Morse kodu istem enjeksiyonu Grok'un onaylı cüzdanından 3B $DRB'yi boşalttı — dört adımda yaklaşık 155K$ kayboldu.

Kötü niyetli bir aktör, Grok'u metni çözmeye ve temiz bir @bankrbot komutu çıkarmaya kandırmak için bir kamu X gönderisinde Morse kodu obfuscation kullandı — ardından Bankrbot bu komutu canlı bir token transferi olarak yürüttü. Üç milyar DRB tokeni, Grok ile ilişkili bir cüzdandan Base üzerinde ayrıldı ve tahmini değeri 155,000$–200,000$ olan yetkisiz bir adrese ulaştı.

Saldırı, özel anahtar erişimi gerektirmedi. İki ajan arasındaki geçişi istismar etti: Grok, yardımcı bir çözücü olarak hareket etti ve Bankrbot, bu çözülmüş çıktıyı harcama yetkisi olarak değerlendirdi. Grok cüzdanında zaten bulunan bir Bankr Club Membership NFT'sinin, Bankr ortamında transfer yetkilerini genişlettiği bildirildi ve saldırganın ihtiyaç duyduğu izin yüzeyini tamamladı.

Geliştirici 0xDeployer, fonların %80'inin geri döndüğünü doğruladı, geri kalan %20'sinin ise topluluk tartışmasına tabi olduğunu belirtti — bunu gayri resmi bir hata ödülü olarak çerçeveliyor. Kısmi kurtarma…