Позначити @grok у дописі в X разом із кількома крапками та дефісами — це все, що було потрібно минулого вечора, аби злочинець обікрав верифікований криптовалютний гаманець, навіть не торкаючись приватних ключів.
Агентський ланчпад для токенів, повідомив Bankrbot 4 травня, що він надіслав 3 мільярди DRB на Base одержувачу 0xe8e47...a686b.
Кошти походили з гаманця, призначеного AI від X, Grok, і були відправлені на несанкціонований гаманець, який належить злочинцеві. Цей транзакція на Base показує шлях переміщення на блокчейні за дописом.
Огляд CryptoSlate дописів про інцидент вказує на повідомлену командну послідовність, що починалася з маскування Морзе. Grok розшифрував текст у чисту публічну інструкцію з позначкою @bankrbot, попросивши його відправити токени, а Bankrbot обробив команду як виконувану.
Відкритим шаром був перехід від мови до авторитету. Модель, що розшифровує головоломку, пише корисну відповідь або переробляє текст користувача, може стати частиною платіжної системи, коли інший агент сприймає цей вихід як дійсний.
Для криптоінвесторів цей переказ має перетворити ризик AI-агента з абстрактного дебату про безпеку на проблему контролю над гаманцем. Публічна команда може стати повноваженням на витрати, коли одна система сприймає вихід моделі як інструкцію, а інша має дозвіл на переміщення токенів.
Дозволи гаманця, парсер, соціальний тригер та політика виконання стають шарами векторів атаки.
[
Пов’язане читання
Крипто-переможці від AI не є AI-монетами, оскільки агенти починають витрачати автономно
Зростання AI-агентів породжує просте запитання з величезними наслідками для крипти: як програмне забезпечення платить?
28 березня 2026 р. · Анджела Радмилак
Дописи та контекст транзакції, перевірені CryptoSlate, оцінюють переказ DRB приблизно в 155–200 тисяч доларів на той час, а дані про ціну DebtReliefBot надають ринковий контекст для токена.
Звіти, перевірені CryptoSlate, також кажуть, що більшість коштів повертаються, а деякі DRB нібито залишаються як неофіційна нагорода за виявлення помилок. Такий результат зменшив збиток, але також показав, наскільки відновлення залежало від координації після транзакції, а не від обмежень перед нею.
Розробник Bankr 0xDeployer заявив, що 80% коштів повернуто, а решту 20% обговорять з community DRB. Це підтверджує часткове відновлення, залишаючи остаточне розподілення залишених коштів невирішеним.
0xDeployer також сказав, що Bankr автоматично провідують гаманець X для кожного облікового запису, що взаємодіє з платформою, включаючи Grok. Згідно з дописом, цей гаманець контролює той, хто контролює обліковий запис X, а не співробітники Bankr або xAI.
Як публічний текст став повноваженням на витрати
Звітний шлях мав чотири кроки. По-перше, зловмисник знайшов NFT Bankr Club Membership у гаманці, пов’язаному з Grok, до інциденту.
Огляд CryptoSlate вказує, що це розширило права на переміщення гаманця всередині середовища Bankr. На сторінці доступу Bankr сьогодні описано механізми членства та доступу, розміщуючи право на NFT у ширшому слої дозволів, а не роблячи його цілісним поясненням.
По-друге, зловмисник опублікував повідомлення в X, що містило код Морзе з додатковим шумовим форматуванням. Дописи про інцидент описували ін’єкцію промпту в коді Морзе, тоді як тепер-видалений промпт нам не був доступний для огляду напряму.
Звітний вектор був кодом Морзе з можливими трюками з масивами або конкатенацією.
По-третє, публічна відповідь Grok, як повідомляється, переклала маскуваний текст на звичну англійську мову та включила тег @bankrbot. У цьому обліковому записі Grok функціонував як корисний декодер.
Ризик з’явився після того, як текст покинув Grok і потрапив у інтерфейс бота, що стежив за публічним вихідним кодом на форматовані команди.
