Oznaczenie @grok w poście na X oraz kilka kropek i kresek to wszystko, co było potrzebne wczoraj wieczorem, aby złośliwy actor mógł wykraść środki z weryfikowanej portfela kryptowalut bez dotykania kluczy prywatnych.
Platforma do uruchamiania tokenów agentywnych, Bankrbot poinformował 4 maja, że wysłał 3 miliardy DRB na Base do odbiorcy 0xe8e47...a686b.
Pieniądze pochodziły z portfela przypisanego sztucznej inteligencji X, Grok, i zostały wysłane do nieautoryzowanego portfela należącego do złośliwego aktora. Ta transakcja na Base pokazuje ścieżkę transferu na chain za postem.
Przegląd CryptoSlate dotyczącego wpisów na X wokół incydentu wskazuje na zgłoszoną ścieżkę komend, która rozpoczęła się od zakodowania w kodzie Morse’a. Grok odszyfrował tekst na czystą instrukcję publiczną z oznaczeniem @bankrbot i prośbą o wysłanie tokenów, podczas gdy Bankrbot traktował tę komendę jako wykonywalną.
Wystawionym warstwą była wymiana języka na autoryzację. Model, który rozszyfruje zagadkę, napisze pomocną odpowiedź lub sformatuje tekst użytkownika, może stać się częścią płatności, gdy inny agent traktuje ten wynik jako ważny.
Dla inwestorów kryptowalutowych ten transfer powinien zmienić ryzyko związane z agentami AI z abstrakcyjnego debaty o bezpieczeństwie na problem kontroli portfeli. Publiczna komenda może stać się uprawnieniem do wydatkowania, gdy jeden system traktuje wynik modelu jako instrukcję, a drugi system ma prawo do przenoszenia tokenów.
Uprawnienia portfela, parser, sygnał społeczny i polityka wykonania stają się warstwami wektorów ataku.
[
Related Reading
Krypto-wygrani z AI mogą wcale nie być kryptowalutami AI, ponieważ agenci zaczynają wydawać pieniądze autonomically
Wzrost agencji AI generuje proste pytanie o ogromne konsekwencje dla kryptowalut: jak oprogramowanie dokonuje płatności?
Mar 28, 2026 · Andjela Radmilac
Posty i kontekst transakcji sprawdzone przez CryptoSlate oceniają transfer DRB na około 155 000 do 200 000 dolarów w tym czasie, przy czym dane cenowe DebtReliefBot dostarczają rynkowego kontekstu dla tokena.
Raporty sprawdzone przez CryptoSlate również informują, że większość środków zostaje zwrócona, a część DRB jest rzekomo zachowana jako nieformalna nagroda za błędy. Ten wynik ograniczył straty, ale pokazał też, jak bardzo odzyskanie zależało od koordynacji po transakcji, a nie od limitów przed transakcją.
Rozwijać 0xDeployer powiedział, że 80% środków zostało zwróconych, a pozostałe 20% zostanie omówione z community DRB. To potwierdziło częściowe odzyskanie, pozostawiając ostateczną decyzję dotyczącą zachowanych środków nierozwiązaną.
0xDeployer także powiedział, że Bankr automatycznie przygotowuje portfel X dla każdego konta, które współpracuje z platformą, w tym dla Grok. Według wpisu, ten portfel kontrolowany jest przez osobę, która zarządza kontem X, a nie przez pracowników Bankr czy xAI.
Jak tekst publiczny stał się uprawnieniem do wydatkowania
Zgłoszona ścieżka miała cztery etapy. Po pierwsze, atakujący zidentyfikował NFT członkostwa w Bankr Club w portfelu powiązanym z Grok przed incydentem.
Przegląd CryptoSlate wskazuje, że rozszerzył on uprawnienia do transferów tego portfela w środowisku Bankr. Strona dostępu do Bankr opisuje dzisiaj mechanizmy członkostwa i dostępu, umieszczając roszczenie NFT w szerszej warstwie uprawnień, a nie jako całą wyjaśniającą część.
Po drugie, atakujący zamieścił na X wiadomość zawierającą kod Morse’a, z dodatkowymi chaotycznymi formatowaniami. Wpisów wokół incydentu opisywało wtrysk promptu w kodzie Morse’a, podczas gdy teraz-usunięty prompt był niedostępny dla nas do bezpośredniej analizy.
Zgłoszony wektor był kodem Morse’a z możliwymi trikami tablicowymi lub łączeniami.
Po trzecie, publiczna odpowiedź Grok rzekomo przetłumaczyła zakodowany tekst na zwykły angielski i zawierała tag @bankrbot. W tym koncie Grok działał jako pomocny dekoder.
