執筆:慢雾安全チーム背景最近、Baseチェーン上でAIエージェントと自動取引システムの連携に関する権限乱用事件が発生した。攻撃者はXプラットフォーム上で@Grokに対して特定の構造化コンテンツを送信し、外部取引エージェント(@bankrbot)に認識される送金指示を誘導し、最終的にチェーン上の実資産の移転を引き起こした。「Grokウォレット」について:事件で「Grokウォレット」とマークされたアドレス(0xb1058c959987e3513600eb5b4fd82aeee2a0e4f9)は、xAI公式の管理下にない。このアドレスは、@bankrbotがXアカウント@Grok用に自動生成した関連ウォレットであり、秘密鍵はBankrが依存するサードパーティのウォレットサービスに管理されている。実際の管理権はBankrにある。BaseScanはこのアドレスのタグを「Grok」から「Bankr 1」などの関連識別子に修正した。()このウォレットが保有する大量のDRB(約30億枚)も、Bankrの仕組み設計に由来する。今年初め、あるユーザーがGrokにトークンの命名提案を問い合わせたところ、Grokは「DebtReliefBot」(略称DRB)と回答した。その後、Bankrシステムはこの回答を展開信号として解析し、Baseチェーン上で関連トークンの作成プロセスをトリガーし、Launchpadのルールに従って作成者のシェアをこの関連ウォレットに配分した。攻撃の流れ今回の攻撃は、権限の昇格と指令の注入の二つの重要な段階に分かれ、「信頼できない入力 → AI出力 → 外部エージェントの実行 → 資産の移転」という完全な連鎖を形成している。1. 権限昇格段階攻撃者(関連アドレスilhamrafli.base.eth)は、中央集権的な仕組みを通じてこのウォレットのBankr Clubメンバーシップを開設した。この操作により、@bankrbotの高権限ツールセット(エージェントツールセット)が解放され、その後の送金実行に必要な権限を得た。2. プロンプト注入実行段階攻撃者は@Grokに対して、精巧に構築されたモールス信号(Morse Code)を送信した。Grokはユーザーの要求に従って翻訳・デコードを行い、明文の指示を出力し、@bankrbotに送った。@bankrbotはGrokの公開返信を有効な実行可能なコマンドとみなし、直接Baseチェーン上で送金操作を開始した。()攻撃者はその後、迅速にDRBをUSDCやETHに交換した。攻撃完了後、関連アカウントは内容を素早く削除し、オフラインにした。今回の攻撃の巧妙さは、Grokの「支援的」な応答特性を十分に利用し、@bankrbotの指令源に対する通常のフィルタリングを回避し、AI出力とチェーン上の実行の閉ループを構築した点にある。資金の回収状況事件後、コミュニティとBankrチームの追跡によると、約80%〜88%の資金価値は協議を経て回収された(主にUSDCとETHの形で)。残りの部分は、関係者の説明によると、非公式のバグバウンティとして処理された。Bankrbotは攻撃の詳細を公開し、相応の制限措置を講じた。根本原因の分析信頼モデルの欠陥:BankrbotはGrokの自然言語出力を直接金融指令にマッピングしているが、指令の出所、意図の真実性、または異常パターン(モールス符号などの非標準エンコード)について十分な検証を行っていない。権限の隔離不足:メンバー資格の有効化は高リスクツールの権限を直接付与し、二次確認やクォータ制限が欠如している。エージェント間の境界の曖昧さ:Grokは対話型AIであり、その出力は本来金融の承認と同等であってはならないが、下流の実行層は信頼できる信号とみなしている。入力処理のリスク:LLMはプロンプト注入や非標準エンコードによるセキュリティフィルタの迂回に容易に影響されることが既知の問題であり、実資産の実行層と結びつくと高額な損失に拡大する。特に強調すべきは、Grok自体は秘密鍵を保持せず、直接チェーン上の操作を行わない点であり、むしろ利用された中間段階に過ぎず、実際の実行主体は@bankrbotの自動取引システムである。安全上の示唆今回の事件は、AI + Cryptoエージェント分野に対して重要な実戦的教訓を提供している。自然言語の出力は金融アクションと厳格にデカップリングすべきである。高価値の操作には、多重検証、クォータ制御、異常検知(エンコードタイプ、金額閾値、出所ホワイトリストなど)を導入すべきである。エージェント間の相互作用は、構造化され検証可能なプロトコルを優先し、純粋なテキスト指令は避けるべきである。Prompt Injectionの脅威モデルは、間接的に他のAIの能力を利用する場合も含め、全チェーンのエージェント設計に組み込む必要がある。まとめこれは典型的なAIエージェントの権限チェーンのセキュリティ事件である。GrokがPrompt Injectionに利用されたものの、根本的な問題は、BankrbotシステムにおいてAI出力と実資産の実行層が緩やかに結びついている点にある。この事件は、AI + Cryptoエージェント分野にとって非常に参考になる実戦例を提供し、エージェントにチェーン上の実行能力を付与する際には、厳格な信頼境界とセキュリティ制御メカニズムを構築する必要があることを明確に示している。今後も、関連インフラのセキュリティ設計は継続的に強化される必要があり、システム間や意味論的境界を越える新たな攻撃手法に対応していく必要がある。
Grok が悪用される背景:AIエージェントの権限チェーン乱用分析
