Зловживання Grok: Аналіз зловживання ланцюга дозволів AI-агента

Написано: команда безпеки慢雾

Передумови

Нещодавно на базовому ланцюгу сталася подія з зловживанням правами, спрямована на поєднання AI Agent та систем автоматизованої торгівлі. Зловмисник, надсилаючи на платформі X спеціально сконструйований вміст @grok, спонукав її видавати трансакційні команди, які були розпізнані зовнішнім торговим агентом (@bankrbot), що в кінцевому підсумку призвело до переказу реальних активів у ланцюгу.

Щодо “Grok гаманця”:

Адреса, позначена як “Grok гаманць” (0xb1058c959987e3513600eb5b4fd82aeee2a0e4f9), не належить офіційному контролю xAI. Ця адреса є автоматично згенерованим зв’язковим гаманцем для аккаунта @grok, створеним @bankrbot, приватний ключ якого зберігається стороннім сервісом гаманця, що залежить від Bankr, а фактичний контроль належить Bankr. BaseScan вже виправив позначку цієї адреси з “Grok” на Bankr 1 та інші відповідні ідентифікатори.

()

Цей гаманець має велику кількість DRB (приблизно 3 мільярди монет), що також походить від механізму Bankr: раніше цього року користувач запитав у Grok рекомендації щодо іменування токену, і Grok відповів “DebtReliefBot” (скорочено DRB). Після цього система Bankr розпізнала цю відповідь як сигнал до розгортання, що активувало процес створення відповідного токена у базовому ланцюгу, і відповідно до правил Launchpad, частка створювача була розподілена цьому зв’язаному гаманцю.

Процес атаки

Ця атака складається з двох ключових етапів: підвищення прав доступу та ін’єкції команд, формуючи повний ланцюг “недовірений ввід → AI вивід → зовнішній агент виконує → активи переказуються”.

1. Етап підвищення прав

Зловмисник (зв’язаний адресою ilhamrafli.base.eth) через централізований механізм отримав членство в Bankr Club для цього гаманця. Це розблокувало високі привілеї інструментів @bankrbot (агентний набір), що дало йому необхідні права для подальших трансакцій.

2. Етап ін’єкції підказки

Зловмисник надіслав @grok ретельно сконструйований код Морзе, і Grok, за запитом користувача, виконав переклад/декодування, видавши відкритий командний рядок і @bankrbot. @bankrbot розцінив відкриту відповідь Grok як дійсну команду для виконання і безпосередньо ініціював трансфер у базовому ланцюгу.

()

Зловмисник швидко обміняв DRB на USDC/ETH. Після завершення атаки відповідний аккаунт швидко видалив вміст і вийшов з мережі.

Головна хитрість цієї атаки полягає у тому, що вона повністю використовує “допоміжну” характеристику Grok, обходячи стандартну фільтрацію команд @bankrbot, що дозволяє створити замкну ланцюг між AI-виводом і виконанням у ланцюгу.

Відновлення коштів

Після інциденту спільнота та команда Bankr відстежили, що близько 80%–88% вартості коштів було повернуто через переговори (головним чином у USDC та ETH). Решту, за словами відповідних сторін, обробляли як неофіційний баг-баунті. @bankrbot офіційно підтвердив деталі атаки та запровадив відповідні обмежувальні заходи.

Аналіз причин

Недолік моделі довіри: @bankrbot безпосередньо перетворює природну мову Grok у виконавські фінансові команди без належної перевірки джерела команд, їхньої справжності або аномальних моделей (наприклад, коду Морзе).

Недостатня ізоляція прав: активація членства одразу надає високоризикові інструменти, без додаткового підтвердження або обмежень.

Рамки між агентами нечіткі: Grok як діалоговий AI не повинен автоматично вважатися фінансовим авторитетом, але нижчий рівень виконавчого механізму сприймає її як довірений сигнал.

Ризики обробки вводу: LLM легко піддається ін’єкціям підказок або обходу безпечних фільтрів за допомогою нестандартних кодів, що вже відомо, але при поєднанні з реальним рівнем виконання активів може призводити до значних збитків.

Варто підкреслити, що Grok сама по собі не має приватних ключів і не виконує безпосередніх операцій у ланцюгу, вона швидше є проміжним елементом, а справжнім виконавцем є автоматизована торгова система @bankrbot.

Висновки щодо безпеки

Ця подія дає важливий практичний урок для сфери AI + Crypto Agent:

Вихід природної мови повинен бути строго розділений від фінансових дій;

Високовартісні операції мають потребувати багатоступеневої перевірки, контролю лімітів, виявлення аномалій (тип коду, поріг суми, білий список джерел тощо);

Взаємодія між агентами має базуватися на структурованих, перевірюваних протоколах, а не на чистому тексті команд;

Модель загрози ін’єкції підказок має враховувати весь ланцюг Agent, включаючи опосередковане використання інших AI.

Підсумки

Це класичний випадок безпеки ланцюга прав доступу AI Agent. Хоча Grok був використаний у Prompt Injection, корінь проблеми полягає у тому, що у системі Bankrbot AI-вивід і рівень виконання активів розділені слабо. Цей інцидент є цінним практичним прикладом для сфери AI + Crypto Agent і посилає чіткий сигнал: коли Agent отримує можливість виконувати у ланцюгу, потрібно встановлювати суворі межі довіри та механізми безпеки. У майбутньому безпека відповідної інфраструктури має постійно посилюватися для протидії новим типам атак, що охоплюють кілька систем і семантичних меж.