Un wallet lié à l’IA vidé par prompt injection dans l’exploit Bankr

Tous les articles, guides et analyses publiés sur Cryptonaute sont méticuleusement vérifiés par notre équipe d’éditeurs et de journalistes experts dans leur domaine, afin de garantir leur exactitude et leur pertinence. Nous gardons et publions uniquement les contenus vérifiés par des sources fiables, que ce soit par un site de confiance, un expert avéré ou par la personne source elle-même.

L’époque où les agents d’intelligence artificielle connectés à des wallets crypto pouvaient être considérés comme de simples interfaces d’automatisation – des outils pratiques, certes exposés aux vulnérabilités classiques des smart contracts, mais fondamentalement protégés par la rigueur supposée du code immuable qui régit la blockchain – semble définitivement révolue. Le 4 mai 2025, un wallet lié à Grok, le modèle de langage d’xAI, a été vidé de 3 milliards de tokens DRB – soit une valeur comprise entre 155 000 et 180 000 dollars au moment de l’exploit – à travers une attaque d’un genre radicalement nouveau dans l’écosystème crypto : une prompt injection, technique empruntée à la sécurité offensive des systèmes d’IA, appliquée ici à un agent autonome disposant de permissions d’exécution sur un wallet réel. La plateforme Bankr, qui fournissait l’infrastructure de gestion des outils et des permissions à cet agent, s’est retrouvée au cœur d’une séquence d’exploitation qui n’a requis ni accès aux clés privées, ni faille dans un contrat intelligent – seulement la capacité de manipuler l’interprétation sémantique d’une instruction par un système d’IA. Entre 80 % et 88 % des fonds auraient été restitués sous pression publique, en ETH et USDC, avant que le compte X de l’attaquant ne soit supprimé. S’agit-il d’un incident isolé exploitant une configuration particulièrement exposée – ou assistons-nous à l’émergence d’une surface d’attaque systémique qui redéfinit les règles de la sécurité dans la DeFi augmentée par l’IA ?

Pour comprendre la portée réelle de ce signal, il faut d’abord saisir l’écosystème dans lequel s’est produit l’exploit. Bankr est une plateforme d’agents IA construite sur Ethereum, conçue pour permettre à des systèmes d’intelligence artificielle d’exécuter de manière autonome des opérations sur la blockchain – transferts de tokens, swaps, interactions avec des protocoles DeFi. Ces agents ne se contentent pas d’afficher des informations : ils agissent, ils signent des transactions, ils déplacent des fonds réels. L’architecture repose sur un système de permissions qui détermine quelles actions l’agent est autorisé à effectuer selon son niveau d’accès.

Le wallet ciblé était associé au projet DreamrBot, une initiative IA intégrant Grok – le modèle développé par xAI, la société d’Elon Musk – comme moteur de décision. Dans ce cadre, Grok interprétait les instructions reçues et générait des commandes que Bankr exécutait ensuite on-chain. Le token natif de cet écosystème, DRB, était détenu dans ce wallet opérationnel – un wallet qui, par définition fonctionnelle, devait être capable de signer et d’exécuter des transactions pour remplir sa mission d’agent autonome. C’est précisément cette capacité d’exécution – sa force opérationnelle – qui est devenue le vecteur de sa vulnérabilité.

La prompt injection est une technique d’attaque qui cible non pas le code d’un programme, mais sa couche d’interprétation du langage naturel. Là où une injection SQL exploite la confusion entre données et instructions dans une base de données relationnelle, la prompt injection exploite la confusion entre instructions légitimes et instructions malveillantes dans un système de traitement du langage. L’attaquant insère des commandes déguisées dans une entrée que le système d’IA va traiter comme un contenu normal – et ces commandes vont court-circuiter ou supplanter les instructions originales du développeur. L’OWASP a classé cette vulnérabilité en première position de son Top 10 LLM pour 2025 (A01:2025), avec plus de 1 200 cas documentés dans des systèmes en production à mi-2025.

Dans l’univers crypto, cette technique rencontre un multiplicateur de risque considérable : les agents IA ne se contentent pas de générer du texte en réponse à une instruction corrompue – ils exécutent des transactions financières irréversibles. La convergence entre la puissance décisionnelle des LLM et la finalité des transactions blockchain crée une surface d’attaque dont l’exploit Bankr constitue la démonstration la plus documentée à ce jour dans l’espace public. Comme nous l’analysions dans notre couverture de l’intersection entre les grandes manœuvres de l’IA et le marché crypto, l’intégration des modèles de langage dans les infrastructures financières décentralisées soulève des questions de gouvernance et de sécurité que l’industrie n’a pas encore résolues.

Pour comprendre la portée réelle de ce signal, il faut soulever le capot de la mécanique. L’attaque du 4 mai ne s’est pas produite en un seul geste – elle a suivi une séquence structurée en plusieurs phases, chacune exploitant une couche différente de l’architecture cible.

