近日,一位用戶在嘗試為 pump.fun 開發一個自動頂貼機器人時,向 ChatGPT 尋求代碼幫助,結果卻意外遭遇了網絡詐騙。這位用戶按照 ChatGPT 提供的程式碼指引,造訪了一個被推薦的 Solana API 網站。然而,這個網站實際上是一個詐騙平台,導致用戶損失了約 2500 美元。
根據使用者描述,該程式碼的一部分要求透過API 提交私鑰。由於操作繁忙,用戶未加審查便使用了自己的主 Solana 錢包。事後回想,他意識到自己犯下了一個嚴重的錯誤,但在當時,對 OpenAI 的信任讓他忽略了潛在的風險。
使用該API 後,詐騙者迅速展開行動,僅用30 分鐘就將用戶錢包中的全部資產轉移到了地址FdiBGKS8noGHY2fppnDgcgCQts95Ww8HSLUvWbzv1NhX。起初,用戶並未完全確認網站有問題,但在仔細檢查網域的首頁後,發現了明顯的可疑跡象。
目前,這位用戶呼籲社區協助封鎖這個@solana 網站,並將相關資訊從@OpenAI 平台中移除,以防更多人受害。他也希望能透過調查對方留下的線索,將詐騙者繩之以法。
Scam Sniffer 調查發現了惡意程式碼倉庫,其目的是透過 AI 產生的程式碼竊取私鑰。
• solanaapisdev/moonshot-trading-bot
• solanaapisdev/pumpfun-api
p>
Github 使用者「solanaapisdev」在過去4 個月內創建了多個程式碼倉庫,試圖引導AI 產生惡意程式碼。
這位使用者私鑰被盜的原因是其私鑰在HTTP請求body 裡被直接發送給釣魚網站。
慢霧創辦人餘弦發言表示「這些都是非常不安全的實踐,各種投「毒」。不僅上傳私鑰,也幫用戶在線上產生私鑰,給用戶用。文檔也是寫得裝模做樣的。 」
他也表示這些惡意程式碼網站聯絡方式很單一,官網沒有內容,主要就是文檔+程式碼倉庫。 「網域9 月底註冊的,不得不讓人覺得是有預謀的投毒,但沒有證據顯示是刻意投毒給GPT,還是GPT 主動採集。」
Scam Sniffer 針對使用AI 輔助程式碼建立的安全建議,包括:
• 切勿盲目使用AI 產生的程式碼
• 始終仔細檢視程式碼
•將私鑰保存在離線環境中
• 僅使用可信任來源
「原文連結」
欢迎加入律动 BlockBeats 官方社群:
Telegram 订阅群:https://t.me/theblockbeats
Telegram 交流群:https://t.me/BlockBeats_App
Twitter 官方账号:https://twitter.com/BlockBeatsAsia