Photo by BeInCrypto
Le wallet Bankr de Grok, créé automatiquement, a été vidé d’environ 150 000 $ en jetons DRB après qu’un attaquant a utilisé un Non-Fungible Token (NFT) offert et une réponse codée pour pousser l’intelligence artificielle (IA) à autoriser le transfert.
Le fondateur de Bankr, 0xDeployer, a indiqué que le wallet ne disposait d’aucun administrateur chez xAI et était entièrement contrôlé par le compte X de Grok. Environ 80 % des fonds ont depuis été restitués à Bankr.
Le wallet de Grok vidé de 150 000 $ lors d’une attaque de prompt injection sur Bankr
L’attaquant, opérant par le biais de l’adresse ilhamrafli.base.eth, a offert au wallet de Grok un jeton Bankr Club Membership qui a activé l’ensemble des capacités de transfert de l’agent. Une réponse élaborée, par la suite supprimée, a alors demandé à Grok d’autoriser une importante transaction sortante.
Bankr a signé puis diffusé le transfert de trois milliards de jetons DRB, évalués à près de 174 000 $ à ce moment-là, vers l’adresse de l’attaquant.
« Chaque compte X qui interagit avec Bankr se voit automatiquement créer un wallet, et Grok ne fait pas exception. Le wallet est lié au compte X de grok, donc quiconque contrôle ce compte contrôle également le wallet. Bankr n’en assure pas la garde et ne détient pas les clés. Le récent incident avec les DRB s’est produit à cause d’un exploit de prompt-injection, qui a amené grok à transmettre un ordre de transfert à Bankr », peut-on lire dans le post de l’équipe ici.
Les fonds ont rapidement été transférés sur un second wallet et vendus, et le profil X (Twitter) de l’attaquant a été supprimé dans les minutes suivant la transaction.
L’attaque reposait sur l’ingénierie sociale plutôt que sur une faille de smart contract. Les chercheurs qui s’intéressent à ce type de risque chez les agents ont signalé que des instructions cachées en morse, en encodage base64 ou via des mécanismes inspirés du jeu vidéo étaient des techniques de contournement courantes.
Réponse de Bankr et contestation par la communauté DRB
0xDeployer a indiqué qu’une version antérieure de l’agent Bankr bloquait les réponses de Grok afin de prévenir les chaînes d’injection LLM-sur-LLM. Cependant, cette mesure avait été supprimée lors d’une réécriture complète. Un blocage plus strict a désormais été rétabli.
La DRB Task Force a contesté la présentation de Bankr, affirmant que l’attaquant n’a proposé de restituer 80 % des fonds qu’après que la communauté a obtenu ses informations personnelles.
Le groupe considère cette affaire comme un véritable vol et la question des 20 % restants fait toujours l’objet de discussions au sein de la communauté DRB.