Phân tích việc lợi dụng Grok: Lạm dụng chuỗi quyền của AI Agent

Viết bài: Nhóm An toàn Màn sương chậm

Bối cảnh

Gần đây, trên chuỗi Base đã xảy ra một vụ lạm dụng quyền liên quan đến hệ thống giao dịch tự động và AI Agent kết hợp. Kẻ tấn công đã gửi nội dung cấu trúc đặc biệt tới @grok trên nền tảng X, dụ dỗ hệ thống này xuất ra các lệnh chuyển khoản bị nhận diện bởi Agent giao dịch bên ngoài (@bankrbot), cuối cùng dẫn đến việc chuyển tài sản thực trên chuỗi.

Về “Ví Grok”:

Địa chỉ bị đánh dấu là “Ví Grok” trong vụ việc (0xb1058c959987e3513600eb5b4fd82aeee2a0e4f9) không thuộc quyền kiểm soát của chính thức xAI. Địa chỉ này do @bankrbot tự tạo liên kết với tài khoản X @grok, khóa riêng được quản lý bởi dịch vụ ví bên thứ ba mà Bankr phụ thuộc, quyền kiểm soát thực tế thuộc về Bankr. BaseScan đã chỉnh sửa nhãn của địa chỉ này từ “Grok” thành Bankr 1 hoặc các nhãn liên quan.

()

Ví này nắm giữ lượng lớn DRB (khoảng 3 tỷ token), cũng bắt nguồn từ cơ chế thiết kế của Bankr: Vào đầu năm nay, một người dùng đã hỏi Grok về đề xuất đặt tên token, Grok trả lời “DebtReliefBot” (viết tắt là DRB). Sau đó, hệ thống của Bankr đã phân tích phản hồi này thành tín hiệu triển khai, kích hoạt quá trình tạo token liên quan trên Base, và theo quy tắc Launchpad của nó, phân phối phần của người tạo ra ví liên kết đó.

Quy trình tấn công

Vụ tấn công này chủ yếu gồm hai giai đoạn chính: nâng cấp quyền và chèn lệnh, tạo thành chuỗi hoàn chỉnh “đầu vào không đáng tin cậy → AI xuất ra → Agent bên ngoài thực thi → chuyển tài sản”.

1. Giai đoạn nâng cấp quyền

Kẻ tấn công (địa chỉ liên kết ilhamrafli.base.eth) đã mở khóa thành viên của Bankr Club cho ví này qua cơ chế tập trung. Hành động này mở khóa bộ công cụ quyền cao của @bankrbot (bộ công cụ agentic), cung cấp quyền cần thiết để thực hiện các lệnh chuyển khoản sau này.

2. Giai đoạn thực thi Chèn lệnh (Prompt Injection)

Kẻ tấn công gửi tới @grok một đoạn mã Morse được cấu trúc tinh vi, Grok theo yêu cầu của người dùng để dịch/giải mã, rồi xuất ra lệnh rõ ràng và @bankrbot. @bankrbot xem phản hồi công khai của Grok như lệnh có thể thực thi hợp lệ, và trực tiếp thực hiện chuyển khoản trên chuỗi Base.

()

Sau đó, kẻ tấn công nhanh chóng đổi DRB lấy USDC/ETH. Khi hoàn tất, các tài khoản liên quan nhanh chóng xóa nội dung và rút khỏi hệ thống.

Điểm tinh vi của vụ tấn công này là tận dụng tối đa đặc tính “hỗ trợ” của Grok, vượt qua các bộ lọc thường lệ của @bankrbot về nguồn gốc lệnh, xây dựng vòng khép kín giữa xuất ra của AI và thực thi trên chuỗi.

Tình hình thu hồi vốn

Sau sự kiện, cộng đồng và nhóm Bankr theo dõi cho thấy khoảng 80%~88% giá trị vốn đã được hoàn trả qua đàm phán (chủ yếu dưới dạng USDC và ETH). Phần còn lại, theo các bên liên quan, được xử lý như một bug bounty không chính thức. @bankrbot đã công khai xác nhận chi tiết vụ tấn công và đã thực hiện các biện pháp hạn chế phù hợp.

Nguyên nhân căn bản

Mô hình tin cậy thiếu: Bankrbot trực tiếp ánh xạ đầu ra ngôn ngữ tự nhiên của Grok thành lệnh tài chính có thể thực thi, mà không kiểm tra đầy đủ nguồn gốc, ý định thực sự hoặc các mẫu bất thường (như mã Morse hoặc mã không chuẩn).

Thiếu cách ly quyền: Việc kích hoạt thành viên trực tiếp cấp quyền cao cho bộ công cụ, thiếu xác nhận thứ hai hoặc giới hạn hạn mức.

Ranh giới giữa các Agent mờ nhạt: Grok là AI đối thoại, đầu ra của nó không nên đồng nghĩa với quyền tài chính, nhưng bị tầng thực thi dưới xem như tín hiệu đáng tin cậy.

Rủi ro xử lý đầu vào: LLM dễ bị tấn công chèn mã hoặc vượt qua bộ lọc an toàn bằng mã không chuẩn, đã là vấn đề đã biết, nhưng khi kết hợp với tầng thực thi tài sản thực, gây ra thiệt hại lớn hơn.

Điều cần nhấn mạnh là, Grok không giữ khóa riêng hoặc thực thi trực tiếp trên chuỗi, nó chỉ là trung gian bị lợi dụng, thực thể thực thi là hệ thống giao dịch tự động của @bankrbot.

Bài học an toàn

Sự kiện này cung cấp bài học thực chiến quan trọng cho lĩnh vực AI + Crypto Agent:

Xuất ngôn ngữ tự nhiên phải được tách rời chặt chẽ với các hành động tài chính;

Các thao tác giá trị cao cần có xác thực nhiều lớp, kiểm soát hạn mức, phát hiện bất thường (loại mã, ngưỡng số tiền, danh sách trắng nguồn gốc, v.v.);

Giao tiếp giữa các Agent nên ưu tiên sử dụng giao thức có cấu trúc, có thể xác minh, thay vì lệnh văn bản thuần túy;

Mô hình đe dọa Prompt Injection cần được tích hợp vào toàn bộ chu trình thiết kế Agent, kể cả khi tận dụng khả năng của AI khác.

Tổng kết

Đây là một vụ việc điển hình về an ninh chuỗi quyền của AI Agent. Mặc dù Grok bị lợi dụng qua Prompt Injection, nhưng vấn đề cốt lõi nằm ở: hệ thống của Bankrbot đã kết nối lỏng lẻo giữa đầu ra của AI và tầng thực thi tài sản thực. Sự kiện này là một ví dụ thực tế có giá trị tham khảo cao trong lĩnh vực AI + Crypto Agent, đồng thời gửi đi một tín hiệu rõ ràng: khi Agent được giao quyền thực thi trên chuỗi, cần xây dựng ranh giới tin cậy và cơ chế kiểm soát an toàn nghiêm ngặt. Trong tương lai, các hạ tầng liên quan cần tiếp tục nâng cao thiết kế an toàn để đối phó với các hình thức tấn công mới, xuyên hệ thống và vượt ranh giới ngữ nghĩa.