Вчера вечером достаточно было отметить @grok в посте на X, добавив несколько точек и тире, чтобы злоумышленник смог обокрасть проверенный криптовалютный кошелёк, даже не прикасаясь к приватным ключам.
Агентский лейбл для запуска токенов, сообщил Bankrbot 4 мая, что отправил 3 миллиарда DRB на Base получателю 0xe8e47...a686b.
Средства поступили с кошелька, назначенного ИИ X, Grok, и были отправлены на неавторизованный кошелёк, принадлежащий злоумышленнику. Эта транзакция на Base показывает путь передачи на блокчейне, стоящий за этим постом.
Обзор CryptoSlate по постам X вокруг инцидента указывает на сообщённый путь команды, начавшийся с обфускации в коде Морзе. Grok расшифровал текст в чистую публичную инструкцию, отметив @bankrbot и попросив его отправить токены, в то время как Bankrbot обработал эту команду как исполняемую.
Уязвимым слоем оказалась передача от языка к власти. Модель, которая расшифровывает головоломку, пишет полезный ответ или переформатирует текст пользователя, может стать частью платёжной системы, когда другой агент воспринимает этот вывод как действительный.
Для криптоинвесторов эта передача должна превратить риск, связанный с ИИ-агентами, из абстрактного дебата о безопасности в проблему контроля над кошельками. Публичная команда может стать разрешением на расходование средств, когда одна система воспринимает вывод модели как инструкцию, а другая система имеет разрешение перемещать токены.
Разрешения кошельков, парсер, социальный триггер и политика исполнения становятся слоями векторов атаки.
[
Связанное чтение
Крипто-победители от ИИ — это вовсе не крипто-монеты, поскольку агенты начинают расходовать средства автономно
Рост ИИ-агентов порождает простой вопрос с огромными последствиями для криптовалют: как программное обеспечение осуществляет платежи?
28 мар. 2026 г. · Анджела Радмилац
Посты и контекст транзакций, рассмотренные CryptoSlate, оценивают перевод DRB примерно в 155–200 тысяч долларов на тот момент, при этом данные о цене DebtReliefBot предоставляют рыночный контекст для этого токена.
Отчёты, рассмотренные CryptoSlate, также говорят, что большинство средств возвращается, а часть DRB, предположительно, сохраняется в качестве неформального вознаграждения за баги. Этот исход уменьшил потери, но также показал, насколько восстановление зависело от координации после транзакции, а не от ограничений до неё.
Разработчик Bankr 0xDeployer сообщил, что 80% средств уже возвращено, а оставшиеся 20% будут обсуждаться с сообществом DRB. Это подтвердило частичное восстановление, оставив окончательное решение по сохранённым средствам нерешённым.
0xDeployer также сообщил, что Bankr автоматически создаёт кошелёк X для каждого аккаунта, взаимодействующего с платформой, включая Grok. Согласно посту, этот кошелёк контролируется тем, кто управляет аккаунтом X, а не сотрудниками Bankr или xAI.
Как публичный текст стал разрешением на расходование средств
Сообщённый путь состоял из четырёх шагов. Во-первых, злоумышленник обнаружил NFT членства в Club Bankr в кошельке, связанном с Grok, до инцидента.
Обзор CryptoSlate показывает, что он расширил права на перевод кошелька внутри среды Bankr. На странице доступа Bankr сегодня описаны механизмы членства и доступа, помещая заявку на NFT в более широкий уровень разрешений, а не делая её единственным объяснением.
Во-вторых, злоумышленник опубликовал сообщение на X, содержащее код Морзе с дополнительным шумным форматированием. Посты вокруг инцидента описывали внедрение запроса в коде Морзе, тогда как уже удалённый запрос был недоступен для нашего прямого обзора.
Сообщённый вектор представлял собой код Морзе с возможными трюками с массивами или конкатенацией.
В-третьих, публичный ответ Grok, предположительно, перевёл обфусцированный текст в обычный английский и включил тег @bankrbot. В этом аккаунте Grok выступил в роли полезного декодера.
