Un trader a piégé Grok pour qu'il relaie une instruction de paiement encodée en code Morse le 4 mai, vidant environ 3 milliards de tokens DRB (d'une valeur estimée entre 155 000 et 200 000 dollars à l'époque) d'un wallet provisionné pour l'IA sur l'agent launchpad Bankr. Le transfert, visible sur Base, a été déclenché par un post public sur X que Grok a décodé en une commande nette mentionnant @bankrbot, traitée comme exécutable par le launchpad.
Le chemin rapporté comprenait quatre étapes. L'attaquant a d'abord étendu les privilèges de transfert sur un NFT Bankr Club Membership détenu dans le wallet associé à Grok, puis a publié un payload en code Morse sur X avec un formatage brouillé, a demandé à Grok de traduire le texte obfusqué en une instruction @bankrbot claire, et a finalement laissé Bankrbot exécuter la commande publique comme un transfert de tokens diffusé. Le développeur Bankr 0xDeployer a confirmé qu'une version antérieure de l'agent contenait un bloc codé en dur ignorant les réponses de Grok — une défense qui n'a pas été reprise dans la dernière réécriture, ouvrant la faille.
Pourquoi c'est important
L'exploitation recadre le risque lié aux agents IA en le faisant passer d'un débat abstrait sur la sécurité à un problème de contrôle du wallet. Un post public sur les réseaux sociaux est devenu une autorité de dépense parce qu'un système (Grok) a décodé un texte hostile en une instruction nette et qu'un autre système (Bankrbot) a traité la sortie du modèle comme une commande valide. Cette passation — du langage à l'autorité — est la défaillance structurelle.
La même configuration existe déjà dans les bots de trading avec des clés API et les assistants locaux ayant accès au wallet. La taxonomie plus large des risques LLM classe cela comme un risque d'agence excessive, où des permissions larges et une action autonome élargissent le rayon d'impact. La taxonomie de l'apprentissage automatique adversarial du NIST reprend le même langage. La crypto rend ce rayon d'impact plus difficile à absorber, car la finalité des transactions signifie que la récupération dépend des contreparties, de la pression publique ou des forces de l'ordre — et non de l'annulation d'une mauvaise décision.
Impact sur le marché
Le transfert de DRB lui-même se situe autour de 155 000 à 200 000 dollars, une perte en dollars contenue — mais c'est le précédent qui fait l'histoire. 0xDeployer a indiqué que 80 % des fonds avaient été restitués, les 20 % restants étant laissés à la discussion avec la communauté DRB comme bug bounty informelle. Cette issue a réduit la perte immédiate mais a aussi montré à quel point la récupération dépendait de la coordination post-transaction plutôt que de limites pré-transaction.
Pour les opérateurs de wallets d'agents, la liste pratique des mesures d'atténuation est désormais concrète : séparer les modes lecture et écriture, des listes blanches de destinataires appliquées hors du LLM, des plafonds de dépense par session, et une isolation stricte entre les identifiants du wallet et toute surface d'assistant.
Questions fréquemment posées
-
Que s'est-il passé lors de l'incident de prompt-injection Grok–Bankr ?
Le 4 mai, un trader a publié sur X du texte obfusqué en code Morse que Grok a décodé en une instruction de paiement @bankrbot claire. Bankrbot a traité la commande publique comme exécutable et a transféré environ 3 milliards de tokens DRB (~155 000 à 200 000 dollars) depuis un wallet provisionné pour Grok sur Base…
-
Comment l'attaquant a-t-il obtenu les privilèges de transfert sur le wallet Grok ?
Le développeur Bankr 0xDeployer a indiqué qu'une version antérieure de l'agent comportait un bloc codé en dur ignorant les réponses de Grok afin d'empêcher les chaînes d'injection LLM-sur-LLM, mais que cette protection n'avait pas été reprise dans la dernière réécriture. L'attaquant aurait étendu les privilèges de…
-
Quel montant a été perdu et combien a été récupéré ?
Le transfert de DRB valait environ 155 000 à 200 000 dollars à l'époque. 0xDeployer a indiqué que 80 % des fonds avaient été restitués, les 20 % restants étant laissés à la discussion avec la communauté DRB comme bug bounty informelle.
-
Pourquoi cet exploit est-il significatif au-delà de la perte en dollars ?
Il recadre le risque lié aux agents IA en passant d'un débat sur le comportement du modèle à un problème de contrôle du wallet. Un post public sur les réseaux sociaux est devenu une autorité de dépense parce qu'un système a décodé un texte hostile en une instruction nette et qu'un autre a traité la sortie du modèle…
-
Quelles mesures d'atténuation sont recommandées pour les opérateurs de wallets d'agents ?
La liste pratique : modes lecture et écriture séparés, listes blanches de destinataires appliquées hors du LLM, plafonds de dépense par session, whitelisting IP sur les clés API, clés API à permissions limitées, un commutateur par compte désactivant l'exécution à partir des réponses publiques, et une isolation stricte…