Grok sendo explorado: Análise do abuso da cadeia de permissões do Agente de IA

Escrevendo: Equipa de Segurança de SlowFog

Contexto

Recentemente, na cadeia Base ocorreu um incidente de abuso de privilégios envolvendo a combinação de AI Agent e sistemas de negociação automatizada. Os atacantes enviaram conteúdos especificamente construídos na plataforma X para @grok, induzindo-o a emitir instruções de transferência reconhecidas por agentes externos de negociação (@bankrbot), levando à transferência de ativos reais na cadeia.

Sobre a “Carteira Grok”:

O endereço marcado como “Carteira Grok” neste incidente (0xb1058c959987e3513600eb5b4fd82aeee2a0e4f9) não pertence ao controlo oficial da xAI. Este endereço foi gerado automaticamente pelo @bankrbot para a conta X @grok, sendo a chave privada gerida por um serviço de carteira de terceiros confiado pelo Bankr, com controlo real nas mãos do Bankr. O BaseScan já corrigiu a etiqueta deste endereço de “Grok” para Bankr 1 e outras identificações relacionadas.

()

Esta carteira detém uma grande quantidade de DRB (cerca de 3 bilhões de tokens), também originada do mecanismo de design do Bankr: no início deste ano, um utilizador perguntou ao Grok por sugestões de nomes de tokens, ao que o Grok respondeu “DebtReliefBot” (abreviado DRB). Posteriormente, o sistema do Bankr interpretou essa resposta como um sinal de implantação, desencadeando o processo de criação do token na cadeia Base, e, de acordo com as regras do Launchpad, distribuiu a participação do criador nesta carteira associada.

Fluxo do ataque

Este ataque divide-se principalmente em duas fases críticas: escalada de privilégios e injeção de comandos, formando um ciclo completo de “entrada não confiável → saída de AI → execução por agente externo → transferência de ativos”.

1. Fase de escalada de privilégios

O atacante (endereço associado ilhamrafli.base.eth) ativou a associação ao Bankr Club Membership através de um mecanismo centralizado nesta carteira. Esta operação desbloqueou o conjunto de ferramentas de alta permissão do @bankrbot (conjunto de ferramentas agentic), fornecendo as permissões necessárias para futuras transferências.

2. Fase de execução de Prompt Injection

O atacante enviou ao @grok uma mensagem cuidadosamente construída em código Morse, que, após tradução/decodificação pelo Grok, produziu uma instrução em texto claro e enviou ao @bankrbot. Este interpretou a resposta pública do Grok como uma instrução válida e executável, iniciando uma transferência na cadeia Base.

()

O atacante rapidamente trocou DRB por USDC/ETH. Após o ataque, as contas relacionadas apagaram rapidamente o conteúdo e desconectaram-se.

A engenhosidade deste ataque reside na exploração da característica de “ajuda” do Grok, que permitiu contornar a filtragem convencional de origem de comandos do @bankrbot, criando um ciclo fechado entre a saída de AI e a execução na cadeia.

Situação de recuperação de fundos

Após o incidente, a comunidade e a equipa do Bankr rastrearam que aproximadamente 80% a 88% do valor dos fundos foi recuperado por negociação (principalmente em USDC e ETH). A restante parte, segundo fontes, foi tratada como uma bounty informal. O @bankrbot confirmou publicamente os detalhes do ataque e tomou medidas de limitação correspondentes.

Análise da causa raiz

Defeito no modelo de confiança: O @bankrbot mapeou diretamente a saída de linguagem natural do Grok para instruções financeiras executáveis, sem validar adequadamente a origem, intenção ou padrões anormais (como código Morse ou outros códigos não padrão).

Falta de isolamento de privilégios: A ativação da associação concedeu diretamente permissões de ferramentas de alto risco, sem confirmação secundária ou limites de quota.

Fronteiras entre agentes confusas: Como AI de diálogo, a saída do Grok não deveria ser considerada uma autorização financeira, mas foi vista como um sinal confiável pela camada de execução.

Risco no processamento de entrada: Os LLMs são suscetíveis a injeções de prompts ou bypass de filtros de segurança por códigos não padrão, um problema conhecido que, ao ser combinado com a camada de execução de ativos reais, pode resultar em perdas elevadas.

É importante destacar que o Grok em si não possui chaves privadas nem realiza operações na cadeia diretamente; ele funciona mais como uma etapa intermediária explorada, sendo o verdadeiro executor o sistema automatizado de negociações do @bankrbot.

Lições de segurança

Este incidente oferece lições práticas importantes para o campo de AI + Agentes Cripto:

A saída de linguagem natural deve ser estritamente desacoplada de ações financeiras;

Operações de alto valor devem incluir múltiplas verificações, controle de limites, detecção de anomalias (tipos de codificação, limites de valor, listas brancas de origem, etc.);

A interação entre agentes deve priorizar protocolos estruturados e verificáveis, ao invés de comandos em texto puro;

A ameaça de Prompt Injection deve ser considerada em todo o ciclo de design do agente, incluindo o uso indireto de outras AI.

Resumo

Este é um incidente clássico de segurança na cadeia de privilégios de AI Agent. Apesar de o Grok ter sido explorado por Prompt Injection, a raiz do problema reside na ligação frouxa entre a saída de AI e a camada de execução de ativos reais no sistema do Bankr. Este caso fornece um exemplo prático valioso para o campo de AI + Crypto Agent, transmitindo claramente que, ao conceder capacidades de execução na cadeia a um Agent, é imprescindível estabelecer limites de confiança e mecanismos de controle de segurança rigorosos. No futuro, a infraestrutura relacionada deve continuar a fortalecer seu design de segurança para enfrentar esse tipo de ataque que atravessa sistemas e fronteiras semânticas.