#IT那些事儿# 关于 Grok 和 Bankr 的离奇钓鱼小作文，竟然是真的？！
江湖传言：
攻击者在 x 上先是发了一段纯摩尔斯电码，然后 at @Grok 去翻译这个内容。
结果 @Grok 翻译出来的内容，正好是对 @Bankrbot 的一条转账指令：把 3B 枚 $DRB 发到攻击者的钱包。这个 @Bankrbot 是 Base 链上的自动化金融机器人（专门根据推文指令执行钱包操作）。
然后@Bankrbot 真的就执行了这个指令。
为什么执行？因为攻击者先埋了一个雷——攻击者提前给 Grok 的钱包空投了一个 Bankr Club NFT，这一步是整个攻击的基础——NFT 到账即意味着链上权限永久激活，Grok 钱包从此成为 Bankrbot 认可的“授权代理”。
被转走的是 Grok 在 Base 链上的官方钱包里的 $DRB，价值大概 20 万美元。
攻击者拿到币后，第一时间把 DRB 卖成 USDC/ETH，但几分钟后把全部资金（ETH + USDC 形式）原路退回给了 Grok 的钱包。
这竟然不是小作文，这是真实发生的 prompt injection 攻击（今天 2026 年 5 月 4 日上午/中午）！
但这一切都像是一个白帽子在表演型攻击！