Риск возник после того, как текст покинул Grok и попал в интерфейс бота, который следил за публичным выводом на наличие форматированных команд.
В-четвёртых, Bankrbot воспринял публичную команду как исполняемую и передал токен. Bankr и Base описывают поверхность кошелька для агентов, которая может использовать функциональность кошелька для переводов, обменов, спонсорства газа и запуска токенов, в то время как отправки токенов на естественном языке напрямую вписываются в эту поверхность продукта.
Более широкая документация Bankr ончейн-помощника ИИ показывает, почему граница между инструкциями чата и авторитетом транзакций нуждается в чёткой политике.
| Шаг | Поверхность | Наблюдаемое действие | Контроль, который мог бы изменить результат |
|---|---|---|---|
| Настройка привилегий | Кошелёк или уровень членства | Доступ, предположительно, был расширен до появления запроса | Отдельный обзор привилегий для новых возможностей кошелька |
| Обфускация | Пост на X | Код Морзе поместил инструкцию о платеже внутрь обфусцированного текста | Проверки декодирования и классификации перед публикацией ответов |
| Публичный вывод | Ответ Grok | Чистая команда была раскрыта с тегом бота | Очистка вывода для строк команд, похожих на инструменты |
| Исполнение | Bankrbot | Бот выполнил публичную команду и переместил токены | Списки разрешённых получателей, лимиты расходов и подтверждение человеком |
Почему агенты кошельков меняют риски
Внедрение запросов часто рассматривалось как проблема поведения модели. Финансовый вариант более конкретен.
Модель может выполнять обычную работу, в то время как окружающая система предоставляет слишком много полномочий для её вывода.
[
Связанное чтение
Проблемы с генеративными ИИ-агентами
Стремление генеративного ИИ к власти создаёт системные риски при интеграции с криптовалютами.
20 апр. 2025 г. · Джон де Вадосс
](https://cryptoslate.com/the-trouble-with-generative-ai-agents/)
Злонамеренные инструкции могут попасть в модель через содержание третьих лиц, и защита агентов всё больше фокусируется на доступе к инструментам, подтверждениях и контроле за последствиями действий.
Категория чрезмерной агентности охватывает тот же операционный риск: широкие разрешения, чувствительные функции и автономные действия увеличивают радиус взрыва. Более широкий список рисков применения LLM также рассматривает внедрение запросов и небезопасную обработку вывода как проблемы уровня приложения.
Криптовалюта делает этот радиус взрыва труднее поглотить. Агент по обслуживанию клиентов, отправляющий плохое электронное письмо, создаёт проблему с отзывами. Трейдинговый агент или помощник кошелька, подписывающий транзакцию, создаёт проблему контроля активов.
Разница заключается в окончательности. Как только кошелёк подпишет и передаст транзакцию, путь восстановления зависит от контрагентов, общественного давления или правоохранительных органов.
Инцидент с Bankr наиболее сильно проявился как сбой в контроле. Документы Bankr по контролю доступа описывают режим только для чтения, флаги операций записи, списки IP и списки разрешённых получателей.
Эти ворота находятся вне модели и могут снизить ущерб даже если модель анализирует злонамеренный контент неожиданным образом.
Тот же самый экспозиционный эффект проявляется в трейдинговых агентах и локальных помощниках с разрешениями на кошелёк или биржу. Трейдинговый бот с API-ключами может быть манипулирован на неверные заказы, если он принимает рыночные комментарии, социальные посты, электронные письма или веб-страницы как инструкции.
Локальный помощник с доступом к кошельку создаёт более серьёзную версию той же самой проблемы вызова инструментов: косвенные инструкции могут подтолкнуть помощника к подготовке транзакции или раскрытию чувствительных операционных деталей.
Исследования в области безопасности уже моделировали этот класс сбоев. Косвенное внедрение запросов описывает злонамеренный контент, манипулирующий агентами через данные, которые они обрабатывают, в то время как исследование агентов, вызывающих инструменты оценивает атаки и защиту для агентов, работающих с внешними инструментами.
