Automatycznie utworzony portfel Bankr Groka został opróżniony z około 150 000 USD w tokenach DRB po tym, jak atakujący wykorzystał podarowany token NFT oraz spreparowaną odpowiedź, by nakłonić sztuczną inteligencję do autoryzacji transferu.
Założyciel Bankr, 0xDeployer, poinformował, że portfel nie miał admina w xAI i był w pełni kontrolowany przez konto Groka na X. Około 80% środków już wróciło do Bankr.
Portfel Groka opróżniony z 150 000 USD w ataku typu prompt injection na Bankr
Atakujący, korzystając z adresu ilhamrafli.base.eth, podarował portfelowi Groka token członkowski Bankr Club, który aktywował pełną możliwość transferów. Spreparowana odpowiedź, później usunięta, nakazała Groke autoryzację dużej transakcji wychodzącej.
Bankr podpisał i rozesłał transfer trzech miliardów tokenów DRB o wartości około 174 000 USD na adres atakującego.
“Każde konto X, które wchodzi w interakcję z Bankr, automatycznie otrzymuje portfel, bez wyjątku. Portfel jest powiązany z kontem Groka na X, więc ktokolwiek kontroluje to konto, kontroluje też portfel. Bankr nie zarządza portfelem ani nie posiada kluczy. Ostatni incydent z DRB wydarzył się, bo przez exploit prompt-injection Grok wydał instrukcję transferu do Bankr,” wyjaśnił zespół w poście.
Środki bardzo szybko przekazał na drugi portfel i sprzedał. Profil atakującego na X (Twitter) został skasowany w kilka minut po transakcji.
Exploit opierał się na socjotechnice, a nie na błędzie w smart kontrakcie. Badacze monitorujący podobne zagrożenia agentów wskazali ukryte instrukcje w kodzie Morse’a, kodowanie base64 oraz stylizowanie poleceń na grę jako popularne techniki obchodzenia zabezpieczeń.
Reakcja Bankr i sprzeciw DRB
0xDeployer podał, że wcześniejsza wersja agenta Bankr blokowała odpowiedzi od Groka, aby zapobiec łańcuchom injection między LLM. Jednak to zabezpieczenie usunięto podczas pełnego przepisania kodu. Teraz ponownie wprowadzono ostrzejszą blokadę.
DRB Task Force zakwestionował narrację Bankr, twierdząc, że atakujący zaproponował zwrot tylko 80%, gdy społeczność zdobyła jego dane osobowe.
Grupa nazwała tę sprawę zwykłą kradzieżą, a dyskusja o pozostałych 20% wciąż trwa w społeczności DRB.
Bankr wprowadził opcjonalną whitelistę protokołu internetowego (IP), klucze API z uprawnieniami oraz przełącznik, który dezaktywuje akcje wywołane przez odpowiedzi z X.
Sprawa zwiększa debatę, jak należy zabezpieczać pod presją.
– Jak sztuczna inteligencja została oszukana i ukradła 150 000 USD z portfela Grok
