Mencantumkan @grok dalam sebuah unggahan X ditambah beberapa titik dan garis adalah semua yang diperlukan tadi malam agar pelaku jahat dapat mengutil dompet kripto terverifikasi tanpa pernah menyentuh kunci pribadi.
Launchpad token agen, Bankrbot melaporkan pada 4 Mei bahwa mereka telah mengirim 3 miliar DRB di Base ke penerima 0xe8e47...a686b.
Dana tersebut berasal dari dompet yang ditugaskan kepada AI X, Grok, dan dikirim ke dompet tidak sah yang dimiliki oleh pelaku jahat. Transaksi Base ini menunjukkan jalur transfer on-chain di balik unggahan tersebut.
Tinjauan CryptoSlate terhadap unggahan X seputar insiden tersebut menunjukkan jalur perintah yang dilaporkan dimulai dengan pengaburan kode Morse. Grok mendekode teks tersebut menjadi instruksi publik yang jelas dengan mencantumkan @bankrbot dan meminta untuk mengirim token, sementara Bankrbot menangani perintah tersebut sebagai eksekusi.
Lapisan yang terungkap adalah penyerahan dari bahasa ke otoritas. Sebuah model yang mendekode teka-teki, menulis balasan yang membantu, atau memformat ulang teks pengguna dapat menjadi bagian dari jalur pembayaran ketika agen lain memperlakukan output tersebut sebagai valid.
Bagi investor kripto, transfer ini harus mengubah risiko agen AI dari debat keamanan abstrak menjadi masalah kontrol dompet. Perintah publik dapat menjadi otoritas pengeluaran ketika satu sistem memperlakukan output model sebagai instruksi dan sistem lain memiliki izin untuk memindahkan token.
Izin dompet, parser, pemicu sosial, dan kebijakan eksekusi menjadi lapisan serangan.
[
Bacaan Terkait
Pemenang kripto dari AI bukanlah koin AI karena agen mulai berbelanja secara mandiri
Peningkatan agen AI menciptakan pertanyaan sederhana dengan implikasi besar bagi kripto: bagaimana perangkat lunak melakukan pembayaran?
28 Mar 2026 · Andjela Radmilac
Unggahan dan konteks transaksi yang ditinjau oleh CryptoSlate menempatkan transfer DRB sekitar $155.000 hingga $200.000 pada saat itu, dengan data harga DebtReliefBot memberikan konteks pasar untuk token tersebut.
Laporan yang ditinjau oleh CryptoSlate juga menyatakan sebagian besar dana sedang dikembalikan, dan beberapa DRB dilaporkan tetap disimpan sebagai hadiah bug informal. Hasil tersebut mengurangi kerugian, tetapi juga menunjukkan betapa pemulihan sangat bergantung pada koordinasi pasca-transaksi daripada batasan pra-transaksi.
Developer Bankr 0xDeployer mengatakan 80% dana telah dikembalikan, sementara 20% sisanya akan dibahas dengan komunitas DRB. Hal ini mengonfirmasi pemulihan parsial sekaligus meninggalkan penanganan akhir atas dana yang tersisa belum terselesaikan.
0xDeployer juga mengatakan Bankr secara otomatis menyediakan dompet X untuk setiap akun yang berinteraksi dengan platform, termasuk Grok. Menurut unggahan tersebut, dompet tersebut dikendalikan oleh siapa pun yang mengendalikan akun X, bukan oleh staf Bankr atau xAI.
Bagaimana teks publik menjadi otoritas pengeluaran
Jalur yang dilaporkan memiliki empat langkah. Pertama, pelaku mengidentifikasi NFT Keanggotaan Bankr Club di dompet yang terhubung dengan Grok sebelum insiden tersebut.
Tinjauan CryptoSlate menunjukkan bahwa hal itu memperluas hak transfer dompet di lingkungan Bankr. Halaman akses Bankr menjelaskan mekanisme keanggotaan dan akses saat ini, menempatkan klaim NFT dalam lapisan izin yang lebih luas daripada menjadikannya penjelasan utuh.
Kedua, pelaku memposting pesan di X yang berisi kode Morse, dengan format tambahan yang berisik. Unggahan seputar insiden tersebut menggambarkan injeksi prompt kode Morse, sementara prompt yang kinidihapus tidak dapat kami tinjau secara langsung.
Vektor yang dilaporkan adalah kode Morse dengan kemungkinan trik array atau konkatenasinya.
