175 000 $ volés à Grok via du code Morse : l'IA piégée
Un attaquant a détourné l'IA Grok avec un message en code Morse pour voler 3 milliards de tokens DRB, soit 175 000 $.
Comment un simple code Morse a coûté 175 000 $ à une IA
Le 4 mai 2026, un attaquant a réussi à dérober 175 000 $ en tokens DRB depuis le wallet lié au compte X de l'IA Grok. L'opération n'a nécessité aucune faille technique complexe — juste du code Morse et une logique bien exploitée.
Comment ça s'est passé ?
L'agent IA Bankr crée automatiquement un portefeuille crypto pour chaque profil X avec lequel il interagit. Grok possédait donc un wallet pilotable via de simples messages publics.
L'attaque s'est déroulée en trois étapes :
- Le pirate dépose un NFT « Bankr Club Membership » sur l'adresse de Grok pour débloquer les permissions de transfert.
- Il poste ensuite une réponse publique à Grok contenant une commande en code Morse.
- Grok décode le message et le republie en clair en taguant @bankrbot, qui l'exécute aussitôt.
Résultat : 3 milliards de tokens DRB — soit 3 % de l'offre totale — sont transférés vers le wallet de l'attaquant. Le cours du token chute immédiatement de 40 %. Aucune validation humaine n'a été demandée.
Une leçon déjà oubliée
Ce n'est pas la première fois. En mars 2025, le même wallet avait été vidé de 330 000 $ avec une méthode identique. Suite à ce vol, le développeur de Bankr avait bloqué les interactions entre le bot et l'IA. Lors d'une mise à jour récente, cette protection a été supprimée par erreur.
Cet incident illustre les risques concrets des agents IA autonomes en crypto : sans supervision humaine, une simple commande obfusquée peut vider un portefeuille en quelques secondes.