AIウォレット悪用で15万ドル流出＝NFTと応答操作で送金承認

Grokに連動する自動発行型のBankrウォレットが5日、攻撃を受けた。贈与されたNFTとコード化された応答を悪用され、AIが送金を承認、約15万ドル相当のDRBトークンが流出した。創業者の0xDeployer氏によれば、当該ウォレットはxAI側の管理者を介さず、GrokのXアカウントのみで制御されていたという。流出資金の約80%はその後返還された。

Grokウォレット、Bankrへのプロンプトインジェクション攻撃で15万ドル流出

攻撃者はilhamrafli.base.ethというアドレス経由で、GrokウォレットにBankr Club Membershipトークンを贈与。これによりエージェントの全送金機能が有効化された。その後、巧妙に作られた返信（後に削除）により、Grokが多額の外部送金を承認するよう指示された。

Bankrは30億DRBトークン（当時約17万4000ドル相当）の送金指示に署名し、攻撃者のアドレスに送金した。

流出資金は直ちに第2のウォレットへブリッジされ売却され、攻撃者のX（旧Twitter）アカウントは数分以内に削除された。

今回の攻撃は、スマートコントラクトの脆弱性でなくソーシャルエンジニアリングに依存。類似のリスクを追跡する研究者は、モールス符号やbase64エンコード、ゲーム風の表現などが頻繁なバイパス手法であると指摘する。

Bankr側の対応とDRBコミュニティの反発

0xDeployer氏は説明で、Bankrの初期エージェントにはGrokからの返信を遮断する機能があり、LLM同士のインジェクション連鎖を防いでいたと述べた。しかし全面的な書き換え時に安全策を外したとし、現在はより厳格な遮断策を再導入した。

DRBタスクフォースは、Bankr側の説明に異議を唱え、攻撃者はコミュニティが個人情報を入手した後ようやく80%の返還に応じたとしている。

同グループは今回のケースを明白な窃盗と呼び、残る20%の扱いについてDRBコミュニティ内で議論が続いている。

Bankrは、オプションでIPアドレスのホワイトリスト登録や、権限つきAPIキー、X返信がトリガーとなるアクションを無効化するアカウント単位の切替機能などを実装した。

本事案は、現実資産を保有する自律エージェントのセキュリティに関し、議論を呼んでいる。最近発表されたa16z支援の研究では、AIエージェントがサンドボックス管理外へ逸脱可能であるとの報告があった。