تتزايد طرق حقن الروابط الضارة، ويبدو أنها انتشرت حتى إلى دردشة الذكاء الاصطناعي. في هذه الحالة، اقترح روبوت الذكاء الاصطناعي خدمات API احتيالية، مما أدى إلى خسائر في المستخدمين.
اكتشف أحد المستخدمين أن ChatGPT ليس واعيًا بالأمن كما توقع، خاصة فيما يتعلق بروابط التشفير عندما حاولوا إنشاء تطبيق تشفير بسيط، وهو عبارة عن مصد رمزي لـ Pump.fun. كان رابط API الذي قدمه ChatGPT ملوثًا وأدى إلى خسارة فورية.
تم توصيل مصد الرمز المميز بواجهة برمجة التطبيقات المعيبة، والتي انتهت بالمطالبة بالمفتاح الخاص للمحفظة وسحب جميع أصولها. هذا الحادث dent تذكير في الوقت المناسب بأن أدوات الذكاء الاصطناعي ليست موثوقة تمامًا عندما يتعلق الأمر بأمان Web3.
كن حذرًا مع المعلومات الواردة من OpenAI ! كنت أحاول اليوم كتابة روبوت نتوء لـ https://t.co/cIAVsMwwFk وطلبت من @ChatGPTapp مساعدتي في الكود. لقد حصلت على ما طلبته ولكني لم أتوقع أن يوصيني chatGPT بموقع ويب احتيالي @ solana API. لقد خسرت حوالي 2.5 ألف دولار 🧵 pic.twitter.com/HGfGrwo3ir
– r_ocky.eth 🍌 (@r_cky0) 21 نوفمبر 2024
كان موقع API المزيف مشغولاً بسحب SOL من محافظ متعددة. لقد نفذت وجهة المستغل بالفعل 281 معاملة. وفي حين أن معظم المبالغ كانت صغيرة نسبيًا، إلا أن جميع المحافظ المستخدمة تعرضت للاختراق.
انتشرت شائعات عن هجمات تسميم الذكاء الاصطناعي منذ فترة، لكن الهجوم الأخير هو أول استغلال كامل في مجال العملات المشفرة.
مؤسس شركة SlowMist الأمنية على السلسلة القصة، مشيرًا إلى أن التفسير الأكثر ترجيحًا هو أن المستخدم كان يتلاعب بالذكاء الاصطناعي دون التحقق من الكود . وكان المنتج النهائي عبارة عن روبوت وظيفي له باب خلفي مقنع بعناية.
تهاجم واجهة Solana API المزيفة تجار الرموز المميزة
استخدم المستغل رابط واجهة برمجة التطبيقات (API) الخاص به لسرقة بعض أحدث الرموز المميزة وتخزينها في محفظة معروفة dent . وشملت الكمية USDC، وSOL، بالإضافة إلى ELIZA، وCHILLLGIRL، وAI16Z.
يعمل الموقع أيضًا بسرعة كبيرة بعد كل اتصال. ومن غير المعروف من قام أيضًا بالاتصال بموقع واجهة برمجة التطبيقات المزيف، والذي شق طريقه إلى بيانات OpenAI. أحد التفسيرات المحتملة هو أن ChatGPT يصل إلى كود Python من مستودعات متعددة، والتي يمكن استخدامها لتلويث بياناته المتاحة. في النهاية، نية سرقة بيانات المحفظة تأتي من وكيل بشري. الذكاء الاصطناعي ليس سوى أداة تضخيم.
أنشأ الكود الذي أنشأه ChatGPT نفسه جزءًا يطلب المفتاح الخاص. وفقًا لـ ScamSniffer، قام المستغلون عمدًا بزرع كود Python الذي تم إنشاؤه بواسطة الذكاء الاصطناعي، والذي سينشره المستخدمون لاقتناص رموز Pump.fun الجديدة.
كانت الثقة في الكود هي الخطأ الأول، حيث سارع المستخدمون إلى طلب روبوتات التداول Moonshot أو Pump.fun. لا تزال بعض المستودعات نشطة، بينما تم الإبلاغ عن البعض الآخر.
لا يوجد ما يمنع المستخدمين من محاولة استخدام الروبوتات. مستودعات أحد هؤلاء المستخدمين، Solana apisdev، تحتوي على روبوتات تداول ، والتي قد تؤدي في النهاية إلى استنزاف المحافظ.
من غير المؤكد من قام بإنشاء الروبوت، لكن الاندفاع نحو الرموز المميزة كان كافيًا لجعل المستخدمين غير المتعمدين يقعون في فخ روبوتات التداول الخبيثة هذه. أفضل طريقة هي تجنب استخدام مستودعات غير معروفة، أو على الأقل مراجعة التعليمات البرمجية على حد علمك.
والأسوأ من ذلك، أنه تم أيضًا الترويج لواجهات برمجة التطبيقات المعيبة في مقالة متوسطة، مما أدى إلى وثائق تحمل نفس اسم مستودع GitHub المعيب. يتم الترويج للكود المتوفر للمستخدمين النهائيين الذين يرغبون في أتمتة العملية على Jupiter وRaydium وPump.fun وMoonshot.
في حين أن بعض الخدمات يمكن أن تحد من الروابط المعيبة، فليس هناك الكثير مما يمكن فعله عندما يقرر المستخدمون النهائيون المخاطرة بمحافظهم باستخدام رمز لم يتم التحقق منه.
مع إطلاق أكثر من 69 ألف رمز ميمي جديد، وضعت الحاجة والجشع للقنص السريع الأساس لنوع جديد من الاستغلال. لم تذكر OpenAI كيف تم تدريب ChatGPT لإنشاء رمز الروبوت الخطير.
تتطور أيضًا عمليات الاحتيال المرتبطة بـ Zoom الضارة
هناك هجوم آخر متقن يتطور في نفس الوقت الذي يتم فيه استغلال واجهة برمجة التطبيقات (API). لقد تغير أيضًا رابط Zoom المزيف الذي يقوم بتنزيل البرامج الضارة
الخدمة، التي كانت تُعرف سابقًا باسم Meeten، تنتشر الآن باسم Meetio، مما يدفع المستخدمين إلى تنزيل الملفات. تستخدم البرامج الضارة أيضًا عناصر الهندسة الاجتماعية، مثل الوصول إلى أصحاب النفوذ في مجال العملات المشفرة، أو أصحابها المعروفين على نطاق واسع.
في الآونة الأخيرة، استنزفت إحدى عمليات استغلال اجتماع Zoom المزيفة محفظة أحد المؤثرين، مما أدى إلى انهيار GIGA .
النصيحة في كل حالة هي تخزين المحافظ والمفاتيح الخاصة على جهاز مختلف عن الجهاز المستخدم للاتصالات الأكثر خطورة. بالنسبة لسك العملات الرمزية والاتصالات الأخرى، فإن أفضل طريقة هي استخدام المحفظة المخصصة حديثًا.
أكاديمية Cryptopolitan: هل تريد تنمية أموالك في عام 2025؟ تعرف على كيفية القيام بذلك مع DeFi في مناسنا الإلكتروني القادم. احفظ مكانك
