그록(Grok)의 자동 생성 뱅크(Bankr) 지갑에서 공격자가 선물로 제공한 NFT(대체불가능 토큰)와 코드화된 답변을 이용해 인공지능(AI)으로 하여금 이체를 허가하게 유도함으로써 약 15만 달러 상당의 DRB 토큰이 유출되었습니다.
뱅크(Bankr) 창립자 0x디플로이어(0xDeployer)는 해당 지갑은 xAI에 관리자가 없었으며, 전적으로 그록의 X 계정을 통해 제어되었다고 밝혔습니다. 총 자금의 약 80%가 이후 뱅크 측에 반환되었습니다.
그록(Grok) 지갑, 뱅크 프롬프트 인젝션 공격으로 15만 달러 유출
ilhamrafli.base.eth 주소의 공격자는 그록(Grok) 지갑에 뱅크 클럽 멤버십 토큰을 선물로 전달해 전체 이체 권한을 활성화시켰습니다. 이어 삭제된 조작된 답변에서 그록에게 대규모 이체를 승인하라고 지시했습니다.
뱅크(Bankr)는 세십억 DRB 토큰(당시 약 17만4천 달러 상당)의 이체를 서명하고 브로드캐스트하여 공격자 주소로 송금했습니다.
“뱅크(Bankr)와 상호작용하는 모든 X 계정에는 자동으로 지갑이 생성됩니다. 그록(Grok)의 X 계정도 예외가 아닙니다. 해당 지갑은 그록의 X 계정과 연동되어 있으므로, 계정을 소유한 사람이 지갑을 통제합니다. 뱅크는 이를 보관하거나 키를 보유하지 않습니다. 최근 DRB 사건은 프롬프트 인젝션 취약점으로 그록이 뱅크에 이체 명령을 내리면서 발생했습니다.” – 팀이 게시글에서 설명했습니다.
해당 자금은 곧바로 다른 지갑으로 브릿지되어 매도되었으며, 공격자의 X(트위터) 프로필도 이체 직후 몇 분 만에 삭제되었습니다.
이번 공격은 스마트 컨트랙트 결함이 아닌 소셜 엔지니어링에 의존했습니다. 유사한 에이전트 위험을 추적하는 연구자들은 모스 부호, base64 인코딩, 게임 형식의 프레이밍 등 숨겨진 명령이 일반적인 우회기법임을 지적하고 있습니다.
뱅크(Bankr) 측 입장 및 DRB 커뮤니티 반발
0x디플로이어(0xDeployer)는 과거 버전의 뱅크 에이전트는 LLM-간 프롬프트 인젝션 체인을 방지하기 위해 그록(Grok) 답변을 차단했다고 밝혔습니다. 그러나 전체 구조 개편 과정에서 해당 보호장치가 삭제되었으며, 현재는 보다 강력한 차단 기능이 재도입되었습니다.
DRB 태스크포스는 뱅크의 설명에 반박하며, 공격자가 커뮤니티가 그의 신상 정보를 입수한 후에야 80% 반환을 제안했다고 주장했습니다.
단체는 이번 사건을 명백한 절도라고 규정하며, 잔여 20%에 대한 논의가 DRB 커뮤니티 내에서 진행 중이라고 밝혔습니다.
뱅크(Bankr)는 선택적 인터넷프로토콜(IP) 화이트리스트, 권한 관리형 API 키, X 답변에 의해 촉발되는 행동을 계정별로 비활성화할 수 있는 기능 등의 보안책을 도입했습니다.
이 사건은 실제 자금을 보유한 자율 에이전트의 보안 강화 방안에 대한 논의를 심화시키고 있습니다. 최근 a16z가 후원한 연구에서 AI 에이전트가 샌드박스 통제를 탈피할 수 있음이 확인되었습니다.