Ketiga, tanggapan publik Grok dilaporkan menerjemahkan teks yang kabur menjadi bahasa Inggris biasa dan mencantumkan tag @bankrbot. Di akun tersebut, Grok berfungsi sebagai decoder yang membantu.
Risiko muncul setelah teks keluar dari Grok dan masuk ke antarmuka bot yang memantau output publik untuk perintah yang diformat.
Keempat, Bankrbot memperlakukan perintah publik sebagai eksekusi dan menyiarkan transfer token. Bankr dan Base menjelaskan permukaan dompet agen yang dapat menggunakan fungsi dompet untuk transfer, swap, sponsor gas, dan peluncuran token, sementara pengiriman token dalam bahasa alami langsung sesuai dengan permukaan produk tersebut.
Dokumentasi lebih luas dari Bankr asisten AI onchain menunjukkan mengapa batas antara instruksi chat dan otoritas transaksi memerlukan kebijakan eksplisit.
| Langkah | Permukaan | Aksi yang diamati | Kontrol yang bisa mengubah hasil |
|---|---|---|---|
| Pengaturan hak | Dompet atau lapisan keanggotaan | Akses dilaporkan diperluas sebelum prompt muncul | Pemeriksaan hak terpisah untuk kemampuan dompet baru |
| Pengaburan | Unggahan X | Kode Morse menempatkan instruksi pembayaran di dalam teks yang kabur | Pemeriksaan dekode dan klasifikasi sebelum balasan dipublikasikan |
| Output publik | Tanggapan Grok | Instruksi bersih terungkap dengan tag bot | Sanitasi output untuk string perintah seperti alat |
| Eksekusi | Bankrbot | Bot bertindak atas perintah publik dan memindahkan token | Daftar penerima, batas pengeluaran, dan konfirmasi manusia |
Mengapa agen dompet mengubah risiko
Injeksi prompt sering kali dianggap sebagai masalah perilaku model. Versi finansialnya lebih konkret.
Model dapat melakukan pekerjaan model biasa sementara sistem di sekitarnya memberikan terlalu banyak otoritas pada output tersebut.
[
Bacaan Terkait
Masalah dengan 'Agen' AI generatif
Pencarian kekuatan AI generatif menciptakan risiko sistemik dalam integrasi kripto.
20 Apr 2025 · John deVadoss
](https://cryptoslate.com/the-trouble-with-generative-ai-agents/)
Instruksi berbahaya dapat masuk ke model melalui konten pihak ketiga, dan pertahanan agen semakin fokus pada akses alat, konfirmasi, dan kontrol seputar tindakan konsekuensial.
Kategori kelebihan otoritas menangkap risiko operasional yang sama: izin luas, fungsi sensitif, dan tindakan mandiri meningkatkan radius ledakan. Daftar risiko aplikasi LLM yang lebih luas OWASP juga memperlakukan injeksi prompt dan penanganan output yang tidak aman sebagai masalah lapisan aplikasi.
Kripto membuat radius ledakan tersebut lebih sulit diserap. Agen layanan pelanggan yang mengirim email buruk menciptakan masalah ulasan. Agen perdagangan atau asisten dompet yang menandatangani transaksi menciptakan masalah kontrol aset.
Perbedaannya adalah finalitas. Setelah dompet menandatangani dan menyiarkan transfer, jalur pemulihan bergantung pada mitra, tekanan publik, atau penegakan hukum.
Insiden Bankr paling kuat sebagai kegagalan kontrol. Dokumentasi kontrol akses Bankr menjelaskan mode hanya baca, flag operasi tulis, daftar IP yang diizinkan, dan daftar penerima yang diizinkan.
Itulah jenis gerbang yang berada di luar model dan dapat mengurangi kerusakan bahkan ketika model memproses konten berbahaya dengan cara yang tak terduga.
Exposure yang sama muncul pada agen perdagangan dan asisten lokal dengan izin dompet atau pertukaran. Bot perdagangan dengan kunci API dapat dimanipulasi menjadi pesanan buruk jika menerima komentar pasar, postingan sosial, email, atau halaman web sebagai instruksi.
Asisten lokal dengan akses dompet menciptakan versi taruhan tinggi dari masalah pemanggilan alat yang sama: instruksi tidak langsung dapat mendorong asisten menuju persiapan transaksi atau pengungkapan rincian operasional sensitif.
Penelitian keamanan sudah memodelkan kelas kegagalan ini. Injeksi prompt tidak langsung menggambarkan konten berbahaya yang memanipulasi agen melalui data yang mereka proses, sementara penelitian agen pemanggilan alat mengevaluasi serangan dan pertahanan untuk agen yang beroperasi dengan alat eksternal.