Таксономия противодействия машинному обучению от NIST предоставляет более широкий язык для мыслей об этих атаках и их смягчении.
Что должны требовать пользователи криптовалют
Для криптоинвесторов дизайн разрешений является основным требованием. Агент, связанный с кошельком, должен исходить из предположения, что веб-страницы, посты на X, DM, электронные письма и закодированный текст могут содержать враждебные инструкции.
Это предположение превращает безопасность агентов в проблему транзакционной политики.
Во-первых, трейдинговые агенты должны иметь отдельные режимы чтения и записи. Режим чтения может суммировать рынки, сравнивать токены и предлагать действия.
Режим записи должен требовать свежего подтверждения пользователя, ограниченного размера заказа и заранее одобренного места или получателя. Команда, появившаяся в публичном тексте, никогда не должна наследовать власть кошелька только потому, что она соответствует формату на естественном языке.
Во-вторых, списки разрешённых получателей должны соблюдаться кодом вне LLM. Модель может предложить перевод.
Политический слой должен решать, разрешены ли получатель, токен, цепочка, сумма и время. Если любое поле выходит за рамки политики, исполнение должно останавливаться или переноситься на человеческий контроль.
В-третьих, лимиты расходов должны быть основаны на сессии и агрессивно сбрасываться. Ежедневный или на каждое действие лимит мог бы снизить или заблокировать перевод DRB, в зависимости от политики.
Точное число зависит от баланса и стратегии пользователя, но инвариант проще: ни один агент не должен иметь неограниченную власть расходов только потому, что правильно расшифровал команду.
В-четвёртых, изоляция локальных ключей должна рассматриваться как жёсткая граница. Пользователи с высокими правами, запускающие пользовательские помощники на машинах с доступом к кошелькам или биржам, должны отделить эти учётные данные от файлов и браузерных разрешений помощника.
0xDeployer сказал, что ранняя версия агента Bankr имела жёстко заданный блок для игнорирования ответов от Grok, чтобы предотвратить цепочки внедрения запросов внутри LLM. Эта защита не была перенесена в последнюю версию агента, создав пробел, позволивший публичному ответу Grok стать исполняемой инструкцией Bankr.
Deployer сообщил, что с тех пор Bankr добавил более мощный блок для аккаунта Grok и направил операторов кошельков агентов на уже доступные средства управления владельцами аккаунтов, включая белые списки IP для API-ключей, разрешённые API-ключи и переключатель на каждый аккаунт, отключающий выполнение Bankr от ответов на X.
Помощник может подготовить черновик транзакции. Другая поверхность кошелька должна одобрить его.
Трейдер может наблюдать широкие экраны активов и Bitcoin и Ethereum, однако риск агентов зависит от границ разрешений больше, чем от направления рынка.
Предыдущее освещение CryptoSlate потоков в агентской экономике криптовалют, генеративных ИИ-агентов, автономных платежей агентов и продуктов MCP, связанных с криптовалютами показывает, как быстро агенты перемещаются ближе к финансовой деятельности.
[
Связанное чтение
Ошеломляющие $28 триллионов текут через «агентскую экономику» криптовалют — но 76% из них — всего лишь боты, перемещающие стейблкоины
Растущая доля on-chain платежей руководится машинами, но DWF, BCG и другие показывают, что так называемая агентская экономика всё ещё зависит от централизованных шлюзов.
17 апр. 2026 г. · Джино Матос
Урок безопасности исходит из пути авторизации. Относитесь к выводу модели как к ненадёжному, пока отдельный политический слой не подтвердит намерение, полномочия, получателя, актив, сумму и подтверждение пользователя.
Внедрение запросов будет продолжать менять форму через закодированный текст и многоэтапные взаимодействия агентов. Защита должна действовать там, где транзакция авторизуется, до подписания кошельком.
Пост Криптовалютный кошелёк Grok был просто эксплуатирован твитом, отправленным в коде Морзе без компрометации приватных ключей первым опубликован на CryptoSlate.