Пользователь X обманул Grok с помощью азбуки Морзе и вывел $200 000 в криптовалюте

Пользователь социальной сети X сумел обмануть ИИ-чатбот Grok и получить криптовалюту на сумму около $200 000, воспользовавшись связью бота с автоматизированной торговой системой.

Инцидент затронул сразу две ИИ-системы с доступом к криптокошелькам – Grok и Bankrbot. Злоумышленник манипулировал обеими, чтобы провести транзакцию в сети Base. В результате атакующий получил 3 миллиарда токенов DRB, стоимость которых на тот момент составляла примерно $200 000.

Ключом к успеху стала скрытая инструкция, написанная азбукой Морзе, которая обошла защитные механизмы и запустила перевод средств. Атаку провёл пользователь X под ником @Ilhamrfliansyh, который удалил свой аккаунт сразу после завершения транзакции.

Согласно опубликованным деталям, злоумышленник использовал многоступенчатый процесс для получения контроля над транзакцией. Сначала он отправил NFT членства в Bankr Club на кошелёк Grok. Это расширило права ИИ внутри системы Bankr, открыв доступ к операциям вроде переводов и обменов, которые ранее были ограничены.

После Grok получил запрос в X на перевод сообщения из азбуки Морзе и передачу его напрямую Bankrbot.

Расшифрованное сообщение содержало инструкцию отправить 3 миллиарда токенов DRB на конкретный адрес кошелька. Переведённый текст был воспринят как валидная команда и немедленно исполнен – транзакция прошла в сети Base, и полная сумма токенов оказалась на кошельке атакующего.

После получения средств злоумышленник быстро продал токены DRB на открытом рынке, что вызвало кратковременную волатильность цены токена.

Данные блокчейна впоследствии показали, что средства, связанные с кошельком Grok, были возвращены и конвертированы в другие активы, включая Ethereum и USDC.