Grokの自動発行型Bankrウォレットが、攻撃者によって贈与されたNFTとコード化された返信を利用され、AIが送金を承認した結果、約15万ドル相当のDRBトークンが流出した。
Bankrの創業者である0xDeployer氏によれば、当該ウォレットにはxAI側の管理者は存在せず、GrokのXアカウントのみが制御。流出した資金の約80%は、その後Bankrに返還された。
Grokウォレット、Bankrへのプロンプトインジェクション攻撃で15万ドル流出
攻撃者はilhamrafli.base.ethというアドレス経由で、GrokウォレットにBankr Club Membershipトークンを贈与。これによりエージェントの全送金機能が有効化された。その後、巧妙に作られた返信(後に削除)により、Grokが多額の外部送金を承認するよう指示された。
Bankrは30億DRBトークン(当時約17万4000ドル相当)の送金指示に署名し、攻撃者のアドレスに送金した。
「Bankrとやり取りしたすべてのXアカウントには自動でウォレットが発行される。groxのXアカウントに紐づくため、そのアカウントの管理者がウォレットを制御できる。Bankr側での管理や鍵の保持は行っていない。今回のDRB流出は、プロンプトインジェクションの悪用により、groxに送金指示を出させたことが原因」などと、チームが投稿で説明した。
流出資金は直ちに第2のウォレットへブリッジされ売却され、攻撃者のX(旧Twitter)アカウントは数分以内に削除された。
今回の攻撃は、スマートコントラクトの脆弱性でなくソーシャルエンジニアリングに依存。類似のリスクを追跡する研究者は、モールス符号やbase64エンコード、ゲーム風の表現などが頻繁なバイパス手法であると指摘する。
Bankr側の対応とDRBコミュニティの反発
0xDeployer氏は説明で、Bankrの初期エージェントにはGrokからの返信を遮断する機能があり、LLM同士のインジェクション連鎖を防いでいたと述べた。しかし全面的な書き換え時に安全策を外したとし、現在はより厳格な遮断策を再導入した。
DRBタスクフォースは、Bankr側の説明に異議を唱え、攻撃者はコミュニティが個人情報を入手した後ようやく80%の返還に応じたとしている。
同グループは今回のケースを明白な窃盗と呼び、残る20%の扱いについてDRBコミュニティ内で議論が続いている。
Bankrは、オプションでIPアドレスのホワイトリスト登録や、権限つきAPIキー、X返信がトリガーとなるアクションを無効化するアカウント単位の切替機能などを実装した。
本事案は、現実資産を保有する自律エージェントのセキュリティに関し、議論を呼んでいる。最近発表されたa16z支援の研究では、AIエージェントがサンドボックス管理外へ逸脱可能であるとの報告があった。
