Un trader engañó a Grok para que retransmitiera una instrucción de pago codificada en código Morse el 4 de mayo, vaciando aproximadamente 3.000 millones de tokens DRB (valorados entre 155.000 y 200.000 dólares en el momento) de un monedero aprovisionado para la IA en el launchpad de agentes Bankr. La transferencia, visible en Base, fue provocada por un post público en X que Grok decodificó en una orden limpia etiquetando a @bankrbot, que el launchpad trató como ejecutable.
El camino reportado tuvo cuatro pasos. El atacante primero amplió los privilegios de transferencia en un NFT de Bankr Club Membership guardado en el monedero asociado a Grok, luego publicó un payload en código Morse en X con formato ruidoso, pidió a Grok que tradujera el texto ofuscado en una instrucción limpia para @bankrbot, y finalmente dejó que Bankrbot ejecutara la orden pública como una transferencia de tokens broadcast. El desarrollador de Bankr, 0xDeployer, confirmó que una build anterior del agente contenía un bloque hardcodeado que ignoraba las respuestas de Grok — una defensa que no se mantuvo en la última reescritura, abriendo la brecha.
Por qué importa
El exploit reencuadra el riesgo de los agentes de IA: pasa de un debate abstracto de seguridad a un problema de control del monedero. Una publicación pública en redes sociales se convirtió en autoridad de gasto porque un sistema (Grok) decodificó texto hostil en una instrucción limpia y otro sistema (Bankrbot) trató la salida del modelo como una orden válida. Esa transferencia — del lenguaje a la autoridad — es el fallo estructural.
La misma forma ya existe en bots de trading con claves API y asistentes locales con acceso a monedero. La taxonomía más amplia de riesgos LLM lo clasifica como riesgo de agencia excesiva, donde permisos amplios y acción autónoma amplían el radio de impacto. La taxonomía de aprendizaje automático adversarial de NIST ofrece el mismo lenguaje. El mundo cripto hace que ese radio de impacto sea más difícil de absorber porque la finalidad de las transacciones implica que la recuperación depende de contrapartes, presión pública o cuerpos de seguridad — no de revertir la mala decisión.
Impacto en el mercado
La propia transferencia de DRB ronda los 155.000–200.000 dólares, una pérdida económica contenida — pero el precedente es la verdadera historia. 0xDeployer reportó que el 80% de los fondos se había devuelto, y el 20% restante quedó pendiente de discutir con la comunidad de DRB como un bug bounty informal. Ese resultado redujo la pérdida inmediata, pero también evidenció cuánto dependía la recuperación de la coordinación posterior a la transacción en lugar de límites previos a la transacción.
Para los operadores de monederos de agentes, la lista práctica de mitigaciones es ahora concreta: separar modos de lectura y escritura, listas de destinatarios permitidos aplicadas fuera del LLM, límites de gasto por sesión y aislamiento estricto entre las credenciales del monedero y cualquier superficie de asistente.
Preguntas frecuentes
-
¿Qué ocurrió en el incidente de prompt-injection entre Grok y Bankr?
El 4 de mayo, un trader publicó texto ofuscado en código Morse en X que Grok decodificó en una instrucción de pago limpia para @bankrbot. Bankrbot trató la orden pública como ejecutable y transfirió aproximadamente 3.000 millones de tokens DRB (~$155K–$200K) desde un monedero aprovisionado para Grok en Base hacia una…
-
¿Cómo obtuvo el atacante privilegios de transferencia sobre el monedero de Grok?
El desarrollador de Bankr, 0xDeployer, explicó que una versión anterior del agente tenía un bloque hardcodeado que ignoraba las respuestas de Grok para impedir cadenas de inyección LLM-sobre-LLM, pero esa protección no se mantuvo en la última reescritura. Según los reportes, el atacante amplió los privilegios de…
-
¿Cuánto se perdió y cuánto se recuperó?
La transferencia de DRB estaba valorada entre 155.000 y 200.000 dólares en el momento. 0xDeployer reportó que el 80% de los fondos se había devuelto, y el 20% restante quedó pendiente de discutir con la comunidad de DRB como un bug bounty informal.
-
¿Por qué es significativo este exploit más allá de la pérdida económica?
Reencuadra el riesgo de los agentes de IA: pasa de un debate sobre el comportamiento del modelo a un problema de control del monedero. Una publicación pública en redes sociales se convirtió en autoridad de gasto porque un sistema decodificó texto hostil en una instrucción limpia y otro trató la salida del modelo como…
-
¿Qué mitigaciones se recomiendan para los operadores de monederos de agentes?
La lista práctica: separar modos de lectura y escritura, listas de destinatarios permitidos aplicadas fuera del LLM, límites de gasto por sesión, listas blancas de IP sobre las claves API, claves API con permisos limitados, un interruptor por cuenta que desactive la ejecución a partir de respuestas públicas y…