Marcar @grok em uma publicação no X, acompanhado de alguns pontos e traços, foi tudo o que foi necessário ontem à noite para que um ator mal-intencionado roubasse dinheiro de uma carteira criptográfica verificada sem jamais tocar nas chaves privadas.
O lançamento do token agente, relatou o Bankrbot em 4 de maio que havia enviado 3 bilhões de DRB na Base para o destinatário 0xe8e47...a686b.
Os fundos vieram de uma carteira atribuída à IA do X, Grok, e foram enviados para uma carteira não autorizada pertencente a um ator mal-intencionado. Esta transação na Base mostra o caminho da transferência em cadeia por trás da publicação.
A análise da CryptoSlate sobre as publicações do X relacionadas ao incidente aponta para um caminho de comando relatado que começou com uma obfuscação em código Morse. O Grok decodificou o texto em uma instrução pública clara marcando @bankrbot e pedindo-lhe para enviar os tokens, enquanto o Bankrbot tratou o comando como executável.
A camada exposta foi a transição da linguagem para a autoridade. Um modelo que decodifica um quebra-cabeça, escreve uma resposta útil ou reformatar o texto de um usuário pode se tornar parte de um canal de pagamento quando outro agente trata essa saída como válida.
Para investidores criptográficos, essa transferência deve transformar o risco dos agentes de IA de um debate abstrato sobre segurança em um problema de controle de carteira. Um comando público pode se tornar autoridade de gasto quando um sistema trata a saída do modelo como uma instrução e outro sistema tem permissão para mover tokens.
Permissões de carteira, analisador, gatilho social e política de execução tornam-se camadas de vetores de ataque.
[
Leitura Relacionada
Os vencedores criptográficos da IA não são moedas de IA, já que os agentes começam a gastar autonomamente
A ascensão dos agentes de IA está criando uma questão simples com enormes implicações para a criptografia: como o software paga?
28 de mar. de 2026 · Andjela Radmilac
As publicações e o contexto da transação revisados pela CryptoSlate colocam a transferência de DRB em aproximadamente US$ 155.000 a US$ 200.000 na época, com dados de preço do DebtReliefBot fornecendo o contexto de mercado para o token.
Relatos revisados pela CryptoSlate também dizem que a maioria dos fundos está sendo devolvida, e alguns DRB teriam sido retidos como uma recompensa informal por bug. Esse resultado reduziu a perda, mas também mostrou o quanto a recuperação dependeu da coordenação pós-transação, em vez de limites pré-transação.
O desenvolvedor do Bankr, 0xDeployer, disse que 80% dos fundos haviam sido devolvidos, enquanto os 20% restantes seriam discutidos com a comunidade DRB. Isso confirmou a recuperação parcial, deixando o tratamento final dos fundos retidos ainda sem solução.
0xDeployer também disse que o Bankr provisiona automaticamente uma carteira X para cada conta que interage com a plataforma, incluindo o Grok. Segundo a publicação, essa carteira é controlada por quem controla a conta X, e não pelo pessoal do Bankr ou xAI.
Como o texto público se tornou autoridade de gasto
O caminho relatado teve quatro etapas. Primeiro, o atacante identificou um NFT de Membro do Clube Bankr em uma carteira associada ao Grok antes do incidente.
A análise da CryptoSlate indica que ele expandiu os privilégios de transferência da carteira dentro do ambiente Bankr. A página de acesso do Bankr descreve hoje a mecânica de adesão e acesso, colocando a reivindicação do NFT na camada de permissão mais ampla, em vez de torná-la a explicação completa.
Segundo, o atacante postou uma mensagem no X contendo código Morse, com formatação adicional ruidosa. Publicações sobre o incidente descreveram uma injeção de prompt em código Morse, enquanto o prompt agora-excluído não estava disponível para nossa revisão direta.
O vetor relatado era código Morse com possíveis truques de array ou concatenação misturados.
Terceiro, a resposta pública do Grok supostamente traduziu o texto ofuscado para inglês claro e incluiu a marcação @bankrbot. Nessa conta, o Grok funcionou como um decodificador útil.