По-четверте, Bankrbot сприйняв публічну команду як виконувану та розіслав транзакцію токенів. Bankr і Base описують поверхню гаманця агента, що може використовувати функціональність гаманця для трансферів, обмінів, спонсорства газу та запуску токенів, тоді як відправлення токенів природньою мовою прямо вписується в цю поверхню продукту.
Більш широка документація Bankr онлайн-помічника AI показує, чому межа між чат-інструкціями та повноваженнями на транзакції потребує чіткої політики.
| Крок | Поверхня | Спостережувана дія | Контроль, що змінив би результат |
|---|---|---|---|
| Налаштування привілеїв | Гаманець або слой членства | Доступ, як повідомляється, був розширений до появи промпту | Окремий огляд привілеїв для нових можливостей гаманця |
| Маскування | Допис X | Код Морзе вставив інструкцію про платіж у маскуваний текст | Перевірки розшифрування та класифікації перед публікацією відповідей |
| Публічний вихід | Відповідь Grok | Чиста команда була відкрита з тегом бота | Очистка вихідного коду для командних рядків, схожих на інструменти |
| Виконання | Bankrbot | Бот діяв за публічною командою та перемістив токени | Списки дозволених одержувачів, обмеження на витрати та підтвердження людиною |
Чому агенти гаманця змінюють ризик
Ін’єкцію промпту часто розглядали як проблему поведінки моделі. Фінансова версія більш конкретна.
Модель може виконувати звичайну модельну роботу, тоді як оточуюча система надає вихідному коду занадто багато повноважень.
[
Пов’язане читання
Проблеми з генеративними AI-агентами
Стремління генеративного AI до влади створює системні ризики в інтеграції крипти.
20 квітня 2025 р. · Джон де Вадосс
](https://cryptoslate.com/the-trouble-with-generative-ai-agents/)
Шкідливі інструкції можуть потрапити до моделі через зовнішній контент, а захисти агентів все більше зосереджуються на доступі до інструментів, підтвердженнях та контролях навколо відповідних дій.
Категорія excessive-agency відображає той самий операційний ризик: широкі дозволи, чутливі функції та автономна дія збільшують радіус вибуху. Більш широкий список ризиків застосування LLM також розглядає ін’єкцію промпту та небезпечне оброблення вихідного коду як проблеми на рівні додатка.
Крипта робить цей радіус вибуху важче поглинати. Агент зі служби підтримки, що надсилає погане електронне повідомлення, створює проблему з оглядом. Трейдинговий агент або помічник гаманця, що підписує транзакцію, створює проблему з контролем активів.
Різниця полягає в остаточності. Як тільки гаманець підписує та розсилає трансфер, шлях відновлення залежить від контрагентів, громадського тиску або правоохоронних органів.
Інцидент з Bankr найсильніший як збій контролю. Документи Bankr про контроль доступу описують режим лише для читання, прапорці для записів, списки дозволених IP-адрес та списки дозволених одержувачів.
Це типи воріт, що знаходяться поза моделлю і можуть зменшити шкоду навіть тоді, коли модель розпізнає шкідливий контент несподівано.
Той самий відкритий доступ проявляється в трейдингових агентах та локальних помічниках з правами на гаманець або біржу. Трейдинговий бот з API-ключами може бути змушений до поганих замовлень, якщо він приймає коментарі ринку, соціальні дописи, електронні листи чи веб-сторінки як інструкції.
Локальний помічник з доступом до гаманця створює більш високоризикову версію тієї ж проблеми з викликом інструментів: непрямі інструкції можуть спонукати помічника до підготовки транзакції або розкриття чутливих оперативних деталей.
Дослідження безпеки вже моделювали цей вид збою. Непряма ін’єкція промпту зображає шкідливий контент, що маніпулює агентами через дані, які вони обробляють, тоді як дослідження агентів, що викликають інструменти оцінює атаки та захисти для агентів, що працюють з зовнішніми інструментами.
