Bankr, un assistant de trading crypto alimenté par l’IA, a désactivé les transactions mardi après qu’un attaquant a accédé à 14 portefeuilles d’utilisateurs et a siphonné environ 150 000 $.
Détails de la faille sur les portefeuilles Bankr
L’équipe a suspendu les opérations pour enquêter sur la faille et s’est engagée à rembourser les utilisateurs touchés. Bankr permet aux utilisateurs de demander à une IA d’effectuer des trades, des transferts et de lancer des tokens via des messages en langage naturel publiés sur X.
Chaque handle X qui interagit avec le bot reçoit un portefeuille auto‑généré sur le réseau Base. Ce mécanisme a maintenant entraîné son deuxième incident public cette année.
Bankr a exhorté les victimes à abandonner immédiatement tout portefeuille compromis, car l’attaquant peut déjà détenir la phrase de récupération. Les utilisateurs ont été invités à révoquer les autorisations, générer un nouveau portefeuille sur un appareil sain et analyser leurs machines à la recherche de malwares.
À lire aussi : BitMine Buys 71,672 ETH As Tom Lee Calls $2,200 Dip A Bargain
SlowMist pointe l’ingénierie sociale
Le fondateur de SlowMist, Yu Xian, a décrit l’incident comme une attaque d’ingénierie sociale visant la couche de confiance entre agents automatisés. Il a souligné des interactions entre Grok et Bankrbot qui ont permis la signature non autorisée de transactions.
Trois adresses d’attaquants liées à la faille détiennent désormais environ 440 000 $ en crypto, selon SlowMist.
Le précédent incident du 4 mai a siphonné environ 175 000 $ de tokens DRB (DRB) depuis un portefeuille géré par Bankr et lié à Grok, le chatbot de xAI. Un attaquant avait envoyé un message en code Morse que Grok a décodé et publié, en taguant Bankrbot, qui a ensuite exécuté le transfert.
Les pertes liées aux hacks crypto 2026 s’accumulent
Avril a été le pire mois pour la sécurité crypto de mémoire récente, avec des pertes dépassant 630 millions de dollars. Drift Protocol a perdu 285 millions de dollars le 1er avril dans une attaque sur Solana attribuée à des acteurs nord‑coréens, et Kelp DAO s’est fait dérober 292 millions de dollars le 18 avril via son bridge LayerZero.
Des acteurs malveillants ont volé plus de 168 millions de dollars au seul premier trimestre, avec le bridge Ethereum de Verus Protocol attaqué lundi. La faille de Bankr prolonge cette série jusqu’à la mi‑mai et attire l’attention sur une nouvelle surface d’attaque : les systèmes agentiques dotés d’une autorité on‑chain.
Le schéma observé ces derniers mois est resté cohérent. Drift est tombé à cause de transactions pré‑signées avec durable nonce après des mois d’ingénierie sociale, le bridge de Kelp s’est effondré en raison d’une configuration à validateur unique, et Bankr affronte maintenant une injection de prompt dans sa couche IA. Chaque cas a visé la confiance opérationnelle plutôt que le code des smart contracts.
À lire ensuite : Privacy Wins May As Zcash Eyes A Breakout The Bears Missed