O risco surgiu depois que o texto saiu do Grok e entrou numa interface de bot que monitorava a saída pública em busca de comandos formatados.
Quarto, o Bankrbot tratou o comando público como executável e transmitiu uma transferência de token. O Bankr e a Base descrevem uma superfície de carteira de agente que pode usar funcionalidades de carteira para transferências, swaps, patrocínio de gas e lançamentos de token, enquanto envios de token em linguagem natural se encaixam diretamente nessa superfície do produto.
A documentação mais ampla do assistente de IA em cadeia do Bankr, onchain AI assistant, mostra por que a fronteira entre instruções de chat e autoridade de transação precisa de uma política explícita.
| Etapa | Superfície | Ação observada | Controle que teria mudado o resultado |
|---|---|---|---|
| Configuração de privilégios | Camada de carteira ou associação | Supostamente, o acesso foi expandido antes do aparecimento do prompt | Revisão separada de privilégios para novas capacidades de carteira |
| Obfuscação | Publicação no X | O código Morse inseriu uma instrução de pagamento dentro de texto ofuscado | Verificações de decodificação e classificação antes da publicação das respostas |
| Saída pública | Resposta do Grok | A instrução limpa foi exposta com uma marcação de bot | Higienização da saída para strings de comando semelhantes a ferramentas |
| Execução | Bankrbot | O bot agiu sobre um comando público e moveu tokens | Lista branca de destinatários, limites de gasto e confirmação humana |
Por que os agentes de carteira alteram o risco
A injeção de prompt frequentemente tem sido tratada como um problema de comportamento do modelo. A versão financeira é mais concreta.
O modelo pode estar fazendo trabalho normal de modelo enquanto o sistema circundante concede à saída autoridade excessiva.
[
Leitura Relacionada
O problema com os ‘Agentes’ de IA generativa
A busca de poder pela IA generativa cria riscos sistêmicos na integração criptográfica.
20 de abr. de 2025 · John deVadoss
](https://cryptoslate.com/the-trouble-with-generative-ai-agents/)
Instruções maliciosas podem entrar num modelo através de conteúdo de terceiros, e as defesas dos agentes estão cada vez mais focadas em acessos a ferramentas, confirmações e controles em torno de ações consequenciais.
A categoria excesso-de-agência captura o mesmo risco operacional: permissões amplas, funções sensíveis e ação autônoma aumentam o raio de explosão. A lista mais ampla de riscos de aplicação de LLM também trata a injeção de prompt e o manuseio inseguro de saída como problemas da camada de aplicação.
A criptografia torna esse raio de explosão mais difícil de absorver. Um agente de atendimento ao cliente que envia um e-mail ruim cria um problema de revisão. Um agente de negociação ou assistente de carteira que assina uma transação cria um problema de controle de ativos.
A diferença é a finalidade. Uma vez que uma carteira assina e transmite uma transferência, o caminho de recuperação depende de contrapartes, pressão pública ou aplicação da lei.
O incidente do Bankr é mais forte como uma falha de controle. As documentações de controle de acesso do Bankr descrevem o modo somente leitura, flags de operação de escrita, listas brancas de IP e listas brancas de destinatários.
Esses são os tipos de portões que ficam fora do modelo e podem reduzir danos mesmo quando o modelo parseia conteúdo malicioso de maneira inesperada.
A mesma exposição aparece em agentes de negociação e assistentes locais com permissões de carteira ou exchange. Um bot de negociação com chaves API pode ser manipulado para ordens ruins se aceitar comentários de mercado, posts sociais, e-mails ou páginas da web como instruções.
Um assistente local com acesso à carteira cria uma versão de maior risco do mesmo problema de chamada de ferramentas: instruções indiretas podem empurrar o assistente para a preparação de transações ou revelação de detalhes operacionais sensíveis.
A pesquisa em segurança já modelou essa classe de falha. A injeção indireta de prompt retrata conteúdo malicioso que manipula agentes através de dados que eles processam, enquanto a pesquisa sobre agentes que chamam ferramentas avalia ataques e defesas para agentes que operam com ferramentas externas.