執筆:慢雾安全チーム
背景
最近、Baseチェーン上でAIエージェントと自動取引システムの連携に関する権限乱用事件が発生した。攻撃者はXプラットフォーム上で@Grokに対して特定の構造化コンテンツを送信し、外部取引エージェント(@bankrbot)に認識される送金指示を誘導し、最終的にチェーン上の実資産の移転を引き起こした。
「Grokウォレット」について:
事件で「Grokウォレット」とマークされたアドレス(0xb1058c959987e3513600eb5b4fd82aeee2a0e4f9)は、xAI公式の管理下にない。このアドレスは、@bankrbotがXアカウント@Grok用に自動生成した関連ウォレットであり、秘密鍵はBankrが依存するサードパーティのウォレットサービスに管理されている。実際の管理権はBankrにある。BaseScanはこのアドレスのタグを「Grok」から「Bankr 1」などの関連識別子に修正した。
()
このウォレットが保有する大量のDRB(約30億枚)も、Bankrの仕組み設計に由来する。今年初め、あるユーザーがGrokにトークンの命名提案を問い合わせたところ、Grokは「DebtReliefBot」(略称DRB)と回答した。その後、Bankrシステムはこの回答を展開信号として解析し、Baseチェーン上で関連トークンの作成プロセスをトリガーし、Launchpadのルールに従って作成者のシェアをこの関連ウォレットに配分した。
攻撃の流れ
今回の攻撃は、権限の昇格と指令の注入の二つの重要な段階に分かれ、「信頼できない入力 → AI出力 → 外部エージェントの実行 → 資産の移転」という完全な連鎖を形成している。
攻撃者(関連アドレスilhamrafli.base.eth)は、中央集権的な仕組みを通じてこのウォレットのBankr Clubメンバーシップを開設した。この操作により、@bankrbotの高権限ツールセット(エージェントツールセット)が解放され、その後の送金実行に必要な権限を得た。
攻撃者は@Grokに対して、精巧に構築されたモールス信号(Morse Code)を送信した。Grokはユーザーの要求に従って翻訳・デコードを行い、明文の指示を出力し、@bankrbotに送った。@bankrbotはGrokの公開返信を有効な実行可能なコマンドとみなし、直接Baseチェーン上で送金操作を開始した。
()
攻撃者はその後、迅速にDRBをUSDCやETHに交換した。攻撃完了後、関連アカウントは内容を素早く削除し、オフラインにした。
今回の攻撃の巧妙さは、Grokの「支援的」な応答特性を十分に利用し、@bankrbotの指令源に対する通常のフィルタリングを回避し、AI出力とチェーン上の実行の閉ループを構築した点にある。
資金の回収状況
事件後、コミュニティとBankrチームの追跡によると、約80%〜88%の資金価値は協議を経て回収された(主にUSDCとETHの形で)。残りの部分は、関係者の説明によると、非公式のバグバウンティとして処理された。Bankrbotは攻撃の詳細を公開し、相応の制限措置を講じた。
根本原因の分析
信頼モデルの欠陥:BankrbotはGrokの自然言語出力を直接金融指令にマッピングしているが、指令の出所、意図の真実性、または異常パターン(モールス符号などの非標準エンコード)について十分な検証を行っていない。
権限の隔離不足:メンバー資格の有効化は高リスクツールの権限を直接付与し、二次確認やクォータ制限が欠如している。
エージェント間の境界の曖昧さ:Grokは対話型AIであり、その出力は本来金融の承認と同等であってはならないが、下流の実行層は信頼できる信号とみなしている。
入力処理のリスク:LLMはプロンプト注入や非標準エンコードによるセキュリティフィルタの迂回に容易に影響されることが既知の問題であり、実資産の実行層と結びつくと高額な損失に拡大する。
特に強調すべきは、Grok自体は秘密鍵を保持せず、直接チェーン上の操作を行わない点であり、むしろ利用された中間段階に過ぎず、実際の実行主体は@bankrbotの自動取引システムである。
安全上の示唆
今回の事件は、AI + Cryptoエージェント分野に対して重要な実戦的教訓を提供している。
自然言語の出力は金融アクションと厳格にデカップリングすべきである。
高価値の操作には、多重検証、クォータ制御、異常検知(エンコードタイプ、金額閾値、出所ホワイトリストなど)を導入すべきである。
エージェント間の相互作用は、構造化され検証可能なプロトコルを優先し、純粋なテキスト指令は避けるべきである。
Prompt Injectionの脅威モデルは、間接的に他のAIの能力を利用する場合も含め、全チェーンのエージェント設計に組み込む必要がある。
まとめ
これは典型的なAIエージェントの権限チェーンのセキュリティ事件である。GrokがPrompt Injectionに利用されたものの、根本的な問題は、BankrbotシステムにおいてAI出力と実資産の実行層が緩やかに結びついている点にある。この事件は、AI + Cryptoエージェント分野にとって非常に参考になる実戦例を提供し、エージェントにチェーン上の実行能力を付与する際には、厳格な信頼境界とセキュリティ制御メカニズムを構築する必要があることを明確に示している。今後も、関連インフラのセキュリティ設計は継続的に強化される必要があり、システム間や意味論的境界を越える新たな攻撃手法に対応していく必要がある。