Detrás del uso indebido de Grok: Análisis del abuso de permisos en la cadena de agentes de IA

Escrito por: Equipo de Seguridad de SlowMist

Contexto

Recientemente, en la cadena Base ocurrió un incidente de abuso de permisos relacionado con la integración de AI Agent y sistemas de comercio automatizado. Los atacantes, mediante el envío de contenidos estructurados específicos a @grok en la plataforma X, inducen a que este genere instrucciones de transferencia reconocidas por un agente de comercio externo (@bankrbot), lo que finalmente conduce a transferencias de activos reales en la cadena.

Sobre la “Carpeta Grok”:

La dirección marcada como “Carpeta Grok” en el incidente (0xb1058c959987e3513600eb5b4fd82aeee2a0e4f9) no pertenece al control oficial de xAI. Esta dirección fue generada automáticamente por @bankrbot para la cuenta en X @grok, y la clave privada está custodiada por un servicio de cartera de terceros en el que Bankr confía, teniendo el control real en manos de Bankr. BaseScan ha corregido la etiqueta de esta dirección de “Grok” a Bankr 1 y otras identificaciones relacionadas.

()

Esta cartera posee una gran cantidad de DRB (aproximadamente 3 mil millones), también derivada del diseño del mecanismo de Bankr: a principios de este año, un usuario preguntó a Grok por sugerencias de nombres de tokens, y Grok respondió “DebtReliefBot” (abreviado DRB). Posteriormente, el sistema de Bankr interpretó esa respuesta como una señal de despliegue, desencadenando el proceso de creación del token en la cadena Base y distribuyendo la participación del creador en esa cartera vinculada según las reglas de Launchpad.

Proceso del ataque

Este ataque se divide principalmente en dos fases clave: escalada de permisos y inyección de instrucciones, formando un ciclo completo de “entrada no confiable → salida de AI → ejecución por agente externo → transferencia de activos”.

1. Fase de escalada de permisos

El atacante (dirección vinculada ilhamrafli.base.eth) activó mediante un mecanismo centralizado la membresía en Bankr Club para esta cartera. Esta operación desbloqueó el conjunto de herramientas de alto nivel de @bankrbot (conjunto de herramientas agentic), proporcionando los permisos necesarios para futuras transferencias.

2. Fase de ejecución de Inyección de Prompt

El atacante envió a @grok un código Morse cuidadosamente estructurado. Grok, tras traducir/decodificar según la solicitud del usuario, generó instrucciones en texto claro y @bankrbot. @bankrbot interpretó la respuesta pública de Grok como un comando válido y ejecutable, iniciando directamente una transferencia en la cadena Base.

()

Luego, el atacante rápidamente cambió DRB por USDC/ETH. Tras completar el ataque, las cuentas relacionadas eliminaron rápidamente el contenido y se desconectaron.

La astucia del ataque radica en aprovechar plenamente la respuesta “servicial” de Grok, eludiendo la filtración convencional de origen de instrucciones por parte de @bankrbot, y construyendo un ciclo cerrado entre la salida de AI y la ejecución en la cadena.

Situación de recuperación de fondos

Tras el incidente, la comunidad y el equipo de Bankr rastrearon que aproximadamente entre el 80% y el 88% del valor de los fondos fue recuperado mediante negociaciones (principalmente en USDC y ETH). La parte restante, según las partes involucradas, se manejó como un bug bounty no oficial. @bankrbot confirmó públicamente los detalles del ataque y tomó medidas restrictivas correspondientes.

Análisis de la causa raíz

Defecto en el modelo de confianza: Bankrbot mapea directamente la salida en lenguaje natural de Grok a instrucciones financieras ejecutables, sin verificar adecuadamente la fuente, la intención o detectar patrones anómalicos (como código Morse u otros codificados no estándar).

Insuficiente aislamiento de permisos: La activación de membresía otorga directamente permisos a herramientas de alto riesgo, sin confirmación secundaria o límites de cuota.

Fronteras difusas entre agentes: Grok, como AI conversacional, no debería tener su salida considerada como autorización financiera, pero en la capa de ejecución se la trata como una señal confiable.

Riesgo en el procesamiento de entradas: Los modelos de lenguaje grande (LLM) son vulnerables a inyección de prompts o evasión de filtros de seguridad mediante codificación no estándar, un problema conocido que, al combinarse con la ejecución de activos reales, puede amplificarse en pérdidas elevadas.

Es importante destacar que Grok en sí no posee claves privadas ni realiza operaciones en la cadena directamente; funciona más como un intermediario que puede ser explotado, siendo el verdadero ejecutor el sistema automatizado de trading de @bankrbot.

Lecciones de seguridad

Este incidente ofrece valiosas lecciones prácticas para el campo de AI + Agentes Cripto:

La salida en lenguaje natural debe estar estrictamente desacoplada de las acciones financieras;

Operaciones de alto valor deben incluir múltiples verificaciones, controles de cuota y detección de anomalías (tipo de codificación, umbrales de monto, listas blancas de origen, etc.);

La interacción entre agentes debe preferentemente usar protocolos estructurados y verificables, en lugar de instrucciones en texto plano;

El modelo de amenaza de inyección de prompts debe considerarse en todo el ciclo de diseño de agentes, incluyendo la posible utilización indirecta de otras AI.

Resumen

Este es un ejemplo típico de un incidente de seguridad en la cadena de permisos de AI Agent. Aunque Grok fue explotado mediante Prompt Injection, la raíz del problema radica en que: en el sistema de Bankrbot, la salida de AI está débilmente vinculada a la capa de ejecución de activos reales. Este incidente proporciona un caso de referencia muy valioso en el campo de AI + Agentes Cripto, y transmite claramente una señal: cuando un agente recibe capacidad de ejecución en la cadena, se deben establecer límites de confianza y mecanismos de control de seguridad estrictos. En el futuro, el diseño de infraestructura de seguridad relacionado debe seguir fortaleciéndose para hacer frente a este tipo de ataques que cruzan sistemas y límites semánticos.