Phase 1 – Déverrouillage des permissions via NFT. L’attaquant a commencé par envoyer au wallet ciblé un Bankr Club Membership NFT. Dans le système de Bankr, la réception de cet NFT déclenchait automatiquement l’activation de permissions avancées pour l’agent – notamment la capacité d’exécuter des transferts et des swaps. Cette étape est cruciale : sans elle, l’agent ne disposait pas des autorisations nécessaires pour signer une transaction de sortie de fonds. L’attaquant a donc utilisé un mécanisme légitime du protocole – un système de membership conçu pour récompenser les utilisateurs actifs – comme vecteur d’élévation de privilèges. Aucun code n’a été cassé à cette étape : les règles ont été suivies à la lettre.

Phase 2 – Construction de la prompt malveillante. Une fois les permissions avancées actives, l’attaquant a soumis au système une instruction combinant ingénierie sociale et commandes obfusquées – probablement encodées ou formulées de manière indirecte pour contourner d’éventuels filtres de surface. L’objectif était de faire interpréter par Grok cette instruction comme une commande légitime émanant d’une source autorisée. Les LLM sont particulièrement vulnérables à ce type de manipulation lorsque les frontières entre contenu utilisateur et instructions système ne sont pas strictement cloisonnées – ce que IBM a résumé d’une formule sans appel : « les attaquants peuvent contourner de nombreuses protections en jailbreakant le LLM. »

Phase 3 – Exécution de la transaction non autorisée. Grok, ayant interprété la prompt malveillante comme une instruction valide, a généré une commande de transfert. Cette commande a été transmise à l’infrastructure de Bankr, qui l’a exécutée on-chain sous la forme d’une transaction ERC-20 standard – transférant 3 milliards de tokens DRB, valeur estimée à 170 000 dollars, vers un wallet contrôlé par l’attaquant. Du point de vue de la blockchain, la transaction était parfaitement régulière : signée par la bonne clé, conforme aux standards du protocole, irréversible.

Phase 4 – Liquidation et fuite. Les DRB ont été rapidement retransférés puis vendus, suivant le schéma classique observé dans les exploits DeFi où la vitesse de liquidation détermine la résilience de la récupération. Le compte X associé à l’attaquant a été supprimé peu après, autre marqueur comportemental récurrent dans les cas d’exploitation documentés. Sous la pression publique exercée par la communauté, entre 80 % et 88 % des fonds ont finalement été restitués en ETH et USDC – mais ces chiffres restent non vérifiés par une déclaration officielle au moment de la rédaction de cet article.

Ce qui distingue fondamentalement cet exploit des attaques classiques sur la DeFi, c’est l’absence totale de vulnérabilité dans le code des smart contracts. Le vecteur d’exploitation se situait entièrement dans la couche sémantique – la façon dont un système d’IA parse l’intention derrière une instruction, arbitre entre sources concurrentes d’autorité, et décide d’agir. Nous sommes sur le fil du rasoir : la variable déterminante dans la sécurité des agents IA autonomes n’est plus la qualité du code on-chain, mais la robustesse du cloisonnement entre instructions système et entrées utilisateur dans les modèles de langage qui pilotent ces agents.

L’ironie est mordante : l’industrie crypto a passé des années à construire des audits de smart contracts de plus en plus rigoureux, des programmes de bug bounty de plus en plus dotés, des infrastructures de clés multisig de plus en plus contraignantes – pour finalement déployer des agents d’IA autonomes disposant de permissions d’exécution complètes sur des wallets contenant des actifs réels, sans cadre de sécurité spécifique aux vecteurs d’attaque propres aux LLM. L’exploit Bankr n’est pas un accident de parcours : c’est la manifestation prévisible d’une dette de sécurité contractée dès le moment où la communauté a commencé à combiner l’autonomie décisionnelle des modèles de langage avec la finalité irréversible des transactions blockchain.

Cet incident s’inscrit dans une trajectoire documentée. En janvier 2025, un bot de trading IA avait déjà été victime d’une attaque par prompt injection qui avait forcé des swaps non autorisés pour une valeur de 50 000 dollars – le vecteur utilisait du texte invisible intégré dans un PDF pour altérer les sorties d’analyse de crédit du système. Des chercheurs en sécurité avaient démontré dès 2023 qu’un agent bancaire basé sur GPT-4 pouvait être jailbreaké via des prompts adversariaux pour modifier des identifiants utilisateurs et déclencher des injections SQL via des outils comme Langchain. Une étude publiée sur arXiv en juin 2025 a quantifié le risque sur les wallets IA Solana : 40 % de taux de succès dans le détournement des appels d’outils d’agents via prompt injection dans des protocoles blockchain. Ces chiffres ne sont pas des projections théoriques – ce sont des mesures empiriques sur des systèmes en production.

