注入恶意链接的方法正在增加,甚至似乎已经蔓延到人工智能聊天领域。本案中,AI机器人提出了诈骗API服务,导致用户流失。
用户发现 ChatGPT 并不像他们预期的那样具有安全意识,尤其是当他们尝试创建一个简单的加密应用程序(Pump.fun 的代币保险杠)时,尤其是在加密链接方面。 ChatGPT 提供的 API 链接被污染并导致立即损失。
代币保险杠连接到有缺陷的 API,最终要求钱包的私钥并吸走其所有资产。这一事件dent提醒我们,在 Web3 安全方面,人工智能工具并不完全可靠。
请小心来自@OpenAI!今天,我试图为https://t.co/cIAVsMwwFk,并请求@ChatGPTapp帮助我编写代码。我得到了我的要求,但没想到 chatGPT 会向我推荐一个诈骗solana API网站。我损失了大约 2500 美元🧵 pic.twitter.com/HGfGrwo3ir
— r_ocky.eth 🍌 (@r_cky0) 2024 年 11 月 21 日
假冒 API 网站一直忙于从多个钱包中窃取 SOL。攻击者的目的地已经执行了 281 笔交易。虽然大部分金额相对较小,但所有使用的钱包都受到了损害。
关于人工智能中毒攻击的谣言已经流传了一段时间,但最近的攻击是加密货币领域的首次完整利用。
的创始人证实了这个故事,并表示最可能的解释是用户在没有验证代码的情况下玩弄人工智能。最终产品是一个带有精心伪装的后门的功能机器人。
假 Solana API 攻击 meme 代币交易者
攻击者使用他们的 API 链接窃取了一些最新的 meme 代币并将其存储在一个已dent的已知钱包。除了 ELIZA、CHILLGIRL 和 AI16Z 之外,此次运输还包括 USDC、SOL。
每次连接后该网站的反应速度也非常快。目前尚不清楚还有谁调用了虚假 API 网站,该网站已进入 OpenAI 的数据。一种可能的解释是 ChatGPT 从多个存储库访问 Python 代码,这可用于污染其可用数据。最终,窃取钱包数据的意图源自人类特工。人工智能只是一个放大工具。
ChatGPT 本身创建的代码生成了一个要求私钥的部分。据 ScamSniffer 称,攻击者故意植入人工智能生成的 Python 代码,用户将部署这些代码来狙击新的 Pump.fun 代币。
信任代码是第一个错误,因为用户很快就需要 Moonshot 或 Pump.fun 交易机器人。一些存储库仍然处于活动状态,而其他存储库已被报告。
没有什么可以阻止用户尝试使用机器人。其中一位用户Solana apisdev 的存储库仍然包含有风险的交易机器人,这可能最终会耗尽钱包。
目前尚不清楚是谁创建了该机器人,但对 meme 代币的热潮足以让不知情的用户陷入这些恶意交易机器人的陷阱。最好的方法是避免使用未知的存储库,或者至少尽最大努力检查代码。
更糟糕的是,有缺陷的 API 还在 Medium 文章中得到推广,导致出现与有缺陷的 GitHub 存储库同名的文档可用代码将推广给想要在 Jupiter、Raydium、Pump.fun 和 Moonshot 上实现流程自动化的最终用户。
虽然某些服务可以限制有缺陷的链接,但当最终用户决定用未经验证的代码冒险钱包时,却无能为力。
随着超过 69K 个新 meme 代币的推出,对快速狙击的需求和贪婪为新型攻击奠定了基础。 OpenAI 没有提及 ChatGPT 是如何训练来创建有风险的机器人代码的。
恶意Zoom链接诈骗也在演变
另一种精心设计的攻击与 API 漏洞同时出现。恶意软件的虚假 Zoom 链接也已更改。
该服务以前称为 Meeten,现在更名为 Meetio,提示用户下载文件。该恶意软件还使用社会工程的元素,例如接触加密货币影响者或已知的大型持有者。
GIGA暴跌。
针对每种情况的建议是将钱包和私钥存储在与用于风险较高连接的设备不同的设备上。对于代币铸币厂和其他连接,最好的方法是使用新分配的钱包。
