CFO دیپفیک: کلاهبرداری ۲۵ میلیون دلاری تماس تصویری
خلاصه: قبلاً میگفتیم "تا نبینم باور نمیکنم". هوش مصنوعی این قانون را کشت. این مقاله سرقت ۲۵ میلیون دلاری دیپفیک در هنگ کنگ را تحلیل میکند و پروتکل جدید 'اثبات انسانیت' (Proof-of-Humanity) را برای تیمهای کریپتو ایجاد میکند.
سلب مسئولیت: این مقاله به پرونده Arup Hong Kong 2024 برای مقاصد آموزشی ارجاع میدهد.
۱. سرقت: اتاقی پر از چهرههای جعلی
در اوایل سال ۲۰۲۴، یک کارمند مالی در یک شرکت چندملیتی در هنگ کنگ پیامی از مدیر ارشد مالی (CFO) دریافت کرد: ۲۵ میلیون دلار برای یک خرید محرمانه بفرست.
کارمند مشکوک بود. مبلغ بسیار زیادی بود.
بنابراین درخواست تماس تصویری کرد.
تماس:
کارمند به زوم پیوست. CFO را دید. همکاران دیگری را که میشناخت دید. آنها واقعی به نظر میرسیدند. صدایشان واقعی بود. آنها در مورد معامله بحث کردند.
کارمند انتقال را انجام داد.
چرخش داستانی:
همه افراد در تماس، به جز قربانی، دیپفیکهای هوش مصنوعی بودند. کلاهبرداران از ویدیوهای عمومی مدیران برای آموزش مدلهایی که آنها را به صورت بلادرنگ تقلید میکردند، استفاده کرده بودند.
۲. چرا شبیهسازی صدا در کریپتو خطرناک است
در کریپتو، ما اغلب برای معاملات بزرگ OTC یا امضای چندامضایی (Multisig) به "تایید صوتی" (Voice Confirmation) تکیه میکنیم.
ابزارهایی مثل ElevenLabs میتوانند صدا را فقط از ۳۰ ثانیه صوت شبیهسازی کنند.
- سناریو: در تلگرام ویسنوتی از همبنیانگذارتان دریافت میکنید: "Hey buddy, I lost my Ledger. Can you multisig to move the funds to the backup wallet?"
- صدا دقیقاً شبیه اوست. همان ریتم، همان اصطلاحات.
- شما امضا میکنید. و تمام.
۳. عبور از "دره وهمی" (Uncanny Valley)
دیپفیکهای بلادرنگ مدرن (مانند پرونده هنگ کنگ) از عهده اینها برمیآیند:
- هماهنگی لب (حرکت دهان با صدا)
- حرکات سر و پلک زدن
- تغییرات نور
دیگر نمیتوانید به "تیکهای" بصری اعتماد کنید. تکنولوژی خیلی سریع پیش میرود.
۴. راه حل: پروتکل چالش (Challenge Protocol)
اگر نمیتوانید به چشمها یا گوشهایتان اعتماد کنید، باید به منطق و رمزنگاری اعتماد کنید.
"چالش فیزیکی"
هوش مصنوعی هنوز با واکنشهای فیزیکی پیچیده و خاص به صورت بلادرنگ مشکل دارد.
اگر در طول تماس مشکوک شدید، از طرف مقابل بخواهید:
۱. "سرت رو کامل به چپ بچرخون و گوش راستت رو لمس کن." ۲. "دستت رو آروم جلوی صورتت تکون بده." (این اغلب فیلتر ماسک هوش مصنوعی را میشکند).
بررسی "خارج از باند" (Out-of-Band)
از طریق همان کانالی که درخواست را دریافت کردید، تایید نکنید.
- اگر درخواست از طریق زوم آمد، با پیام در سیگنال تایید کنید.
- اگر از طریق تلگرام آمد، تماس بگیرید.
توجه: تماسهای تلفنی هم میتوانند از طریق تعویض سیمکارت شنود شوند. قبل از اعتماد به تماسها مطمئن شوید که اساماسها را کشتهاید و از کلیدهای سختافزاری استفاده میکنید.
"کلمه امن" (Safe Word)
یک "کد اجبار" یا "کلمه امن" با همبنیانگذاران و خانواده خود تعیین کنید.
این کلمهای است که هرگز در مکالمه عادی استفاده نمیکنید. اگر ویسنوتی که درخواست پول میکند این کلمه را ندارد – جعلی است.
نتیجهگیری
دوران "اعتماد دیجیتال" به پایان رسیده است. ما در عصر اعتماد صفر (Zero Trust) زندگی میکنیم. چه انتقال شرکتی ۲۵ میلیونی باشد چه سواپ کریپتوی ۵۰۰۰ تایی. قبل از اینکه تراکنش را اجرا کنید، انسان را تایید کنید.
آیا آمادهاید دانش خود را به کار بگیرید؟
همین امروز معامله با اطمینان مبتنی بر هوش مصنوعی را شروع کنید
شروع کنیدمقالات مرتبط
سم زنجیره تامین (Supply Chain Poison): وقتی بهروزرسانیهای مورد اعتماد مخرب میشوند
شما چیز عجیبی دانلود نکردید. فقط برنامه لجر را آپدیت کردید... و بعد پول رفت. وحشت حمله زنجیره تامین.
سپر کاغذی (The Paper Shield): چگونه عبارت بازیابی را درست بکآپ بگیریم
اسکرینشات فاجعه است. ابر (Cloud) کامپیوتر شخص دیگری است. تنها راه امن برای ذخیره کلیدهای خصوصی 'فولاد' و 'کاغذ' است.
کلاهبرداری بلندمدت (The Long Con): روانشناسی پشت 'سلاخی خوک'
او به شماره اشتباهی پیام نداد. و عاشق شما نیست. بررسی عمیق 'Sha Zhu Pan'، بیرحمانهترین کلاهبرداری کریپتو و نحوه تشخیص سناریو.