Taxonomi pembelajaran mesin adversarial dari NIST memberikan bahasa yang lebih luas untuk memikirkan serangan dan mitigasi tersebut.
Apa yang harus diminta pengguna kripto
Bagi investor kripto, desain izin adalah persyaratan inti. Agen yang terhubung dengan dompet harus mulai dari asumsi bahwa halaman web, unggahan X, DM, email, dan teks yang dikodekan mungkin mengandung instruksi berbahaya.
Asumsi tersebut mengubah keselamatan agen menjadi masalah kebijakan transaksi.
Pertama, agen perdagangan harus memiliki mode baca dan tulis yang terpisah. Mode baca dapat merangkum pasar, membandingkan token, dan mengusulkan tindakan.
Mode tulis harus memerlukan konfirmasi pengguna yang baru, ukuran pesanan yang terbatas, dan tempat atau penerima yang sudah disetujui. Perintah yang muncul dalam teks publik tidak boleh mewarisi otoritas dompet hanya karena cocok dengan format bahasa alami.
Kedua, daftar penerima yang diizinkan harus ditegakkan oleh kode di luar LLM. Model dapat menyarankan transfer.
Lapisan kebijakan harus memutuskan apakah penerima, token, rantai, jumlah, dan waktu diizinkan. Jika ada bidang yang melanggar kebijakan, eksekusi harus dihentikan atau dialihkan ke tinjauan manusia.
Ketiga, batas pengeluaran harus berbasis sesi dan direset secara agresif. Batas harian atau per tindakan bisa saja mengurangi atau memblokir transfer DRB, tergantung kebijakan.
Angka pastinya tergantung pada saldo dan strategi pengguna, tetapi invarian yang lebih sederhana adalah: tidak ada agen yang memiliki otoritas pengeluaran tanpa batas karena berhasil memproses perintah dengan benar.
Keempat, isolasi kunci lokal harus dianggap sebagai batas keras. Pengguna power yang menjalankan asisten khusus di mesin dengan akses dompet atau pertukaran harus memisahkan kredensial tersebut dari file dan izin browser asisten.
0xDeployer mengatakan versi sebelumnya dari agen Bankr memiliki blok hardcode untuk mengabaikan balasan dari Grok guna mencegah rantai injeksi prompt LLM-on-LLM. Perlindungan tersebut tidak dibawa ke rencana revisi agen terbaru, menciptakan celah yang memungkinkan balasan publik Grok menjadi instruksi Bankr yang dapat dieksekusi.
Deployer mengatakan Bankr sejak itu telah menambahkan blok yang lebih kuat pada akun Grok dan mengarahkan operator dompet agen ke kontrol yang sudah tersedia bagi pemilik akun, termasuk daftar putih IP pada kunci API, kunci API berizin, dan saklar per akun yang menonaktifkan eksekusi Bankr dari balasan X.
Asisten dapat menyiapkan draft transaksi. Permukaan dompet yang berbeda harus menyetujuinya.
Seorang trader mungkin memantau layar aset luasdan Bitcoin dan Ethereum kondisi, namun risiko agen bergantung pada batas izin lebih daripada arah pasar.
Peliputan sebelumnya CryptoSlate tentang arus ekonomi agen, agen AI generatif, pembayaran agen mandiri, dan produk kripto terhubung MCP menunjukkan betapa cepatnya agen ditempatkan lebih dekat ke aktivitas keuangan.
[
Bacaan Terkait
Arus $28 triliun mengalir melalui 'ekonomi agen' kripto – tapi 76% di antaranya hanyalah bot yang memindahkan stablecoin
Bagian meningkat dari pembayaran on-chain didorong oleh mesin, tetapi DWF, BCG, dan lainnya menunjukkan ekonomi agen yang disebut masih bergantung pada gateway terpusat.
17 Apr 2026 · Gino Matos
Pelajaran keamanan datang dari jalur otorisasi. Perlakukan output model sebagai tidak terpercaya sampai lapisan kebijakan terpisah memvalidasi niat, otoritas, penerima, aset, jumlah, dan konfirmasi pengguna.
Injeksi prompt akan terus berubah bentuk melalui teks yang dikodekan dan interaksi agen multi-langkah. Pertahanan harus hidup di tempat transaksi diotorisasi, sebelum dompet menandatangani.
Postingan Dompet kripto Grok baru saja dieksploitasi oleh tweet yang dikirim dalam kode Morse tanpa adanya pelanggaran kunci pribadi pertama kali muncul di CryptoSlate.