Ryzyko pojawiło się po tym, jak tekst opuścił Grok i wszedł do interfejsu botów, które monitorowały publiczne wyniki w poszukiwaniu sformatowanych komend.
Po czwarte, Bankrbot traktował publiczną komendę jako wykonywalną i transmitował transfer tokenów. Bankr i Base opisują powierzchnię portfela agenta, która może korzystać z funkcjonalności portfela do transferów, zamian, sponsorowania gazu i uruchamiania tokenów, podczas gdy przesyłanie tokenów w naturalnym języku pasuje bezpośrednio do tej powierzchni produktowej.
Bardziej ogólna dokumentacja asystenta AI na chain Bankr pokazuje, dlaczego granica między instrukcjami czatu a autoryzacją transakcji wymaga jasnej polityki.
| Etap | Powierzchnia | Obserwowana akcja | Kontrola, która zmieniłaby wynik |
|---|---|---|---|
| Ustawienie uprawnień | Warstwa portfela lub członkostwa | Uprawnienia miały być rozszerzone przed pojawieniem się promptu | Odrębna kontrola uprawnień dla nowych możliwości portfela |
| Zakodowanie | Wpis na X | Kod Morse’a umieścił instrukcję płatności w zakodowanym tekście | Sprawdzanie i klasyfikacja przed publikacją odpowiedzi |
| Publiczny wynik | Odpowiedź Grok | Czysta komenda została wystawiona z tagiem bot | Sanitizacja wyniku dla ciągów komend podobnych do narzędzi |
| Wykonanie | Bankrbot | Bot zareagował na publiczną komendę i przeniósł tokeny | Lista dopuszczalnych odbiorców, limity wydatków i potwierdzenie przez człowieka |
Dlaczego agenci portfeli zmieniają ryzyko
Wtrysk promptu często traktowano jako problem zachowania modelu. Finansowy wariant jest bardziej konkretny.
Model może wykonywać zwykłe zadania modelowe, podczas gdy otaczający go system udziela mu zbyt dużej władzy.
[
Related Reading
Kłopoty z generatywnymi agentami AI
Pogonięcia generatywnych AI za mocą tworzy systemiczną grozę w integracji z kryptowalutami.
Apr 20, 2025 · John deVadoss
](https://cryptoslate.com/the-trouble-with-generative-ai-agents/)
Złośliwe instrukcje mogą dostać się do modelu poprzez treść stron trzecich, a ochrona agentów coraz częściej skupia się na dostępie do narzędzi, potwierdzeniach i kontrolach wokół konsekwencji działań.
Kategoria nadmiernego działania uchwyciła to samo ryzyko operacyjne: szerokie uprawnienia, wrażliwe funkcje i autonomiczne działanie zwiększają promień eksplozji. Szersza lista ryzyka aplikacji LLM traktuje również wtrysk promptu i niebezpieczne obsługiwania wyników jako problemy na poziomie aplikacji.
Krypto sprawia, że ten promień eksplozji jest trudniejszy do absorbowania. Agent obsługi klienta, który wyśle złe e-mail, tworzy problem z recenzjami. Agent handlowy lub asystent portfela, który podpisuje transakcję, tworzy problem z kontrolą aktywów.
Różnica polega na ostateczności. Gdy portfel raz podpisze i transmituje transfer, droga odzyskania zależy od kontrahentów, presji publicznej czy organów ścigania.
Incydent z Bankr jest najmocniejszy jako błąd kontroli. Dokumentacja kontroli dostępu Bankr opisuje tryb tylko do czytania, flagi operacji zapisu, listy IP i listy dopuszczalnych odbiorców.
To są rodzaje bramek, które znajdują się poza modelem i mogą ograniczyć szkody nawet wtedy, gdy model rozszyfruje złośliwą treść w nieoczekiwany sposób.
Taki sam eksponat pojawia się w agentach handlowych i lokalnych asystentach z uprawnieniami do portfela lub giełdy. Bot handlowy z kluczami API może zostać zmanipulowany do złych zamówień, jeśli przyjmie komentarze rynkowe, posty społecznościowe, e-maile czy strony internetowe jako instrukcje.
Lokalny asystent z dostępem do portfela tworzy wersję z większymi stawkami tego samego problemu wywoływania narzędzi: pośrednie instrukcje mogą skłonić asystenta do przygotowania transakcji lub ujawnienia wrażliwych szczegółów operacyjnych.
Badań nad bezpieczeństwem już modelowało tę klasę awarii. Pośredni wtrysk promptu przedstawia złośliwą treść, która manipuluje agentami przez przetwarzane dane, podczas gdy badania agentów wywołujących narzędzia oceniają ataki i obronę agentów pracujących z zewnętrznymi narzędziami.
