BlockBeats повідомляє, 5 березня компанія Web3 безпеки GoPlus повідомила, що нещодавно сталася інцидент «самоатаки» з використанням інструменту штучного інтелекту OpenClaw. Під час автоматичного виконання завдань система при виклику Shell-команд для створення GitHub Issue помилково сконструювала неправильну Bash-команду, що спричинило ін’єкцію команд і витік великої кількості конфіденційних змінних середовища.
У випадку інциденту, рядок, згенерований AI, містив обгортку з зворотних апострофів для set, яку Bash інтерпретував як команду для заміни та автоматично виконав. Оскільки Bash при запуску set без параметрів виводить усі поточні змінні середовища, це призвело до того, що понад 100 рядків конфіденційної інформації (включаючи ключі Telegram, токени автентифікації тощо) були безпосередньо записані у GitHub Issue і опубліковані.
GoPlus рекомендує, що в сценаріях автоматичної розробки або тестування з використанням AI слід максимально використовувати API-запити замість прямого складання Shell-команд, дотримуватися принципу мінімальних привілеїв для ізоляції змінних середовища, а також відключати високоризикові режими виконання та вводити механізми ручного підтвердження для важливих операцій.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Контракт ZetaChain GatewayEVM скомпрометовано, крос-чейн транзакції призупинено
Повідомлення Gate News, 27 квітня — ZetaChain оголосила, що її контракт GatewayEVM було скомпрометовано 28 квітня, при цьому постраждали лише гаманці внутрішньої команди. Команда закрила вектор атаки, щоб запобігти подальшим втратам коштів, і жодні кошти користувачів не були зазнані впливу інциденту.
Як запобіжний захід, ZetaCh
GateNews29хв. тому
Діпфейк-дзвінок обманює розробника Cardano, викриває нову слабку ланку
Розробник Cardano заявляє, що реалістичний AI-відеодзвінок із дипфейком призвів до компрометації ноутбука — нагадування про те, що наступна хвиля криптоатак може починатися з облич і голосів, а не зі smart contract’ів.
Попередження, поширене серед спільноти Cardano, описує інцидент, у якому самозванець використав
DailyCoin9год тому
Французькі прокурори висувають звинувачення 88 особам у злочинному угрупованні з криптовалютного «викруткового» нападу
Французькі органи влади висунули звинувачення 88 особам, зокрема 10 неповнолітнім, у зв’язку з викраденнями та вимаганнями, спрямованими проти власників криптовалюти, як ідеться в заяві Національного управління державного обвинувачення у сфері організованої злочинності (PNACO), оприлюдненій у п’ятницю. Звинувачення пов’язані з 12 триваючими
CryptoFrontier11год тому
Коли DeFi надто повільний для молоді, і надто ризикований для “старих грошей”: ми всі беремо відсотки за держоблігаціями, щоб нести ризик сміттєвих облігацій?
DeFi колись приваблював молодь п’ятизначними APY, а нині вважається надмірно завищеним за ціною та надто ризикованим. За минулий рік було викрадено понад 1,62 мільярда доларів США, а ставка в Aave колись підскакувала до 12,4%. Справедлива дохідність становить приблизно 12,55%, поріг для роздрібних клієнтів — 18%, а інституції надають перевагу «стратегічному ізольованому казначейству», щоб зменшити ризик хвостів. Висновок: високий левередж більше не актуальний; у майбутньому потрібніше ще вище ризикове ціноутворення та інструменти страхування, щоб одночасно вміщувати молодь і «велику стару» валюту.
ChainNewsAbmedia15год тому
Robinhood попереджає про фішингові листи, надіслані деяким клієнтам
Повідомлення Gate News, 27 квітня — Robinhood повідомила користувачів у соціальних мережах, що деякі клієнти отримали фішингові листи минулої неділі ввечері, які видавали себе за листи від noreply@robinhood.com з темою "Ваш останній вхід у Robinhood."
Фішинг-атака сталася через неправильне використання процесу створення облікового запису, а не внаслідок витоку з систем компанії чи акаунтів клієнтів. Robinhood підтвердила, що персональні дані та кошти клієнтів не постраждали.
Компанія порадила користувачам, які отримали такі листи, негайно видалити їх і не переходити за жодними підозрілими посиланнями.
GateNews15год тому
Криптобіржа Websea стикається з підозрою на exit scam, канали виведення коштів закриті
Повідомлення Gate News, 27 квітня — криптовалютна платформа для торгівлі Websea призупинила виведення коштів і закрила свої C2C (peer-to-peer)-канали, при цьому кілька користувачів повідомляють, що біржа, ймовірно, вчинила exit scam. Спочатку платформа обмежила виведення коштів, а потім повністю вимкнула C2C-канал, спричинивши панічні розпродажі нативного токена платформи приблизно до 50% від його попередньої вартості.
GateNews16год тому
