просив, але не очікував, що chatGPT порекомендує мені шахрайський веб-сайт @solana API. Я втратив близько 2,5 тисяч доларів 🧵 pic.twitter.com/HGfGrwo3ir

— r_ocky.eth 🍌 (@r_cky0) 21 листопада 2024 р.

Фальшивий сайт API був зайнятий перекачуванням SOL з кількох гаманців. Місце призначення експлуататора вже виконало 281 транзакцію. Хоча більшість сум були відносно невеликими, усі використані гаманці були скомпрометовані. 

Чутки про атаки отруєння штучним інтелектом ходять вже деякий час, але нещодавня атака є першим повним експлойтом у криптопросторі.

Засновник компанії SlowMist on-chain безпеки підтвердив цю історію, заявивши, що найбільш імовірним поясненням є те, що користувач бавиться з ШІ, не перевіряючи код. Кінцевим продуктом став функціональний бот із ретельно замаскованим бекдором.

Фальшивий API Solana атакує торговців мемами

Експлойтер використовував посилання на API, щоб викрасти деякі з останніх токенів мемів і зберегти їх у ідентифікованому відомому гаманці. На додачу до ELIZA, CHILLGIRL і AI16Z були включені USDC, SOL. 

Сайт також діяв надзвичайно швидко після кожного підключення. Хто ще зателефонував на фейковий сайт API, який потрапив до даних OpenAI, невідомо. Одним із можливих пояснень є те, що ChatGPT отримує доступ до коду Python із кількох сховищ, що може бути використано для забруднення доступних даних. Зрештою, намір викрасти дані гаманця походить від агента-людини. Штучний інтелект є лише інструментом посилення. 

Код, створений ChatGPT, сам згенерував частину, яка запитувала закритий ключ. За словами ScamSniffer, експлуататори навмисно засіяли згенерований штучним інтелектом код Python, який користувачі розгортатимуть, щоб перехопити нові токени Pump.fun. 

Довіра коду була першою помилкою, оскільки користувачі швидко вимагали торгових ботів Moonshot або Pump.fun. Деякі сховища все ще активні, а про інші повідомлялося. 

Ніщо не заважає користувачам використовувати ботів. У сховищах одного з таких користувачів, Solanaapisdev, все ще містяться ризиковані торгові боти, які можуть призвести до виснаження гаманців.

Невідомо, хто створив бота, але порив на токени мемів був достатнім, щоб мимовільні користувачі попалися на цих зловмисних торгових ботів. Найкращий підхід — уникати використання невідомих сховищ або, принаймні, переглядати код, наскільки це відомо. 

Гірше того, недоліки API також рекламувалися в статті Medium, що призвело до появи сторінки документації з такою ж назвою, як і дефектне сховище GitHub. Доступний код надається кінцевим користувачам, які хочуть автоматизувати процес на Jupiter, Raydium, Pump.fun і Moonshot. 

Хоча деякі сервіси можуть обмежувати несправні посилання, мало що можна зробити, якщо кінцеві користувачі вирішили ризикувати своїми гаманцями неперевіреним кодом.

З випущеними понад 69 тисячами нових токенів мемів, потреба та жадоба швидкої стрільби заклали основу для нового типу експлойтів. OpenAI не згадує, як ChatGPT навчили створювати ризикований код бота. 

Шахрайство зі зловмисними посиланнями на Zoom також розвивається

Ще одна продумана атака розвивається одночасно з експлойтом API. Фальшиве посилання Zoom, яке завантажує зловмисне програмне забезпечення, також змінилося. 

Сервіс, раніше відомий як Meeten, тепер поширюється як Meetio, спонукаючи користувачів завантажувати файли. Зловмисне програмне забезпечення також використовує елементи соціальної інженерії, такі як зв’язок із інфлюенсерами криптовалют або відомими великими власниками.

Нещодавно один із фальшивих експлойтів зустрічі Zoom виснажив гаманець впливової особи, що призвело до обвалу цін на токени GIGA. 

Порада в кожному випадку полягає в тому, щоб зберігати гаманці та приватні ключі на іншому пристрої, ніж той, який використовується для більш ризикованих з’єднань. Для монетних дворів токенів та інших зв’язків найкращим підходом є використання щойно призначеного гаманця.

Отримайте високооплачувану роботу Web3 за 90 днів: найкраща дорожня карта