Groks automatisk oprettede Bankr wallet blev tømt for cirka $150.000 i DRB tokens, efter at en angriber brugte et foræret Non-Fungible Token (NFT) og et kodet svar til at få den kunstige intelligens (AI) til at godkende overførslen.
Bankrs stifter 0xDeployer sagde, at walleten ikke havde nogen administrator hos xAI og udelukkende blev styret gennem Groks X-konto. Omkring 80% af midlerne er siden vendt tilbage til Bankr.
Groks wallet tømt for $150.000 i Bankr prompt-injection angreb
Angriberen, der brugte adressen ilhamrafli.base.eth, forærede Grok-walleten et Bankr Club Membership token, som aktiverede agentens fulde overførselsmuligheder. Et specifikt svar, der senere blev slettet, fik derefter Grok til at godkende en stor udgående transaktion.
Bankr underskrev og udsendte overførslen af tre milliarder DRB tokens, værdisat til næsten $174.000 på det tidspunkt, til angriberens adresse.
“Alle X-konti, der interagerer med Bankr, får automatisk oprettet en wallet, og grok er ingen undtagelse. Walleten er bundet til groks x-konto, så den, der kontrollerer kontoen, styrer også walleten. Bankr forvalter den ikke eller har adgang til nøglerne. Det seneste DRB-hændelse skete, fordi et prompt-injection exploit fik grok til at udstede en overførselsinstruks til Bankr,” forklarede teamet i et opslag.
Midlerne blev hurtigt ført over til en anden wallet og solgt, og angriberens X (Twitter) profil blev slettet få minutter efter transaktionen.
Udnyttelsen byggede på social engineering fremfor en fejl i smart contracts. Forskere, der overvåger lignende agent-risici, har især bemærket skjulte instruktioner i morsekode, base64-kodning og spil-lignende rammen som typiske teknikker til at omgå beskyttelse.
Bankrs reaktion og DRBs modreaktion
0xDeployer fortalte, at en tidligere version af Bankrs agent blokerede for svar fra Grok for at forhindre LLM-on-LLM injection-kæder. Men beskyttelsen blev fjernet under en større omskrivning. En strammere blokering er nu blevet genindsat.
DRB Task Force var uenige med Bankrs fremstilling og sagde, at angriberen kun tilbød at levere 80% tilbage efter, at fællesskabet fik fat i hans personlige oplysninger.
Gruppen kaldte sagen tyveri, og diskussionen om de resterende 20% pågår stadig i DRB-fællesskabet.
Bankr har udrullet valgfrie IP-hvidlister, godkendte API-nøgler og en indstilling pr. konto, der deaktiverer handlinger udløst af X-svar.
Sagen indgår i en bredere debat om, hvordan autonome agenter, der holder ægte midler, bør sikres, efter et nyligt a16z-støttet studie viste, at AI-agenter kan undslippe sandkasse-kontrol under pres.