Таксономія адверсаріального машинного навчання від NIST надає ширшу мову для розуміння таких атак та їхніх ліквідацій.
Що крипто-користувачі повинні вимагати
Для криптоінвесторів проектування дозволів є основною вимогою. Агент, що підключений до гаманця, повинен виходити з припущення, що веб-сторінки, дописи в X, DM, електронні листи та закодований текст можуть містити ворожі інструкції.
Це припущення перетворює безпеку агента на проблему транзакційної політики.
По-перше, трейдингові агенти повинні мати окремі режими читання та запису. Режим читання може підсумовувати ринки, порівнювати токени та пропонувати дії.
Режим запису повинен вимагати нового підтвердження користувача, обмеженого розміру замовлення та зарезервованого місця або одержувача. Команда, що з’являється в публічному тексті, ніколи не повинна успадковувати повноваження гаманця лише тому, що вона відповідає формату природньої мови.
По-друге, списки дозволених одержувачів повинні виконуватися кодом поза LLM. Модель може запропонувати трансфер.
Політичний шар повинен вирішувати, чи дозволено одержувачу, токену, мережі, сумі та терміну. Якщо будь-яке поле виходить за рамки політики, виконання повинно зупинятися або переходити на людський огляд.
По-третє, обмеження на витрати повинні бути сесійними та агресивно скидатися. Щоденний або на кожну дію цей ліміт міг би зменшити або заблокувати трансфер DRB, залежно від політики.
Точна цифра залежить від балансу та стратегії користувача, але інваріант простіший: жоден агент не повинен мати безкінечні повноваження на витрати, бо правильно розпізнав команду.
По-четверте, локальне ізоляція ключів повинна розглядатися як жорстка межа. Користувачі з високими правами, що запускають індивідуальні помічники на машинах з доступом до гаманця або біржі, повинні відокремити ці дані від файлів та дозволів браузера помічника.
0xDeployer сказав, що раніша версія агента Bankr мала жорстко закодовану блокування, щоб ігнорувати відповіді від Grok, щоб запобігти цепочкам ін’єкції промпту LLM-LLM. Цей захист не був перенесений у останню версію агента, що створило пробіл, який дозволив публічній відповіді Grok стати виконуваною інструкцією Bankr.
Deployer сказав, що Bankr з того часу додав більш сильну блокування на обліковий запис Grok і направив операторів гаманців агентів на наявні контролі для власників облікових записів, включаючи білі списки IP для API-ключів, дозволені API-ключі та переключник на кожен обліковий запис, що вимикає виконання Bankr з відповідей в X.
Помічник може підготувати проект транзакції. Інша поверхня гаманця повинна затвердити його.
Трейдер може стежити за широкими екранами активів та Bitcoin і Ethereum станами, проте ризик агентів залежить від меж дозволів більше, ніж від напрямку ринку.
Попереднє висвітлення CryptoSlate про потоки в агентській економіці крипти, генеративні AI-агенти, автономні платежі агентів та продукти крипти, підключені до MCP показує, як швидко агенти наближаються до фінансової діяльності.
[
Пов’язане читання
Уражаючі $28 трильйонів течуть через «агентську економіку» крипти – але 76% з них – це просто боти, що переміщують стабільні монети
Зростаюча частка он-чейн платежів керується машинами, але DWF, BCG та інші показують, що так звана агентська економіка все ще залежить від централізованих шлюзів.
17 квітня 2026 р. · Джино Матос
Урок безпеки походить з шляху авторизації. Ставтеся до вихідного коду моделі як до ненадійного, поки окремий політичний шар не підтвердить намір, повноваження, одержувача, актив, суму та підтвердження користувача.
Ін’єкція промпту продовжуватиме змінюватися через закодований текст та багатоетапні взаємодії агентів. Защита має жити там, де транзакція авторизована, до того, як гаманець підпише.
Допис криптовалютний гаманець Grok був просто використаний через твіт, надісланий кодом Морзе без компромісу приватних ключів вперше з’явився на CryptoSlate.