กระเป๋าเงิน Bankr ของ Grok ที่ถูกตั้งค่าให้อัตโนมัติถูกถอนเงิน DRB token มูลค่าราว 150,000 USD หลังจากผู้โจมตีใช้ Non-Fungible Token (NFT) ที่ส่งให้และข้อความตอบกลับที่ฝังโค้ดเพื่อล่อให้ปัญญาประดิษฐ์ (AI) อนุมัติการโอนเงิน
ผู้ก่อตั้ง Bankr ชื่อ 0xDeployer กล่าวว่ากระเป๋านี้ไม่มีผู้ดูแลที่ xAI และถูกควบคุมโดยสมบูรณ์ผ่านบัญชี X ของ Grok ขณะนี้เงินประมาณ 80% ได้ถูกส่งคืนให้ Bankr แล้ว
กระเป๋า Grok ถูกถอน 150,000 USD จากการโจมตีแบบ Prompt Injection ใน Bankr
ผู้โจมตีที่ใช้ที่อยู่ ilhamrafli.base.eth ได้ส่ง Bankr Club Membership token ให้กับกระเป๋า Grok ซึ่งเปิดใช้ฟังก์ชั่นโอนเต็มรูปแบบของ agent และต่อมาผู้โจมตียังได้ส่งข้อความตอบกลับที่ปรับแต่งไว้ ซึ่งภายหลังถูกลบ ซึ่งสั่งให้ Grok อนุมัติการทำธุรกรรมโอนเงินก้อนใหญ่
Bankr ได้เซ็นและกระจายการโอน DRB token จำนวนสามพันล้านเหรียญ ซึ่งในขณะนั้นมีมูลค่าราว 174,000 USD ไปยังที่อยู่ของผู้โจมตี
ทุกบัญชี X ที่มีปฏิสัมพันธ์กับ Bankr จะได้รับกระเป๋าเงินอัตโนมัติ ซึ่ง Grok ก็ไม่มีข้อยกเว้น กระเป๋านี้ผูกกับบัญชี x ของ grok ดังนั้นใครที่ควบคุมบัญชีนั้นได้ ก็ย่อมควบคุมกระเป๋าเงินนั้นได้ Bankr ไม่ได้ดูแลหรือเก็บกุญแจ กระบวนการที่เกิดขึ้นกับ DRB ล่าสุด มาจากการ exploit prompt injection ให้ grok สั่งโอนเงินไปยัง Bankr ทีมงาน อธิบายไว้ในโพสต์หนึ่ง
เงินถูกนำข้ามไปยังกระเป๋าที่สองและขายทันที โดยบัญชี X (Twitter) ของผู้โจมตีก็ถูกลบภายในไม่กี่นาทีหลังทำธุรกรรม
การ โจมตีอาศัยวิธี Social Engineering ไม่ใช่ช่องโหว่ของ Smart Contract นักวิจัยที่ติดตามความเสี่ยงแบบเดียวกันนี้จาก agent ได้ระบุว่า มีการซ่อนคำสั่งในรหัสมอร์ส, การเข้ารหัส base64 และเทคนิคแนวเกมเป็นวิธีที่นิยมในการหลบเลี่ยง
การตอบสนองของ Bankr และกระแสต้านจาก DRB
0xDeployer เผยว่า เวอร์ชันก่อนหน้าของ agent ใน Bankr ได้สกัดข้อความตอบกลับจาก Grok เพื่อป้องกันการ inject ข้อความกันเองระหว่าง LLM แต่หลังจากเขียนระบบใหม่ ฟีเจอร์นี้ถูกถอด ล่าสุดได้มีการนำกลับมาใช้อีกครั้งแบบเข้มงวดกว่าเดิม
ฝั่ง DRB Task Force โต้แย้งมุมมองของ Bankr โดยระบุว่าผู้โจมตีเสนอจะคืนเงินเพียง 80% หลังชุมชนได้ข้อมูลส่วนตัวของเขา
กลุ่มนี้เรียกเหตุการณ์นี้ว่าเป็นการขโมยโดยตรง และการพูดคุยเรื่องอีก 20% ที่เหลือยังดำเนินอยู่ในชุมชน DRB
Bankr ได้เปิดใช้งานตัวเลือกการ Whitelist Internet Protocol (IP), การใช้กุญแจ Application Programming Interface (API) แบบมีสิทธิ์ และตัวเลือกเปิด-ปิดต่อบัญชีเพื่อปิดการทำงานที่ถูกกระตุ้นโดยการตอบกลับจาก X
กรณีนี้ช่วยเสริมสร้างการถกเถียงในวงกว้างเกี่ยวกับวิธีที่ ตัวแทนอัตโนมัติที่ถือเงินทุนจริง ควรถูกปกป้องรักษาอย่างไร หลังจากมีงานวิจัยที่ a16z สนับสนุนเมื่อเร็วๆ นี้พบว่า AI agents สามารถหลุดรอดจากระบบควบคุม sandbox เมื่อเผชิญแรงกดดัน