Mithril Security a comparé la prompt injection dans les systèmes blockchain à un empoisonnement de la chaîne d’approvisionnement logicielle, plaidant pour une sanitisation rigoureuse des entrées à chaque couche du pipeline de traitement. Obsidian Security est allée plus loin, qualifiant la prompt injection de « vulnérabilité la plus exploitée dans les systèmes IA modernes » et appelant à des défenses en profondeur au moment précis où l’adoption enterprise des agents autonomes s’accélère. La simultanéité de ces avertissements avec le déploiement massif d’agents crypto est une tension que l’industrie ne peut plus ignorer sans en payer le prix on-chain.

Le parallèle avec d’autres vecteurs d’attaque exploitant la manipulation sociale est saisissant. Comme nous l’avons documenté avec le cas du trader ayant perdu 150 000 dollars sur un faux token Altman, la frontière entre ingénierie sociale classique et exploitation technique évolue vers une hybridation où la manipulation de la couche sémantique – qu’il s’agisse d’un humain ou d’un LLM comme cible – devient le vecteur privilégié des attaquants les plus sophistiqués. Nous sommes sur le fil du rasoir : la variable déterminante sera la capacité de l’industrie à développer des standards de sécurité spécifiques aux LLM avant que la valeur totale sous gestion par des agents autonomes ne dépasse le seuil à partir duquel ces vecteurs d’attaque deviennent systémiquement dangereux.

Scénario favorable – l’exploit comme signal d’alarme productif (probabilité estimée : 35 %) Dans cette lecture, l’incident Bankr constitue précisément le type de signal dont l’industrie avait besoin pour structurer une réponse sécuritaire sérieuse avant que les enjeux ne deviennent incontrôlables. La restitution partielle des fonds, bien qu’imparfaite, suggère un attaquant opportuniste plutôt qu’une organisation criminelle sophistiquée opérant à grande échelle. La valeur relativement modeste de l’exploit – 170 000 dollars – limite les dommages systemiques. Plus important encore, cet incident intervient à un stade encore précoce du déploiement des agents IA en DeFi, laissant à l’industrie le temps de déployer des contre-mesures : cloisonnement strict des permissions, systèmes de validation multi-couches des instructions, audits spécifiques aux vecteurs LLM, et mécanismes de rate-limiting sur les transactions exécutées par des agents autonomes. L’OWASP prévoit une mise à jour de son Top 10 LLM au deuxième trimestre 2026 avec des mitigations spécifiques aux agents – un calendrier qui, s’il est respecté, pourrait fournir un cadre de référence avant la prochaine vague de déploiements.

Scénario défavorable – la normalisation d’une surface d’attaque impossible à fermer structurellement (probabilité estimée : 65 %) Dans cette lecture, la prompt injection sur les agents crypto constitue une vulnérabilité de classe fondamentalement différente des exploits auxquels l’industrie est habituée. Elle ne peut pas être patchée par un audit de code, elle ne peut pas être prévenue par un système multisig classique, et elle évolue aussi vite que les modèles de langage eux-mêmes. Les 78 % des participants au challenge « AI Unlocked » de CrowdStrike ayant échoué à défendre leurs systèmes contre des prompt injections interactives simulant des détournements d’agents en temps réel illustrent l’ampleur du gap entre les défenses disponibles et la sophistication des attaques. À mesure que la valeur sous gestion par des agents IA autonomes va croître – et elle va croître – l’attractivité de ces vecteurs d’attaque va croître proportionnellement, attirant des acteurs bien plus organisés que l’opportuniste du 4 mai. Nous sommes sur le fil du rasoir : la variable décisive sera la vitesse à laquelle les plateformes d’agents IA adopteront des architectures à permissions minimales et des couches de validation sémantique robustes avant que le prochain exploit ne se chiffre en millions plutôt qu’en centaines de milliers de dollars.

La prudence reste de mise : les implications de cet incident ne se limitent pas aux seuls utilisateurs de Bankr ou de DreamrBot. Tout acteur de l’écosystème crypto qui interagit avec des agents IA – directement ou indirectement via des protocoles qui en dépendent – est concerné par ce que cet exploit révèle sur la surface de risque des architectures autonomes.

Scénario 1 – Réponse sectorielle coordonnée et maturation des défenses (probabilité estimée : 30 %) L’incident Bankr catalyse une réponse organisée de l’industrie. Les principales plateformes d’agents IA – Bankr en tête – publient des post-mortems détaillés et déploient des architectures révisées imposant une validation humaine ou multi-signature pour toute transaction dépassant des seuils prédéfinis. L’OWASP accélère la publication de ses recommandations spécifiques aux agents blockchain. Des firmes d’audit comme CertiK ou Trail of Bits développent des méthodologies d’audit spécifiques aux couches LLM, distinctes des audits de smart contracts traditionnels. Dans ce scénario, la prompt injection reste un vecteur d’attaque réel, mais son efficacité dans les environnements crypto est significativement réduite par des contre-mesures déployées avant que la valeur sous gestion par des agents autonomes n’atteigne des niveaux systémiquement dangereux.

