Prompt injection su Grok e Bankrbot: rubati 200.000 $ in pochi secondi usando... codice Morse (aggiornato: 7 maggio 2026, ore 18:54)

Autore umano, supporto AI

Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.

Bitcoin, Ethereum, Litecoin e altre criptovalute

Ricorda che gli autori di TurboLab.it sono informatici, non consulenti finanziari. La presente guida è dunque da considerarsi prettamente "operativa", e non come un consiglio o una consulenza di investimento. La potenzialità di perdere l'intera cifra investita è assolutamente concreta: rifletti e informati bene prima di acquistare! Per tutti gli articoli e le guide che riguardano le criptovalute, sfoglia il "Canale Criptovalute".

Un utente di X (ex-Twitter) è riuscito a sottrarre circa 200.000 dollari in criptovalute sfruttando una catena di vulnerabilità che coinvolge Grok, il modello di intelligenza artificiale di xAI, e un bot di pagamento automatizzato chiamato Bankrbot. L'attacco non ha richiesto alcuna compromissione di chiavi private né accesso privilegiato a sistemi interni. È bastato un messaggio in codice Morse pubblicato su X. La vicenda è un caso di studio inquietante su cosa succede quando un modello linguistico diventa, suo malgrado, un anello operativo in una catena di transazioni finanziarie.

Immagine 1 Prompt injection su Grok e Bankrbot

Anatomia dell'attacco: dal codice Morse al portafoglio svuotato

L'exploit si è sviluppato in quattro passaggi, ciascuno pensato per aggirare un diverso livello di protezione. Il punto di partenza è stato apparentemente il più banale: l'attaccante ha identificato un Bankr Club Membership NFT già presente in un portafoglio associato a Grok. Questo NFT espandeva i permessi di Grok all'interno dell'ecosistema Bankr, sbloccando funzionalità come scambi e trasferimenti di token che altrimenti sarebbero stati inibiti.

Il secondo passaggio è stato il colpo di ingegno. L'utente ha inviato a Grok un messaggio contenente una stringa in codice Morse, chiedendo apparentemente una semplice traduzione. Nascosto dentro quella sequenza di punti e linee c'era un comando esplicito: trasferire 3 miliardi di token DRB a un indirizzo specifico sulla rete Base. Il codice Morse ha funzionato da strato di offuscamento, mascherando l'istruzione malevola come una richiesta innocua.

Grok ha eseguito diligentemente la decodifica e ha pubblicato il risultato in chiaro come risposta pubblica su X, taggando @bankrbot. Ed è qui che il meccanismo si è chiuso: Bankrbot è progettato per interpretare le istruzioni in linguaggio naturale provenienti da account integrati e tradurle in operazioni sulla blockchain. Il bot ha trattato l'output di Grok come un comando legittimo e autorizzato, eseguendo il trasferimento senza ulteriori verifiche.

L'intera operazione si è svolta sulla rete Base, un Layer 2 di Ethereum. L'indirizzo destinatario (0xE8E476bdd78b0aA6669509eC8d3E1c542d5A686B) e l'hash della transazione (0x6fc7eb7da9379383efda4253e4f599bbc3a99afed0468eabfe18484ec525739a) sono pubblicamente verificabili on-chain. Dopo aver ricevuto i token, l'attaccante li ha immediatamente venduti sul mercato aperto, convertendo parte degli asset in Ethereum e USDC e provocando una volatilità a breve termine sul prezzo di DRB. Poi ha cancellato il proprio account X.

Il nodo critico: quando il linguaggio diventa autorità

L'aspetto più significativo di questo incidente non è la sofisticazione tecnica - che, a ben vedere, è modesta - ma la fragilità architetturale che ha esposto. Bankr assegna automaticamente un portafoglio on-chain a ogni account X che interagisce con la piattaforma, incluso Grok. Quel portafoglio è controllato da chi controlla l'account X, non da Bankr né dal personale di xAI, come ha precisato lo sviluppatore di Bankr, 0xDeployer.

La vulnerabilità fondamentale è stata descritta come «il passaggio dal linguaggio all'autorità»: un modello che riformatta del testo diventa parte di un canale di pagamento nel momento in cui un secondo agente tratta il suo output come un'istruzione valida. Grok non ha mai avuto l'intenzione di autorizzare un trasferimento. Ha semplicemente tradotto del codice Morse. Ma nel contesto del sistema Bankr, quella traduzione era un ordine di pagamento.

La superficie di attacco si articola su quattro livelli: i permessi del portafoglio, il parser dei comandi, il meccanismo di attivazione sociale e la politica di esecuzione. Nessuno di questi, preso singolarmente, rappresenta una falla catastrofica. La loro combinazione ha creato un percorso di esecuzione privo di qualsiasi checkpoint umano o meccanismo di conferma tra l'input dell'utente e il movimento di fondi.

Risposte pubbliche su X sono state sufficienti ad attivare l'intera catena. Nessun accesso speciale al sistema. Nessuna escalation di privilegi nel senso tradizionale del termine. Solo un messaggio pubblico, formulato nel modo giusto, indirizzato all'interlocutore giusto.

Immagine 2 Prompt injection su Grok e Bankrbot

Recupero parziale e domande aperte

Secondo quanto dichiarato da 0xDeployer, l'80% dei fondi è stato restituito. Il trattamento del restante 20% doveva essere discusso con la comunità DRB, e al momento della pubblicazione delle fonti la questione restava irrisolta. Alcuni token DRB sarebbero stati trattenuti dall'attaccante come una sorta di bug bounty informale - un esito che racconta molto sulla zona grigia normativa in cui si muovono questi sistemi.

Il recupero è avvenuto tramite coordinamento successivo alla transazione, non grazie a limiti o controlli preventivi. Il sistema non aveva alcun meccanismo per impedire il trasferimento prima che avvenisse. La difesa è stata interamente reattiva.

Un problema che va oltre Grok e Bankrbot

L'incidente è un esempio concreto di attacco di tipo prompt injection - una classe di vulnerabilità in cui istruzioni nascoste manipolano il comportamento di un modello di intelligenza artificiale - amplificato dall'automazione finanziaria. Il codice Morse ha aggiunto un ulteriore strato di offuscamento, rendendo il comando malevolo più difficile da rilevare sia per filtri automatici sia per eventuali revisori umani.

Il problema strutturale, però, trascende il caso specifico. Ogni volta che l'output di un modello linguistico viene trattato come input autorevole da un sistema automatizzato che gestisce asset di valore, si crea esattamente questo tipo di superficie di attacco. Il modello non distingue tra una richiesta di traduzione innocua e un'istruzione camuffata - e non è progettato per farlo. L'onere della validazione dovrebbe ricadere sul sistema a valle, in questo caso Bankrbot, che invece ha accettato ciecamente l'output come legittimo.

Le cifre in gioco - tra i 155.000 e i 200.000 dollari, secondo le stime disponibili al momento del trasferimento - possono sembrare contenute rispetto ai grandi exploit del mondo crypto. Ma il vettore di attacco è nuovo e replicabile. La proliferazione di agenti autonomi che operano su blockchain, alimentati da modelli linguistici con accesso diretto a portafogli e smart contract, rende episodi simili strutturalmente destinati a ripetersi - e probabilmente a scala maggiore.

Fonti: dexerto.com