Grok의 자동화된 Bankr 지갑에서 약 15만 달러 상당의 DRB 토큰이 인출되었습니다. 공격자가 선물로 받은 NFT와 암호화된 응답을 악용하여 인공지능(AI)을 속여 토큰 이체를 허용한 것입니다.
Bankr 설립자 0xDeployer는 해당 지갑이 xAI에 관리자가 없으며 Grok의 X 계정을 통해 전적으로 관리된다고 밝혔습니다. 현재 자금의 약 80%가 Bankr로 반환되었습니다.
Grok의 지갑에서 Banker에 대한 즉각적인 인젝션 공격으로 인해 15만 달러가 인출되었습니다.
공격자는 ilhamrafli.base.eth 주소를 사용하여 Grok의 지갑에 Bankr Club 멤버십 토큰을 전송했습니다. 이 토큰으로 Grok은 모든 송금 권한을 활성화했습니다. 이후, 프로그램된 응답(나중에 삭제됨)이 Grok에게 거액의 출금 거래를 실행하도록 지시했습니다.
Bankr는 공격자의 지갑으로 30억 DRB 토큰(작성 시점 기준 약 17만 4천 달러 상당)을 이체하는 거래를 서명하고 발행했습니다.
"Bankr와 상호 작용하는 모든 계정 X는 자동으로 지갑을 생성하며, Grok도 예외는 아닙니다. 이 지갑은 Grok의 계정 X에 연결되어 있으므로 계정 X를 관리하는 사람이 지갑도 관리합니다. Bankr는 지갑 키를 보유하거나 관리하지 않습니다. 최근 DRB 사고는 Grok가 Bankr로 송금 주문을 보내도록 만든 프롬프트 주입 취약점 때문에 발생했습니다."라고 팀은 게시글에서 설명했습니다 .
그 돈은 곧바로 두 번째 지갑으로 이체되어 즉시 매도되었습니다. 공격자의 X(트위터) 계정 또한 거래 후 몇 분 만에 삭제되었습니다.
이번 공격은 스마트 계약의 취약점을 악용하기보다는 심리적 조작에 의존했습니다. 연구원들은 모스 부호, Base64 암호화, 게임식 명령어 배치 등이 에이전트 보안을 우회하는 일반적인 방법이라고 경고합니다.
Bankr의 답변과 DRB의 엇갈린 의견.
0xDeployer는 이전 버전의 Bankr 에이전트가 AI 언어 모델 간의 체인 주입(LLM-on-LLM)을 방지하기 위해 Grok의 응답을 차단했다고 밝혔습니다. 그러나 시스템 전체가 재작성되면서 해당 보호 조치가 제거되었습니다. 이제 더욱 엄격한 방지 조치가 다시 구현되었습니다.
DRB 태스크포스는 공격자가 커뮤니티가 그의 진짜 신원을 밝혀낸 후에야 돈의 80%를 돌려주겠다고 동의했다는 이유로 Bankr의 설명을 거부했습니다.
DRB 그룹은 이를 명백한 절도 사건으로 규정했으며, 나머지 20% 자금의 처리 방안은 DRB 커뮤니티 내에서 여전히 논의 중입니다.
Bankr는 IP 주소 화이트리스트, 권한이 제한된 API 키, 각 계정에 대한 X 응답을 통한 작업 활성화/비활성화와 같은 추가 옵션을 구현했습니다.
이번 사건은 실제 돈을 관리하는 자동화된 에이전트를 어떻게 보호해야 할지에 대한 논쟁에 더욱 불을 지폈습니다. a16z의 지원을 받은 최근 연구에 따르면 AI 에이전트는 상당한 압박을 받을 경우 보호 장치인 "샌드박스" 장벽을 우회할 수 있는 것으로 나타났습니다.