Taxonomia adwersarialnego uczenia maszynowego NIST dostarcza szerszego języka do myślenia o tych atakach i ich łagodzeniu.
Czego powinni wymagać użytkownicy kryptowalut
Dla inwestorów kryptowalutowych projektowanie uprawnień jest podstawowym wymogiem. Agent połączony z portfelem powinien wychodzić z założenia, że strony internetowe, wpisy na X, DM-y, e-maile i zakodowany tekst mogą zawierać wrogie instrukcje.
To założenie przekłada bezpieczeństwo agentów na problem polityki transakcji.
Pierwsze, agenci handlowi powinni mieć oddzielne tryby czytania i pisania. Tryb czytania może podsumować rynki, porównać tokeny i zaproponować działania.
Tryb pisania powinien wymagać świeżego potwierdzenia użytkownika, ograniczonej wielkości zamówienia i wcześniej zatwierdzonej placówki lub odbiorcy. Komenda widoczna w publicznym tekście nigdy nie powinna dziedziczyć władzy portfela tylko dlatego, że odpowiada formatowi w naturalnym języku.
Drugie, listy dopuszczalnych odbiorców powinny być enforceowane przez kod poza LLM. Model może sugerować transfer.
Warstwa polityki powinna decydować, czy odbiorca, token, łańcuch, kwota i czas są dozwolone. Jeśli jakiekolwiek pole znajduje się poza polityką, wykonanie powinno zostać zatrzymane lub przekazane do ręcznej kontroli.
Trzecie, limity wydatków powinny być oparte na sesji i resetowane ostro. Dzienny lub po-zakładzie sufit mógłby ograniczyć lub zablokować transfer DRB, w zależności od polityki.
Dokładna liczba zależy od salda i strategii użytkownika, ale niezmienność jest prostsza: żaden agent nie powinien mieć nieograniczonej władzy wydatkowania, bo poprawnie rozszyfrował komendę.
Czwarte, izolacja kluczy lokalnych powinna być traktowana jako twarda granica. Power users używający niestandardowych asystentów na urządzeniach z dostępem do portfela lub giełdy powinni oddzielić te dane uwierzytelniające od plików asystenta i uprawnień przeglądarki.
0xDeployer powiedział, że wcześniejsza wersja agenta Bankr miała wbudowaną blokadę, by ignorować odpowiedzi od Grok i uniknąć łańcucha wtrysków promptów LLM-na-LLM. Ta ochrona nie została przeniesiona do najnowszej wersji agenta, co stworzyło lukę, dzięki której publiczna odpowiedź Grok mogła stać się wykonywalną instrukcją Bankr.
Deployer powiedział, że od tego czasu Bankr dodał silniejszą blokadę na koncie Grok i skierował operatorów portfeli agentów do kontroli już dostępnych dla właścicieli kont, w tym białej listy IP na klucze API, uprawnionych kluczy API i przełącznika na każde konto, który wyłącza wykonanie Bankr z odpowiedzi X.
Asystent może przygotować wersję roboczą transakcji. Inna powierzchnia portfela powinna ją zatwierdzić.
Handlarz może obserwować szerokie ekrany aktywów i Bitcoin i Ethereum warunki, jednak ryzyko agentów zależy od granic uprawnień bardziej niż od kierunku rynku.
Poprzednie pokrycie CryptoSlate dotyczące przepływów w ekonomii agentów, generatywnych agentów AI, autonomicznych płatności agentów i produktów kryptowalutowych połączonych z MCP pokazuje, jak szybko agenci są umieszczani bliżej działalności finansowej.
[
Related Reading
Zdumiewające $28 bilionów płynie przez „ekonomię agentów” kryptowalut – ale 76% to tylko boty przemieszczające stablecoiny
Rosnąca część płatności na chain jest sterowana przez maszyny, ale DWF, BCG i inni pokazują, że tak zwana ekonomia agentów wciąż zależy od centralnych bramek.
Apr 17, 2026 · Gino Matos
Lekcja bezpieczeństwa pochodzi z drogi autoryzacji. Traktuj wynik modelu jako niezaufany, dopóki oddzielna warstwa polityki nie zweryfikuje intencji, autoryzacji, odbiorcy, aktywu, kwoty i potwierdzenia użytkownika.
Wtrysk promptu będzie stale zmieniać formę w zakodowanym tekście i wieloetapowych interakcjach agentów. Obrona musi żyć tam, gdzie transakcja jest autoryzowana, przed podpisaniem portfela.
Post Krypto-portfel Grok został właśnie wykorzystany przez tweet wysłany w kodzie Morse’a bez naruszenia kluczy prywatnych pojawił się po raz pierwszy na CryptoSlate.