Un trader sfrutta il codice Morse per sottrarre miliardi di token crypto da un wallet verificato di Grok

Un trader ha sfruttato un messaggio in codice Morse pubblicato su X per indurre Grok, l’AI di xAI, a trasferire 3 miliardi di token DRB dal suo wallet verificato a un indirizzo non autorizzato. L’operazione, avvenuta il 4 maggio, ha sfruttato un meccanismo di autorizzazione basato su istruzioni testuali interpretate come comandi eseguibili.

Secondo quanto riportato da Bankrbot, piattaforma di lancio token agentico, il trasferimento è avvenuto sulla rete Base verso l’indirizzo 0xe8e47...a686b. I fondi sono stati prelevati da un wallet associato a Grok, senza che l’attaccante abbia mai avuto accesso alle chiavi private. L’operazione è stata possibile grazie a una catena di comando che ha sfruttato la decodifica automatica di Grok.

Come è avvenuto l’attacco

L’attaccante ha pubblicato su X un messaggio contenente punti e linee in codice Morse, che Grok ha decodificato in una richiesta pubblica indirizzata a @bankrbot. Il sistema ha interpretato questa richiesta come un comando valido, autorizzando il trasferimento dei token. La vulnerabilità risiede nella catena di fiducia tra sistemi automatizzati: un modello AI che decodifica un messaggio può diventare parte integrante di un meccanismo di pagamento quando un altro agente tratta la sua risposta come un’istruzione eseguibile.

Rischi per gli investitori crypto

Questo episodio trasforma il dibattito sulla sicurezza degli agenti AI da una questione astratta a un problema concreto di controllo dei wallet. Una richiesta pubblica può diventare un’autorizzazione di spesa quando un sistema tratta l’output di un modello come un’istruzione e un altro sistema ha il permesso di movimentare fondi. Le vulnerabilità includono:

• Permessi del wallet: chi controlla l’account X può gestire il wallet associato.
• Parser e interpretazione: la decodifica automatica di Grok ha trasformato un messaggio in un comando.
• Trigger sociali: la pubblicazione su X ha attivato la catena di comando.
• Politiche di esecuzione: Bankrbot ha interpretato la richiesta come un’istruzione valida.

Dettagli tecnici e recupero parziale

Secondo i dati di CryptoSlate, il valore dei token DRB trasferiti si attestava tra 155.000 e 200.000 dollari al momento dell’operazione. La maggior parte dei fondi è stata restituita, mentre una parte è stata trattenuta come bug bounty informale. Lo sviluppatore di Bankrbot, 0xDeployer, ha confermato che l’80% dei fondi è stato recuperato, mentre il restante 20% sarà discusso con la comunità DRB.

0xDeployer ha inoltre rivelato che Bankrbot assegna automaticamente un wallet X a ogni account che interagisce con la piattaforma, incluso Grok. Questo wallet è controllato da chi gestisce l’account X, non da Bankrbot o da xAI.

Le quattro fasi dell’attacco

Secondo l’analisi di CryptoSlate, l’attacco si è sviluppato in quattro passaggi:

1. Identificazione del NFT di appartenenza: l’attaccante ha individuato un NFT di membership nel wallet associato a Grok, che ha ampliato i privilegi di trasferimento all’interno dell’ambiente Bankrbot.
2. Pubblicazione del messaggio in codice Morse: il messaggio su X conteneva punti e linee che Grok ha decodificato in una richiesta pubblica.
3. Interpretazione come comando: Bankrbot ha trattato la richiesta decodificata come un’istruzione valida, autorizzando il trasferimento.
4. Esecuzione del trasferimento: i token sono stati inviati al wallet non autorizzato dell’attaccante.

Implicazioni per il futuro delle AI crypto

Questo episodio solleva domande critiche sul ruolo degli agenti AI nel settore crypto. Come possono i sistemi automatizzati gestire in sicurezza autorizzazioni e pagamenti? La risposta richiede una revisione delle politiche di sicurezza, dei meccanismi di autorizzazione e della fiducia tra sistemi automatizzati.

«Un modello che decodifica un puzzle o riformatta un testo può diventare parte di un meccanismo di pagamento quando un altro agente tratta l’output come un’istruzione valida», ha sottolineato un analista di CryptoSlate.