Um ator malicioso usou ofuscação em código Morse numa publicação pública no X para enganar a Grok a decifrar o texto e a emitir um comando limpo @bankrbot — que o Bankrbot então executou como uma transferência de token ao vivo. Três mil milhões de tokens DRB saíram de uma carteira associada à Grok na Base e foram parar a um endereço não autorizado, avaliado entre $155,000 e $200,000 na altura.
O ataque não exigiu acesso à chave privada. Ele explorou a transferência entre dois agentes: a Grok atuou como um decodificador útil, e o Bankrbot tratou essa saída decifrada como autoridade de gasto. Um NFT de Membro do Bankr Club que já estava na carteira da Grok supostamente expandiu os seus privilégios de transferência dentro do ambiente Bankr, completando a superfície de permissão que o atacante precisava.
O desenvolvedor 0xDeployer confirmou que 80% dos fundos foram devolvidos, com os restantes 20% sujeitos a discussão comunitária — enquadrando isso como uma recompensa informal por bugs. A recuperação parcial…
WuBlockchain
Lookonchain
TheBlock
CoinTelegraph