AIがGrokウォレットから15万ドルを盗むように騙された方法

Grokの自動プロビジョニングされたBankrウォレットから約15万ドルのDRBトークンが盗難されました。攻撃者は、GrokウォレットにBankrクラブメンバーシップNFTを贈与し、その転送機能を有効にすることで脆弱性を悪用しました。その後、巧妙に作成された返信（後に削除）が、Grokに大規模なアウトバウンドトランザクションを承認するように指示しました。これにより、当時約17万4千ドル相当の30億DRBトークンが攻撃者のアドレスに転送されました。Bankrチームは、ウォレットはGrokのXアカウントによって制御されており、この攻撃はプロンプトインジェクション攻撃であったと説明しました。盗まれた資金は迅速に移動され売却され、攻撃者のXプロフィールは削除されました。この攻撃は、スマートコントラクトの欠陥ではなく、ソーシャルエンジニアリングに依存していました。Bankrはその後、Xの返信によってトリガーされるアクションを無効にするなど、より厳格なセキュリティ対策を再導入し、オプションのIPホワイトリスニングとパーミッション付きAPIキーを導入しました。Bankrは資金の約80％が返還されたと述べていますが、DRBタスクフォースは、攻撃者の個人情報がコミュニティによって入手された後にのみその申し出があったと主張し、これに異議を唱えています。

(出典：BeInCrypto)