Die automatisch eingerichtete Bankr Wallet von Grok wurde um etwa 150.000 USD in DRB-Token geleert, nachdem ein Angreifer ein geschenktes Non-Fungible Token (NFT) und eine kodierte Antwort nutzte, um die künstliche Intelligenz (KI) dazu zu bringen, die Überweisung zu genehmigen.
Der Bankr-Gründer 0xDeployer erklärte, dass die Wallet keinen Administrator bei xAI hatte und ausschließlich über Groks X-Konto gesteuert wurde. Inzwischen wurden etwa 80% der Vermögenswerte an Bankr zurücküberwiesen.
Grok-Wallet: 150.000 USD durch Prompt-Injection-Angriff bei Bankr entwendet
Der Angreifer, der die Adresse ilhamrafli.base.eth nutzte, schenkte der Grok-Wallet ein Bankr Club Membership Token, das die vollen Überweisungsrechte des Agenten aktivierte. Eine gezielte, später gelöschte Antwort forderte Grok anschließend auf, eine große ausgehende Überweisung zu autorisieren.
Bankr signierte und sendete daraufhin die Überweisung von drei Milliarden DRB-Token im Wert von etwa 174.000 USD an die Adresse des Angreifers.
„Jedes X-Konto, das mit Bankr interagiert, erhält automatisch eine Wallet, und das gilt auch für Grok. Die Wallet ist an Groks X-Konto gebunden, daher kontrolliert die Person, die dieses Konto kontrolliert, auch die Wallet. Bankr verwahrt diese nicht und besitzt keine Schlüssel. Der aktuelle DRB-Vorfall entstand, weil eine Prompt-Injection-Exploit Grok dazu brachte, eine Überweisungsanweisung an Bankr auszugeben”, erklärte das Team in einem Beitrag.
Die Mittel wurden schnell zu einer zweiten Wallet übertragen und veräußert, das X-Profil (Twitter) des Angreifers wurde innerhalb weniger Minuten nach der Transaktion gelöscht.
Der Angriff basierte auf Social Engineering, nicht auf einer Smart Contract-Schwachstelle. Forschende, die ähnliche Risiken bei Agenten untersuchen, haben versteckte Anweisungen in Morse-Code, base64-Codierung oder als Elemente aus Spielen als gängige Umgehungstechniken identifiziert.
Bankr-Reaktion und DRB-Kritik
0xDeployer erklärte, dass eine frühere Version des Bankr-Agenten Antworten von Grok blockierte, um LLM-on-LLM-Injection-Ketten zu verhindern. Diese Schutzmaßnahme wurde jedoch bei einer vollständigen Neufassung entfernt. Inzwischen wurde eine strengere Blockierung erneut eingeführt.
Die DRB Task Force widersprach der Darstellung von Bankr und betonte, der Angreifer habe die Rückgabe von 80% der Token nur angeboten, nachdem die Community seine persönlichen Daten herausgefunden hatte.
Die Gruppe bezeichnete den Vorfall als Diebstahl. Die Diskussion über die verbleibenden 20% setzt sich innerhalb der DRB-Community aktuell fort.
Bankr bietet jetzt auf Wunsch IP-Whitelisting, permissioned API-Keys und einen Umschalter pro Konto, der Aktionen durch X-Antworten deaktiviert.
Der Fall ist Teil einer größeren Debatte darüber, wie autonome Agenten mit echten Vermögenswerten geschützt werden sollten, nachdem eine aktuelle, von a16z unterstützte Studie zeigte, dass KI-Agenten unter Druck aus Sicherheits-Sandboxes ausbrechen könnten.