Scénario 2 – Course entre attaquants et défenseurs avec incidents récurrents de portée croissante (probabilité estimée : 50 %) L’industrie réagit, mais de manière fragmentée et insuffisamment rapide. Des exploits similaires se reproduisent sur d’autres plateformes d’agents IA, avec des montants progressivement plus élevés à mesure que les attaquants affinent leurs techniques et que les wallets gérés par des agents accumulent davantage de valeur. Chaque incident génère une correction de sécurité sur le protocole ciblé, mais la surface d’attaque globale continue d’augmenter plus vite que les défenses ne peuvent être déployées. Les investisseurs retail exposés à des protocoles intégrant des agents IA subissent des pertes récurrentes, créant une pression réglementaire croissante sans pour autant déclencher un cadre normatif cohérent. C’est le scénario le plus probable compte tenu des dynamiques actuelles d’adoption et de la vitesse historique de maturation sécuritaire de l’industrie.

Scénario 3 – Exploit majeur entraînant une rupture de confiance dans les agents IA autonomes (probabilité estimée : 20 %) Un exploit utilisant la même mécanique de prompt injection, mais ciblant un agent gérant des fonds d’une ampleur institutionnelle – plusieurs millions de dollars – provoque une crise de confiance structurelle dans la catégorie des agents IA crypto. Les protocoles DeFi intégrant des composants IA voient leurs TVL s’effondrer. Des acteurs institutionnels qui commençaient à explorer ces architectures repoussent leurs plans d’intégration de plusieurs années. Ce scénario, bien que moins probable à court terme, deviendrait mécaniquement plus probable à mesure que la valeur totale sous gestion par des agents autonomes croîtra sans que les standards de sécurité LLM-spécifiques ne soient déployés à l’échelle.

Quelle que soit l’issue des prochains mois, une vérité s’impose avec une clarté implacable : l’ère où les architectures d’agents IA autonomes connectés à des wallets crypto pouvaient être déployées en production avec les seuls outils de sécurité hérités de l’audit de smart contracts – sans égard pour les vecteurs d’attaque propres aux systèmes de traitement du langage naturel, sans cloisonnement rigoureux entre instructions système et entrées utilisateur, sans mécanismes de validation indépendants du LLM lui-même pour les transactions à haute valeur, et sans principe de permission minimale appliqué systématiquement à chaque couche de l’architecture – est non seulement révolue, mais n’aurait jamais dû exister, tant les fondamentaux de la sécurité offensive des LLM étaient documentés bien avant que le premier dollar ne soit confié à un agent autonome on-chain.

La patience reste souvent la seule arme qui ne s’enraye pas – mais cette fois, elle doit s’accompagner d’une exigence ferme : n’exposer aucun solde significatif à un agent IA dont l’architecture de sécurité n’a pas fait l’objet d’un audit spécifique aux vecteurs de prompt injection, vérifiable et public.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement. Les crypto-actifs sont des investissements à risque élevé. Les performances passées ne préjugent pas des performances futures. Cryptonaute ne saurait être tenu responsable de décisions d’investissement prises sur la base des informations contenues dans cet article. Investissez uniquement ce que vous êtes prêt à perdre et consultez un conseiller financier indépendant si nécessaire.

Stéphane Daniel découvre l’univers des crypto-monnaies à travers Solana, alors que le projet en est encore à ses balbutiements. Issu d’un parcours littéraire, il s’initie d’abord à l’écosystème par curiosité intellectuelle, avant de s’immerger pleinement dans les rouages de la blockchain et des marchés numériques. Passionné par les innovations portées par les NFT, il se lance dans le trading de collections émergentes, tout en affinant ses compétences en analyse technique et fondamentale.Au fil des années, Stéphane développe une expertise reconnue sur les nouvelles tendances Web3, les écosystèmes à haute performance comme Solana, et les dynamiques communautaires autour des tokens et des actifs numériques. En tant que journaliste, il combine rigueur analytique et pédagogie, avec une plume claire et engagée. Son objectif : rendre accessibles les enjeux complexes du secteur crypto au plus grand nombre, sans jamais céder au sensationnalisme.

Le trading est risqué et vous pouvez perdre tout ou partie de votre capital. Les informations fournies ne constituent en aucun cas un conseil financier et/ou une recommandation d’investissement.

Auteur : Stéphane Daniel

Date de publication : 05 May 2026

Lire l'article original