Les méthodes d’injection de liens malveillants se multiplient et semblent s’être étendues même au chat AI. Dans ce cas, le robot IA a proposé des services API frauduleux, ce qui a entraîné des pertes d’utilisateurs.
Un utilisateur a découvert que ChatGPT n'est pas aussi soucieux de la sécurité qu'il l'espérait, en particulier avec les liens cryptographiques lorsqu'il a essayé de créer une simple application cryptographique, un pare-chocs de jetons pour Pump.fun. Le lien API fourni par ChatGPT a été contaminé et a entraîné une perte immédiate.
Le pare-chocs de jeton s'est connecté à l'API défectueuse, qui a fini par exiger la clé privée du portefeuille et siphonner tous ses actifs. Cet incident dent rappelle à point nommé que les outils d’intelligence artificielle ne sont pas entièrement fiables en matière de sécurité Web3.
Soyez prudent avec les informations de @OpenAI ! Aujourd'hui, j'essayais d'écrire un bump bot pour https://t.co/cIAVsMwwFk et j'ai demandé à @ChatGPTapp de m'aider avec le code. J'ai obtenu ce que j'ai demandé, mais je ne m'attendais pas à ce que chatGPT me recommande un site Web frauduleux @ solana . J'ai perdu environ 2,5 000 $ 🧵 pic.twitter.com/HGfGrwo3ir
– r_ocky.eth 🍌 (@r_cky0) 21 novembre 2024
Le faux site API a été occupé à siphonner SOL de plusieurs portefeuilles. La destination de l'exploiteur a déjà réalisé 281 transactions. Même si la plupart des sommes étaient relativement modestes, tous les portefeuilles utilisés ont été compromis.
Les rumeurs d'attaques d'empoisonnement de l'IA circulent depuis un certain temps, mais la récente attaque est le premier exploit complet dans l'espace crypto.
Le fondateur de la société de sécurité en chaîne SlowMist a corroboré cette histoire, déclarant que l'explication la plus probable était que l'utilisateur jouait avec l'IA sans vérifier le code. Le produit final était un robot fonctionnel avec une porte dérobée soigneusement déguisée.
La fausse API Solana attaque les commerçants de jetons mèmes
L'exploiteur a utilisé son lien API pour voler certains des derniers jetons meme et les stocker dans un portefeuille connu et dent . Le transport comprenait USDC, SOL, en plus d'ELIZA, CHILLGIRL et AI16Z.
Le site a également agi extrêmement rapidement après chaque connexion. On ne sait pas qui d’autre a appelé le faux site API, qui s’est retrouvé dans les données d’OpenAI. Une explication possible est que ChatGPT accède au code Python à partir de plusieurs référentiels, ce qui peut être utilisé pour contaminer ses données disponibles. En fin de compte, l’intention de voler les données du portefeuille provient d’un agent humain. L'intelligence artificielle n'est qu'un outil d'amplification.
Le code créé par ChatGPT lui-même a généré une partie qui demandait la clé privée. Selon ScamSniffer, les exploiteurs ont délibérément semé du code Python généré par l'IA, que les utilisateurs déploieraient pour extraire de nouveaux jetons Pump.fun.
Faire confiance au code a été la première erreur, car les utilisateurs ont rapidement demandé les robots de trading Moonshot ou Pump.fun. Certains référentiels sont toujours actifs, tandis que d'autres ont été signalés.
Rien n’empêche les utilisateurs d’essayer d’utiliser les robots. Les référentiels de l'un de ces utilisateurs, Solana apisdev, contiennent toujours des robots de trading , qui pourraient finir par épuiser les portefeuilles.
On ne sait pas exactement qui a créé le robot, mais la ruée vers les jetons mèmes a suffi à faire tomber les utilisateurs involontaires dans le piège de ces robots commerciaux malveillants. La meilleure approche est d'éviter d'utiliser des référentiels inconnus, ou au moins de revoir le code au meilleur de ses connaissances.
Pire encore, les API défectueuses ont également été promues dans un article Medium, conduisant à une de documentation portant le même nom que le référentiel GitHub défectueux. Le code disponible est promu auprès des utilisateurs finaux qui souhaitent automatiser le processus sur Jupiter, Raydium, Pump.fun et Moonshot.
Même si certains services peuvent limiter les liens défectueux, il n’y a pas grand-chose à faire lorsque les utilisateurs finaux décident de risquer leur portefeuille avec du code non vérifié.
Avec plus de 69 000 nouveaux jetons mèmes lancés, le besoin et l’avidité d’un tir rapide ont jeté les bases d’un nouveau type d’exploit. OpenAI n'a pas mentionné comment ChatGPT a été formé pour créer le code de bot risqué.
malveillantes Zoom évoluent également
Une autre attaque élaborée évolue en même temps que l'exploit de l'API. Le faux lien Zoom qui télécharge des logiciels malveillants a également changé.
Le service, anciennement connu sous le nom de Meeten, se répand désormais sous le nom de Meetio, invitant les utilisateurs à télécharger des fichiers. Le malware utilise également des éléments d’ingénierie sociale, tels que le contact avec des influenceurs cryptographiques ou des détenteurs connus à grande échelle.
Récemment, l'un des faux exploits de la réunion Zoom a vidé le portefeuille d'un influenceur, entraînant une chute des GIGA .
Le conseil dans chaque cas est de stocker les portefeuilles et les clés privées sur un appareil différent de celui utilisé pour les connexions plus risquées. Pour les monnaies de jetons et autres connexions, la meilleure approche consiste à utiliser un portefeuille nouvellement attribué.
Décrocher un emploi Web3 bien rémunéré en 90 jours : la feuille de route ultime