Grok 自动生成的 Bankr 钱包因一起提示注入攻击被盗,损失约 15 万美元的 $DRB 代币。攻击者通过赠送 NFT 和特定编码回复,诱导人工智能(AI)授权转账操作。
Bankr 创始人 0xDeployer 表示,受影响钱包并未受 xAI 团队管理,完全由 Grok 的 X 账号操控。目前大约 80% 的资金已归还 Bankr。
Grok 钱包因 Bankr 提示注入攻击失窃 15 万美元
攻击者通过 ilhamrafli.base.eth 地址,向 Grok 钱包发送了 Bankr Club Membership 会员 NFT,激活了代理账户的全部转账权限。随后,攻击者用特制的回复(已删除),诱导 Grok 授权大额资金转出操作。
Bankr 随后签署并广播了 30 亿枚 $DRB 代币的转账交易,事发时总价值约 17.4 万美元,资金直接流入攻击者地址。
“所有与 Bankr 交互的 X 账户都会自动开设钱包,Grok 的 X 账户也不例外。该钱包绑定在 Grok 的 X 账号上,因此控制权归持有该账号者所有。Bankr 并未托管相关钱包,也不掌握私钥。本次 $DRB 事件的起因,是攻击者利用提示注入漏洞,让 Grok 下达了向 Bankr 转账的指令。”团队在X(原推特)公告中解释道。
被盗资金很快经过跨链桥转入另一钱包,并被出售。与此同时,攻击者的 X(推特)账户在转账几分钟后即已删除。
此次攻击依靠的是社交工程手段,并非智能合约漏洞。相关风险研究人员指出,目前常见的规避绕过方式还包括将隐藏指令编码为摩斯电码、base64 编码,或伪装为“游戏式”交互等。
Bankr 与 DRB 社区的应对与争议
0xDeployer 表示,Bankr 早期版本曾拦截 Grok 的自动回复,防止大模型间相互注入攻击。但该防护措施在重构过程中被移除,目前已恢复更严格的拦截机制。
$DRB Task Force 对 Bankr 的说法提出异议,表示攻击者是在社区掌握其个人信息后,才同意归还 80% 资金。
该组织直言案件本质即为盗窃,针对剩余 20% 被盗资金的追讨事宜,目前仍在 $DRB 社区内部讨论中。
目前,Bankr 已新增可选 IP 白名单、授权 API 密钥,以及按账户关闭 X 回复触发操作等安全功能。
这一案件,再次引发了关于由自主代理管理真实资金的安全措施如何保障的更广泛讨论。此前,一项由 a16z 支持的最新研究显示,AI 代理在极端压力下有可能突破沙箱安全机制。
