175 000 $ volés à Grok par un simple code Morse : l’arnaque folle qui a piégé l’IA
05/05/2026Le 4 mai 2026, un attaquant a dérobé 3 milliards de tokens DRB du wallet lié au compte X de l’IA Grok. L’agent IA Bankr crée automatiquement un wallet pour chaque profil avec lequel il interagit : le compte de Grok s’est ainsi retrouvé avec un portefeuille pilotable par de simples messages publics. En piégeant l’algorithme avec du Morse, un pirate a provoqué une perte de 175 000 $ sans qu’aucune validation humaine n’ait été sollicitée.
Cet article contient des liens d’affiliation vous permettant de soutenir le travail quotidien des équipes du Journal Du Coin.
Un braquage en trois étapes : l’IA qui vide son propre coffre
L’attaquant a utilisé l’ingénierie sociale pour détourner la logique de décision de l’agent. Le siphonnage a commencé par le dépôt d’un NFT « Bankr Club Membership » sur l’adresse de Grok pour débloquer les permissions de transfert du portefeuille.
Une fois les verrous sautés, le pirate a posté une réponse publique à l’IA d’Elon Musk contenant une suite de points et de traits. Ce message en Morse contenait une commande au format exact attendu par Bankrbot : un ordre d’envoyer 3 milliards de DRB vers l’adresse de l’attaquant (ilhamrafli.base.eth).
Grok a décodé l’instruction, l’a republiée en clair en taguant @bankrbot, et le bot l’a exécutée. En quelques secondes, 3 % de l’offre totale du token DRB a été transféré vers le portefeuille du pirate, faisant chuter le cours de 40 %.
330 000 $ en 2025, 175 000 $ en 2026 : la leçon non retenue de Bankr
Le wallet de Grok avait déjà été vidé de 330 000 $ en mars 2025 avec une méthode identique. Après ce premier vol, le développeur de Bankr, 0xDeployer, avait installé un blocage pour que le bot n’écoute plus les messages de l’IA.
Lors d’une mise à jour logicielle récente, cette protection a été supprimée par mégarde. L’attaquant a profité de cet oubli pour utiliser le Morse, une technique d’obfuscation qui permet de passer sous le radar des filtres de sécurité classiques. L’IA possède la force d’exécution, mais pas le discernement nécessaire pour protéger un capital.
Grâce à une mobilisation éclair de la communauté, l’attaquant a rapidement été identifié. Sous la pression des preuves accumulées, il a finalement restitué 80 % des fonds dérobés.
Le doigt sur la gâchette : qui signe vraiment vos transactions ?
Dans l’affaire Grok, la vitesse de l’algorithme a tué toute chance de réaction : le temps que l’humain comprenne l’erreur, les fonds étaient déjà loin. C’est la dure réalité de la délégation.
Si vous n’êtes pas celui qui valide physiquement chaque mouvement sur votre portefeuille, vous n’êtes plus vraiment propriétaire de votre capital. Que l’intermédiaire soit un banquier ou une IA, le risque reste le même : vous lui donnez le droit de se tromper à votre place.
Le Club 25 %, c’est un club de 150 investisseurs qui gèrent leur épargne en stablecoins via la DeFi, avec un objectif de 15 à 25 % par an, sans trading, sans volatilité, en y consacrant quelques heures par trimestre.
Comment ça marche concrètement :
- Un portefeuille public de 100 000 $ géré en temps réel : Chaqué décision est expliquée et documentée.
- Des opportunités DeFi analysées et auditées : vous suivez des guides vidéo étape par étape pour investir sur des protocoles sélectionnés pour leur robustesse.
- Une souveraineté totale sur vos fonds : vous restez maître de votre capital, aucune entité tierce n’a accès à votre wallet.
Découvrir le Club 25 % et reprendre le contrôle de votre épargne
Une mise à jour oubliée et un tweet en Morse ont suffi à vider un portefeuille de 175 000 $. Dans la finance de demain, la seule signature inviolable reste celle que vous apposez vous-même.
L’article 175 000 $ volés à Grok par un simple code Morse : l’arnaque folle qui a piégé l’IA est apparu en premier sur Journal du Coin.