A taxonomia de aprendizado de máquina adversarial do NIST, NIST’s adversarial machine-learning taxonomy, fornece a linguagem mais ampla para pensar sobre esses ataques e mitigações.
O que os usuários criptográficos devem exigir
Para investidores criptográficos, o design de permissões é o requisito central. Um agente conectado à carteira deveria partir da premissa de que páginas da web, publicações no X, DMs, e-mails e textos codificados podem conter instruções hostis.
Essa premissa transforma a segurança do agente num problema de política de transação.
Primeiro, os agentes de negociação deveriam ter modos separados de leitura e escrita. O modo de leitura pode resumir mercados, comparar tokens e propor ações.
O modo de escrita deveria exigir confirmação fresca do usuário, tamanho limitado da ordem e um local ou destinatário pré-aprovado. Um comando que aparece em texto público nunca deveria herdar autoridade de carteira só porque corresponde a um formato em linguagem natural.
Segundo, as listas brancas de destinatários deveriam ser impostas por código fora do LLM. O modelo pode sugerir uma transferência.
A camada de políticas deveria decidir se o destinatário, o token, a cadeia, o valor e o horário são permitidos. Se algum campo estiver fora da política, a execução deveria parar ou passar para revisão humana.
Terceiro, os limites de gasto deveriam ser baseados em sessão e redefinidos agressivamente. Um teto diário ou por ação poderia ter reduzido ou bloqueado a transferência de DRB, dependendo da política.
O número exato depende do saldo e da estratégia do usuário, mas a invariância é mais simples: nenhum agente deveria ter autoridade de gasto ilimitada só porque parseou corretamente um comando.
Quarto, o isolamento de chaves locais deveria ser tratado como uma fronteira rígida. Usuários avançados que executam assistentes personalizados em máquinas com acesso à carteira ou exchange deveriam separar essas credenciais das permissões de arquivo e navegador do assistente.
0xDeployer disse que uma versão anterior do agente do Bankr tinha um bloqueio hardcodificado para ignorar respostas do Grok, a fim de evitar cadeias de injeção de prompt de LLM em LLM. Essa proteção não foi levada para a última reescrita do agente, criando a lacuna que permitiu que a resposta pública do Grok se tornasse uma instrução executável do Bankr.
Deployer disse que o Bankr desde então adicionou um bloqueio mais forte na conta do Grok e orientou os operadores de carteiras de agentes para controles já disponíveis aos proprietários de contas, incluindo listas brancas de IP em chaves API, chaves API com permissão e um interruptor por conta que desativa a execução do Bankr a partir de respostas no X.
O assistente pode preparar um rascunho de transação. Uma superfície diferente de carteira deveria aprová-lo.
Um trader pode acompanhar telações amplas de ativos e Bitcoin e Ethereum condições, mas o risco do agente depende das fronteiras de permissão mais do que da direção do mercado.
A cobertura anterior da CryptoSlate sobre fluxos da economia de agentes, agentes de IA generativa, pagamentos autônomos de agentes e produtos criptográficos conectados ao MCP mostra como rapidamente os agentes estão sendo colocados mais próximos da atividade financeira.
[
Leitura Relacionada
Fluxos impressionantes de US$ 28 trilhões pela ‘economia de agentes’ criptográfica – mas 76% disso são apenas bots movimentando stablecoins
Uma parcela crescente dos pagamentos em cadeia é liderada por máquinas, mas DWF, BCG e outros mostram que a chamada economia de agentes ainda depende de gateways centralizados.
17 de abr. de 2026 · Gino Matos
A lição de segurança vem do caminho de autorização. Trate a saída do modelo como não confiável até que uma camada de política separada valide intenção, autoridade, destinatário, ativo, quantidade e confirmação do usuário.
A injeção de prompt continuará mudando de forma através de textos codificados e interações de vários passos com agentes. A defesa tem que estar onde a transação é autorizada, antes que a carteira assine.
A publicação A carteira criptográfica do Grok acabou sendo explorada por um tweet enviado em código Morse sem comprometer nenhuma chave privada foi publicada primeiro em CryptoSlate.