Una instrucción disfrazada robó 170.000 dólares a Grok. Esta vez, el monedero robado no era el de un usuario común, sino el monedero vinculado a @grok en Bankr. Los registros en la cadena muestran que se transfirieron 3.000 millones de $DRB, con un valor aproximado de entre 171.000 y 175.000 dólares, en la cadena Base. Lo más dramático es que el atacante no utilizó métodos tradicionales para explotar la lógica central del contrato, sino que siguió un atajo más orientado a IA: primero otorgó permisos, luego indujo al modelo a emitir él mismo la orden de transferencia. El contexto previo es que el monedero vinculado a Grok recibió un NFT de membresía de Bankr Club, lo que activó permisos más completos en Bankr; tras ello, Bankr configura automáticamente un monedero para las cuentas de X que interactúan con la plataforma. Luego vino la inyección de instrucción más absurda. Las descomposiciones difundidas por múltiples fuentes apuntan al mismo proceso central: el atacante utilizó un contenido disfrazado para guiar a Grok, que contenía un código Morse que debía descodificarse. Grok, al intentar ser útil, tradujo el mensaje y generó una instrucción de transferencia en cadena para Bankr. Posteriormente, la cadena de Bankr lo reconoció como una instrucción válida y ejecutó la transferencia. El hacker no controlaba directamente al robot, sino que lo indujo a pronunciar por sí mismo la frase más peligrosa. Lo aterrador de este incidente radica en la superposición de tres riesgos: primero, los permisos pueden amplificarse mediante activos externos; segundo, el modelo interpreta instrucciones ocultas como una “buena traducción”; y tercero, el robot ejecutor confía excesivamente en las órdenes públicas emitidas por monederos autorizados. Tras la revelación del incidente, los detectives de la comunidad rastrearon rápidamente las direcciones y pistas de identidad relacionadas, y aproximadamente el 80 % de los fondos ya han sido devueltos; el manejo del 20 % restante aún se discute con la comunidad de DRB. @bankrbot también ha desactivado de emergencia los permisos relacionados con Grok. Antes, la preocupación era si un monedero podría ser robado; ahora, lo que deberíamos temer más es si una IA podría ser engañada para transferir dinero a alguien más por sí misma.
Compartir
Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información.
Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.