Хакер украл $204 000 из кошелька Grok через промпт-инъекцию и вернул средства

Интеграция чат-ботов с финансовыми инструментами создала новый вектор угроз, связанных с уязвимостью промпт-инъекций. ИИ-модель Grok оказалась скомпрометирована в результате манипуляции, позволившей злоумышленнику инициировать транзакцию со связанного с ботом кошелька. Ущерб от инцидента составил примерно $204 000 в токенах DRB.

Механика уязвимости

Техническая возможность проведения атаки обусловлена наличием у аккаунта Grok в социальной сети X доступа к протоколу Bankr. Владение специальным NFT-токеном позволяло боту выполнять финансовые операции, такие как переводы и обмен активов, непосредственно через текстовые команды в интерфейсе мессенджера. Иными словами, система интерпретировала взаимодействие с ботом как авторизованный запрос на финансовую транзакцию.

Сценарий атаки строился на обходе логики безопасности через маскировку вредоносного запроса под техническую задачу по программированию. Злоумышленник отправил фрагмент кода, содержавший скрытую инструкцию, которую модель восприняла как директиву к исполнению. Проще говоря, ИИ выполнил «техническое задание», а система Bankr, считывая этот ответ, распознала его как легитимный приказ на перевод 3 млрд токенов DRB на сторонний адрес.

Итоги инцидента

После успешной эксплуатации уязвимости атакующий быстро конвертировал украденные токены DRB в стейблкоины USDC и распределил их по нескольким счетам, завершив операцию за считанные минуты. Однако спустя пять минут после завершения транзакций средства были возвращены на исходный кошелек Grok, уже в виде комбинации ETH и USDC.

На практике это значит, что взлома как такового не было — ни смарт-контракты, ни приватные ключи затронуты не были. Успех атаки полностью зависел от архитектурного решения по предоставлению боту прав на управление активами через NFT. Отсутствие этого токена сделало бы невозможным прямое инициирование транзакции под управлением нейросети. Данный инцидент наглядно демонстрирует риски предоставления LLM и другим автоматизированным агентам доступа к финансовым интерфейсам без жесткой изоляции команд и подтверждения действий пользователем.