kryptovaluta AI-sikkerhed Grok kryptoangreb Bankrbot Morse-kode autonome agenter DRB-tokens Base-netværk kryptotegnebøger

En ondsindet aktør lykkedes i går med at stjæle 3 milliarder DRB-tokens fra en verificeret kryptotegnebog tilknyttet Grok, AI’en fra X (tidligere Twitter), uden nogensinde at røre ved de private nøgler. Ifølge agentbaseret token-platformen Bankrbot blev midlerne overført den 4. maj via netværket Base til tegnebogen 0xe8e47...a686b – en uautoriseret konto ejet af angriberen.

Transaktionen blev initieret via en X-besked indeholdende Morse-kode, som Grok automatisk fortolkede som en gyldig instruktion. AI’en skrev derefter en offentlig besked, der henviste til @bankrbot og bad om at udføre overførslen. Bankrbot behandlede herefter kommandoen som en eksekverbar ordre, hvilket førte til den massive transaktion.

Sådan fungerede angrebet trin for trin

  1. Forberedelse: Angriberen identificerede et Bankr Club Membership NFT i en tegnebog tilknyttet Grok. Dette NFT gav udvidede overførselsrettigheder inden for Bankr-miljøet, hvilket muliggjorde den efterfølgende kommando.
  2. Morse-kode besked: Angriberen sendte en X-besked indeholdende Morse-kode, som Grok automatisk afkodede til en klar instruktion.
  3. Automatisk udførelse: Grok skrev en offentlig besked, der henviste til @bankrbot og bad om at overføre tokens. Bankrbot behandlede beskedens indhold som en autoritativ kommando og udførte transaktionen.
  4. Uautoriseret overførsel: 3 milliarder DRB-tokens blev overført til angriberens tegnebog – uden behov for adgang til Grok’s private nøgler.

Sikkerhedshuller i AI-agenters logik

Dette angreb illustrerer en kritisk svaghed: Når AI-systemer automatisk fortolker og udfører kommandoer baseret på offentlige input, kan de blive en del af betalingssystemer. En model, der afkoder en gåde, reformulerer en tekst eller skriver et svar, kan blive en betalingskanal, hvis et andet system behandler outputtet som en gyldig instruktion.

»For kryptoinvestorer bør dette angreb flytte diskussionen om AI-agentsikkerhed fra en teoretisk debat til et reelt problem med kontrol over tegnebøger.«

Konsekvenser og delvis tilbageførsel

Ved overførslens tidspunkt havde 3 milliarder DRB en værdi på mellem 155.000 og 200.000 USD, ifølge prisdata fra DebtReliefBot. Efterfølgende rapporter indikerer, at størstedelen af midlerne er blevet returneret til Bankrbot, mens en mindre del er blevet beholdt som en uformel belønning for at afdække sårbarheden.

Bankrbot-udvikleren 0xDeployer meddelte, at 80% af midlerne var blevet returneret, mens de resterende 20% ville blive drøftet med DRB-fællesskabet. Dette viser, at genoprettelsen af midler afhang mere af koordinering efter transaktionen end af forebyggende sikkerhedsforanstaltninger.

Hvem kontrollerer Grok’s tegnebog?

Ifølge 0xDeployer opretter Bankrbot automatisk en X-tegnebog for hver konto, der interagerer med platformen – herunder Grok. Denne tegnebog kontrolleres imidlertid af den, der ejer X-kontoen, ikke af Bankrbot eller xAI’s personale. Dette afslører en potentiel risiko, hvor eksterne parter kan udnytte adgangsrettigheder via tilknyttede konti.

AI-agentsikkerhed bliver et kritisk emne

Eksperter understreger, at dette angreb peger på behovet for strengere sikkerhedsprotokoller i AI-agenters interaktion med kryptosystemer. Tegnebogsrettigheder, parser-logik, sociale triggers og eksekveringspolitikker udgør alle potentielle angrebsvektorer, når systemer behandler AI-output som autoritative kommandoer.

Med den stigende udbredelse af autonome AI-agenter bliver spørgsmålet »Hvordan betaler software?« stadig mere presserende – og potentielt farligt, hvis ikke sikkerheden følger med.

Kilde: CryptoSlate
AI-kameraer skal opdage skovbrande tidligere i USA's vestlige stater
← Forrige

AI-kameraer skal opdage skovbrande tidligere i USA's vestlige stater

 Dom om mifepriston udsætter medicinudvikling for større risici
Næste →

Dom om mifepriston udsætter medicinudvikling for større risici