在攻击者获得 14 个钱包的访问权限后,Bankr 暂时禁用了交易,引发了人们对人工智能驱动的加密货币交易代理的安全性的新担忧。
- 银行在确认攻击者访问了 14 个钱包后禁止了交易,并承诺全额赔偿用户。
- 用户被告知停止签署交易、创建新钱包并撤销现有批准。
- 最近的桥接攻击表明,加密货币攻击者不断瞄准薄弱的签名控制和跨链系统。
银行人士在 X 上表示,在调查有关钱包受损的报告时,已禁用掉期、转账和代币部署。 AI 加密货币交易助理表示,在审查该事件时,暂停是“出于谨慎”。
该团队后来表示,已发现一名攻击者访问了 14 个 Bankr 钱包。 Bankr 写道,“我们在处理细节时暂时锁定了一切”,并补充说,这将补偿所有损失的资金。
用户被告知不要签署交易
Bankr 建议用户不要签署交易,直至另行通知。它还告诉受影响的用户停止使用受损的钱包,创建新钱包,在干净的设备上生成新的助记词,并移动任何剩余的代币或 NFT。
该团队还警告用户,如果无法移动资产,请撤销批准。 Bankr 表示,攻击者经常利用现有权限来窃取资金,并要求用户扫描计算机和手机中是否存在恶意软件或可疑的浏览器扩展程序。
AI代理攻击理论引起关注
慢雾创始人于贤表示该漏洞似乎是针对自动化代理之间信任层的社会工程攻击。他指出 Grok 和 Bankrbot 之间可能存在允许未经授权签名的交互。
余补充说,这个案件看起来像是社会工程和即时注入的结合。他还表示,之前分配给 Grok 的与 Bankrbot 关联的钱包已通过类似的方法被耗尽。
Bankr 的设计让案件更加受到关注。 0x 案例研究将 Bankr 描述为自然语言人工智能交易伴侣,让用户可以通过社交源或私人终端内的简单命令来交换、交易、转移和部署代币。
此外,部分用户在事件发生后反映钱包大量损失。科技企业家 Austen Allred 表示与他的 Kelly Claude AI 助理项目相关的 Bankr 钱包也受到了攻击。
奥尔雷德表示,没有证据表明其他人登录过 Bankr 账户。他补充说,攻击者一定是通过其他方式访问了密钥。
加密货币安全压力持续上升
Bankr 事件发生在加密货币攻击者的另一个活跃时期。相关报道称,在攻击者使用伪造的跨链传输消息后,Verus Protocol 的以太坊桥损失了超过 1150 万美元。
在攻击者在 Monad 上铸造了约 7670 万美元未经授权的 eBTC 后,Echo 协议还暂停了跨链活动。 Aethir 早些时候表示,它遏制了桥接攻击,同时将用户损失控制在 90,000 美元以下。
今年的其他 DeFi 攻击还涉及 Drift Protocol 和 Kelp DAO,增加了人们对桥接安全、钱包审批和自动交易系统的担忧。