Um trader enganou o Grok para retransmitir uma instrução de pagamento codificada em código Morse a 4 de maio, drenando cerca de 3 mil milhões de tokens DRB (num valor estimado de 155 000 $ a 200 000 $ na altura) de uma carteira provisionada para a IA na plataforma de agentes Bankr. A transferência, visível na Base, foi desencadeada por uma publicação pública no X que o Grok decodificou num comando limpo mencionando @bankrbot, que a plataforma tratou como executável.
O percurso relatado teve quatro passos. O atacante começou por alargar privilégios de transferência num NFT Bankr Club Membership detido na carteira associada ao Grok, depois publicou um payload em código Morse no X com formatação ruidosa, pediu ao Grok para traduzir o texto ofuscado numa instrução simples para @bankrbot e, por fim, deixou o Bankrbot executar o comando público como uma transferência de tokens em difusão. O programador da Bankr, 0xDeployer, confirmou que uma versão anterior do agente continha um bloco hardcoded que ignorava respostas do Grok — uma defesa que não foi mantida na reescrita mais recente, abrindo a brecha.
Porque é relevante
A exploração reformula o risco dos agentes de IA, deixando de ser um debate abstracto sobre segurança para se tornar um problema de controlo de carteira. Uma publicação pública numa rede social tornou-se autoridade de gasto porque um sistema (Grok) descodificou texto hostil numa instrução limpa e outro sistema (Bankrbot) tratou o output do modelo como um comando válido. Essa passagem — da linguagem à autoridade — é a falha estrutural.
A mesma configuração já existe em bots de trading com chaves de API e assistentes locais com acesso a carteiras. A taxonomia mais ampla de riscos de LLM classifica isto como risco de agência excessiva, em que permissões alargadas e acção autónoma ampliam o raio de impacto. A taxonomia de machine learning adversarial do NIST usa a mesma linguagem. No mundo cripto, esse raio de impacto é mais difícil de absorver, porque a finalidade das transacções significa que a recuperação depende de contrapartes, pressão pública ou autoridades — e não de reverter a decisão errada.
Impacto no mercado
A transferência de DRB situa-se ela própria nos cerca de 155 000 $ a 200 000 $, uma perda contida em dólares — mas o precedente é o que importa. 0xDeployer referiu que 80 % dos fundos tinham sido devolvidos, com os restantes 20 % deixados para discussão com a comunidade DRB como um bug bounty informal. Esse resultado reduziu a perda imediata, mas mostrou também o quanto a recuperação dependeu de coordenação pós-transacção e não de limites pré-transacção.
Para operadores de carteiras de agentes, a lista prática de mitigações é agora concreta: separar modos de leitura e escrita, listas de destinatários permitidos aplicadas fora do LLM, limites de gasto por sessão e isolamento rígido entre as credenciais da carteira e qualquer superfície de assistente.
Perguntas frequentes
-
O que aconteceu no incidente de injeção de prompt entre o Grok e a Bankr?
A 4 de maio, um trader publicou texto ofuscado em código Morse no X, que o Grok descodificou numa instrução de pagamento limpa para @bankrbot. O Bankrbot tratou o comando público como executável e transferiu cerca de 3 mil milhões de tokens DRB (~$155K–$200K) de uma carteira provisionada para o Grok na Base para um…
-
Como é que o atacante obteve privilégios de transferência na carteira do Grok?
O programador da Bankr, 0xDeployer, disse que uma versão anterior do agente tinha um bloco hardcoded que ignorava respostas do Grok para impedir cadeias de injeção LLM-sobre-LLM, mas essa protecção não foi mantida na reescrita mais recente. O atacante terá alargado privilégios de transferência num NFT Bankr Club…
-
Quanto foi perdido e quanto foi recuperado?
A transferência de DRB valia cerca de 155 000 $ a 200 000 $ na altura. 0xDeployer referiu que 80 % dos fundos tinham sido devolvidos, com os restantes 20 % deixados para discussão com a comunidade DRB como bug bounty informal.
-
Porque é que esta exploração é significativa para além da perda em dólares?
Reformula o risco dos agentes de IA, deixando de ser um debate sobre comportamento de modelo para passar a ser um problema de controlo de carteira. Uma publicação pública numa rede social tornou-se autoridade de gasto porque um sistema descodificou texto hostil numa instrução limpa e outro tratou o output do modelo…
-
Que mitigações são recomendadas para operadores de carteiras de agentes?
A lista prática: separar modos de leitura e escrita, listas de destinatários permitidos aplicadas fora do LLM, limites de gasto por sessão, listas de IPs permitidos em chaves de API, chaves de API com permissões, um interruptor por conta que desactive a execução a partir de respostas públicas e isolamento rígido entre…