BlockBeats повідомляє, 5 березня компанія Web3 безпеки GoPlus повідомила, що нещодавно сталася інцидент «самоатаки» з використанням інструменту штучного інтелекту OpenClaw. Під час автоматичного виконання завдань система при виклику Shell-команд для створення GitHub Issue помилково сконструювала неправильну Bash-команду, що спричинило ін’єкцію команд і витік великої кількості конфіденційних змінних середовища.
У випадку інциденту, рядок, згенерований AI, містив обгортку з зворотних апострофів для set, яку Bash інтерпретував як команду для заміни та автоматично виконав. Оскільки Bash при запуску set без параметрів виводить усі поточні змінні середовища, це призвело до того, що понад 100 рядків конфіденційної інформації (включаючи ключі Telegram, токени автентифікації тощо) були безпосередньо записані у GitHub Issue і опубліковані.
GoPlus рекомендує, що в сценаріях автоматичної розробки або тестування з використанням AI слід максимально використовувати API-запити замість прямого складання Shell-команд, дотримуватися принципу мінімальних привілеїв для ізоляції змінних середовища, а також відключати високоризикові режими виконання та вводити механізми ручного підтвердження для важливих операцій.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
ФБР та Індонезія спільно викрили та ліквідували фішингову мережу W3LL, сума збитків у справі перевищує 20 млн доларів США
Співпраця між ФБР США та поліцією Індонезії успішно зірвала фішингову мережу W3LL: вилучено відповідне обладнання та затримано підозрюваних. Набір фішингових інструментів W3LL пропонував підробні сторінки входу за низькою ціною, використовуючи атаки через посередника, щоб легко обходити багатофакторну автентифікацію, формуючи організовану екосистему кіберзлочинності. Ця операція стала ознакою співпраці США та Індонезії в питаннях правозастосування у сфері кіберзлочинів, однак безпекові загрози для користувачів криптовалют усе ще залишаються серйозними.
MarketWhisper59хв. тому
Загінки: аварійне попередження — адресне отруєння та підробка мультипідписних акаунтів; механізм білого списку буде запущено
Мультипідписний протокол екосистеми Solana Squads опублікував попередження, вказавши, що атакувальники здійснювали отруєння адреси (address poisoning) проти користувачів, підробляючи облікові записи, щоб спонукати користувачів до неналежних переказів. Squads підтвердили, що втрат коштів не було, і наголосили, що це є атакою на основі соціальної інженерії, а не вразливістю протоколу. Для реагування Squads уже впровадили захисні заходи, зокрема систему попереджень, підказки для непов’язаних облікових записів і механізм білого списку. Ця подія відображає зростання загроз соціальної інженерії в екосистемі Solana та спричинила подальші безпекові обговорення.
MarketWhisper1год тому
Південнокорейська установа «месницьких посередників» стягує плату в USDT за організацію насильницьких злочинів, і після арешту головного підозрюваного продовжує працювати
У Південній Кореї нещодавно з’явилося кілька «помстових посередницьких» організацій, які використовують криптовалюту як засіб оплати; вони надають послуги залякування та організації вбивств через Telegram. Хоча головного підозрюваного вже затримали, пов’язані оголошення досі публікують, поліція розслідує понад 50 справ і заарештувала близько 30 осіб.
GateNews3год тому
Фальшивий застосунок Ledger у App Store від Apple спустошує пенсійний фонд музиканта на 5.9 BTC
Фейковий застосунок Ledger у App Store від Apple обманув музиканта Гарретта Даттона, змусивши його втратити 5.9 BTC, ввівши свою seed phrase. Цей випадок висвітлює шахрайства з гаманцями, що тривають, і використання довіри, оскільки викрадений біткоїн було відмитo через KuCoin.
CryptoNewsFlash7год тому
Жодного капітулювання після вимагання на CEX: це вплинуло приблизно на 2000 акаунтів, безпека коштів клієнтів не була під загрозою
Одна криптобіржа зазнала вимагання з боку злочинної організації, яка заявляє, що оприлюднить відео з доступом до внутрішніх систем. Біржа підтвердила, що системного вторгнення не було, а кошти клієнтів є в безпеці; приблизно 2000 записів даних акаунтів було отримано через неналежні дії працівників служби підтримки. У зв’язку з цим було припинено відповідні повноваження та посилено заходи безпеки. Компанія співпрацює з правоохоронними органами для розслідування.
GateNews10год тому
Засновник Solana toly: слід побудувати базові стейблкоїни, які можна заморожувати лише за наявності дозволу суду
Засновник Solana та співзасновник toly вказав, що галузі потрібен стейблкоїн, який можна заморожувати лише за наказом суду, і виступив проти інших чинників заморожування. Він пропонує, щоб протокол випускав на базовому рівні стейблкоїн із власною заморозною стратегією, а також посилив заходи безпеки. Ця думка походить з реакції Circle на нещодавній хакерський інцидент із протоколом Drift, що спричинило дискусії щодо централізованих стейблкоїнів.
GateNews11год тому
