تم استنزاف محفظة بنك Grok التي تم تعيينها تلقائيا من حوالي 150,000 دولار من رموز DRB بعد أن استخدم مهاجم رمزا غير قابل للاستبدال (NFT) واستجابة مشفرة لدفع الذكاء الاصطناعي (AI) لتفويض النقل.
قال مؤسس بنك 0xDeployer إن المحفظة لا تملك مسؤولا في xAI وكانت تدار بالكامل من خلال حساب Grok على X. تم إرجاع حوالي 80٪ من الأموال إلى بنك منذ ذلك الحين.
محفظة جروك استنزفت 150,000 دولار في هجوم حقن سريع على بنك
المهاجم، أثناء عمله عبر العنوان ilhamrafli.base.eth، أهدى محفظة Grok رمز عضوية نادي المصرفيين الذي فعل قدرات التحويل الكاملة للوكيل. رد مصاغ، تم حذفه لاحقا، وجه جروك بتفويض معاملة كبيرة خارجية.
وقع بانكر وبث نقل ثلاثة مليارات رمز DRB، بقيمة تقارب 174,000 دولار في ذلك الوقت، إلى عنوان المهاجم.
"كل حساب X يتفاعل مع البنك يتم تزويده تلقائيا بمحفظة، وليس استثناء. المحفظة مرتبطة بحساب x الخاص ب grok، لذا من يسيطر على ذلك الحساب يتحكم في المحفظة. المصرفي لا يحتفظ به ولا يملك المفاتيح. حدث حادث DRB الأخير لأن استغلال حقن فوري جعل من الشخص يصدر تعليمات نقل إلى Bankr"، كما أوضح الفريق في منشور.
تم تحويل الأموال بسرعة إلى محفظة ثانية وبيعها، وتم حذف ملف المهاجم X (تويتر) خلال دقائق من الصفقة.
استند هذا الاستغلال إلى الهندسة الاجتماعية بدلا من عيب في العقود الذكية. وقد أشار الباحثون الذين يتتبعون لمخاطر العملاء المماثلة إلى تعليمات مخفية في شفرة مورس، وترميز base64، وتأطير أسلوب الألعاب كتقنيات تجاوز شائعة.
استجابة المصرفيين ورد الدفاع من DRB
قال 0xDeployer إن نسخة سابقة من وكيل بانكر كانت تحظر الردود من Grok لمنع سلاسل حقن LLM-to-LLM. ومع ذلك، تم التخلي عن هذا الضمان أثناء إعادة كتابة كاملة. تم الآن إعادة فرض حظر أكثر صرامة.
اعترضت فرقة عمل DRB على توريط بانكر، قائلة إن المهاجم عرض فقط إعادة 80٪ بعد أن حصل المجتمع على بياناته الشخصية.
وصفت المجموعة القضية بأنها سرقة صريحة، ولا يزال النقاش حول ال 20٪ المتبقية جاريا داخل مجتمع DRB.
أطلق بنك بانكر قائمة بيضاء اختيارية لبروتوكول الإنترنت (IP)، ومفاتيح واجهة برمجة التطبيقات (API) المصرح بها، وخيار تبديل لكل حساب يعطل الإجراءات التي تثيرها ردود X.
تضيف هذه القضية إلى نقاش أوسع حول كيفية تأمين الوكلاء المستقلين الذين يمتلكون أموالا حقيقية ، بعد دراسة حديثة مدعومة من a16z أن وكلاء الذكاء الاصطناعي يمكنهم الهروب من ضوابط صندوق الرمل تحت الضغط.
