Cách AI bị lừa lấy cắp 150,000 USD từ ví Grok

Ví Bankr tự động của Grok đã bị rút khoảng 150,000 USD bằng DRB token sau khi một kẻ tấn công lợi dụng một NFT được tặng cùng với một phản hồi được mã hóa để khiến trí tuệ nhân tạo (AI) này cho phép chuyển tiền.

Nhà sáng lập Bankr, 0xDeployer, cho biết ví này không có quản trị viên nào tại xAI và được kiểm soát hoàn toàn thông qua tài khoản X của Grok. Hiện tại, khoảng 80% số tiền đã được trả về cho Bankr.

Ví Grok bị rút 150,000 USD do bị tấn công prompt injection trên Bankr

Kẻ tấn công, sử dụng địa chỉ ilhamrafli.base.eth, đã tặng cho ví Grok một Bankr Club Membership token. Token này đã kích hoạt toàn bộ quyền chuyển tiền của Grok. Sau đó, một phản hồi được lập trình, sau đó đã bị xóa, đã hướng dẫn Grok thực hiện một giao dịch rút tiền lớn.

Bankr đã ký và phát đi giao dịch chuyển ba tỷ DRB token, trị giá khoảng 174,000 USD tại thời điểm viết bài, sang ví của kẻ tấn công.

“Mỗi tài khoản X khi tương tác với Bankr sẽ được tự động tạo một ví, Grok cũng không ngoại lệ. Ví này gắn liền với tài khoản X của Grok, nên ai kiểm soát tài khoản X đó sẽ kiểm soát luôn ví. Bankr không giữ hay kiểm soát khóa ví. Vụ việc liên quan đến DRB vừa rồi xảy ra là do một lỗ hổng prompt-injection khiến Grok gửi lệnh chuyển tiền cho Bankr,” đội ngũ giải thích trong một bài đăng.

Số tiền này sau đó được chuyển nhanh sang một ví thứ hai và bán luôn. Tài khoản X (Twitter) của kẻ tấn công cũng bị xóa trong vòng vài phút sau giao dịch.

Đợt tấn công này dựa vào thao túng tâm lý thay vì khai thác lỗ hổng hợp đồng thông minh. Các nhà nghiên cứu cảnh báo rằng những kỹ thuật ẩn trong mã Morse, mã hóa base64 và cách đặt lệnh kiểu game là những phương pháp phổ biến để vượt qua bảo mật agent.

Phản hồi từ Bankr và ý kiến trái chiều từ DRB

0xDeployer cho biết phiên bản trước đây của agent Bankr từng chặn phản hồi từ Grok để tránh tình trạng injection dây chuyền giữa các AI language model (LLM-on-LLM). Tuy nhiên, tính năng bảo vệ này đã bị bỏ khi viết lại toàn bộ hệ thống. Hiện tại, biện pháp ngăn chặn nghiêm ngặt hơn đã được triển khai lại.

DRB Task Force đã bác bỏ cách trình bày của Bankr, đồng thời nói rằng kẻ tấn công chỉ chấp nhận trả lại 80% số tiền khi cộng đồng tìm ra danh tính thật của hắn.

Nhóm DRB gọi đây là một vụ trộm cắp rõ ràng, còn việc xử lý 20% số tiền còn lại vẫn đang được cộng đồng DRB thảo luận.

Bankr đã triển khai thêm các tùy chọn như whitelisting địa chỉ IP, khóa API có giới hạn quyền và bật/tắt chức năng cho phép hành động qua phản hồi trên X cho từng tài khoản.

Vụ việc này tiếp tục làm nóng cuộc tranh luận về việc làm sao để bảo vệ tốt các agent tự động đang kiểm soát tiền thật. Một nghiên cứu được a16z tài trợ gần đây cho thấy AI agent có thể vượt qua hàng rào “sandbox” bảo vệ khi gặp áp lực lớn.