Il wallet Bankr di Grok, creato automaticamente, è stato svuotato di circa 150.000 dollari in token DRB dopo che un attaccante ha utilizzato una Non-Fungible Token (NFT) regalata e una risposta programmata per spingere l’intelligenza artificiale (AI) ad autorizzare il trasferimento.
Il fondatore di Bankr, 0xDeployer, ha spiegato che il wallet non aveva alcun admin su xAI ed era controllato interamente tramite l’account X di Grok. Da allora circa l’80% dei fondi è stato restituito a Bankr.
Il wallet di Grok svuotato di 150.000 dollari in un attacco di prompt injection su Bankr
L’attaccante, attraverso l’indirizzo ilhamrafli.base.eth, ha regalato al wallet di Grok un token Bankr Club Membership che ha attivato tutte le funzionalità di trasferimento dell’agente. Poi, con una risposta appositamente creata e successivamente eliminata, ha dato istruzioni a Grok di autorizzare una massiccia transazione in uscita.
Bankr ha firmato e trasmesso il trasferimento di tre miliardi di token DRB, valutati circa 174.000 dollari al momento, verso l’indirizzo dell’attaccante.
“Ogni account X che interagisce con Bankr riceve automaticamente un wallet, e Grok non fa eccezione. Il wallet è legato all’account X di Grok, quindi chiunque detenga quell’account controlla il wallet. Bankr non custodisce il wallet né detiene le chiavi. Il recente incidente con i DRB è avvenuto perché una vulnerabilità di prompt injection ha indotto Grok a impartire a Bankr l’istruzione di trasferire i fondi,” ha spiegato il team in un post.
I fondi sono stati rapidamente inviati tramite bridge su un secondo wallet e venduti, mentre il profilo X (ex Twitter) dell’attaccante è stato eliminato pochi minuti dopo la transazione.
L’attacco si è basato sull’ingegneria sociale più che su una falla in uno smart contract. I ricercatori che monitorano rischi simili per gli agenti hanno evidenziato l’uso di istruzioni nascoste in codice Morse, codifica base64 e meccaniche di gioco come strategie comuni per aggirare le difese.
La risposta di Bankr e le obiezioni del team DRB
0xDeployer ha spiegato che una versione precedente dell’agente Bankr bloccava le risposte da Grok, per prevenire catene di injection tra LLM. Tuttavia, questa misura era stata rimossa durante una riscrittura del sistema. Ora, invece, è stata reintrodotta una forma di blocco ancora più rigida.
La DRB Task Force ha contestato la versione di Bankr, affermando che l’attaccante ha accettato di restituire solo l’80% dei fondi dopo che la comunità era riuscita a ottenere le sue informazioni personali.
Il gruppo ha definito il caso un furto vero e proprio, e la discussione relativa al restante 20% è ancora in corso all’interno della community DRB.
Bankr ha introdotto nuove opzioni di sicurezza come whitelist degli indirizzi IP, chiavi API autorizzate e un interruttore per singolo account che disabilita le azioni attivate dalle risposte X.
Il caso si inserisce nel più ampio dibattito riguardo a come gli agenti autonomi in possesso di fondi reali dovrebbero essere protetti, dopo che uno studio recente finanziato da a16z ha dimostrato che gli agenti AI possono evadere i controlli dei sandbox sotto pressione.
