Sandi Morse Kelabui Chatbot xAI dan Bobol Kripto Rp 3,4 Miliar

Manipulasi terhadap chatbot kecerdasan buatan milik xAI dilaporkan mengakibatkan pengalihan aset kripto senilai 200.000 dollar AS atau sekitar Rp 3,4 miliar. Insiden ini terjadi pada Kamis (7/5/2026) setelah seorang pelaku mengecoh sistem menggunakan pesan tersembunyi dalam kode Morse.

Aksi peretasan ini diduga melibatkan pengguna asal Indonesia dengan identitas akun @Ilhamrfliansyh di platform X yang kini telah dihapus. Berdasarkan informasi yang dilansir dari Tekno, pelaku memanfaatkan celah pada integrasi antara chatbot Grok dengan sistem perdagangan otomatis bernama Bankrbot.

Laporan dari Dexerto menyebutkan bahwa pelaku berhasil membawa lari sekitar 3 miliar token DRB melalui jaringan blockchain Base. Pencurian ini dilakukan secara sistematis melalui beberapa tahapan teknis yang melibatkan pemberian izin transaksi kepada asisten virtual tersebut.

Kronologi bermula saat pelaku mengirimkan NFT bertajuk "Bankr Club Membership" ke dompet digital milik Grok. Tindakan ini memberikan izin tambahan bagi AI pada sistem Bankrbot, yang mencakup otorisasi untuk melakukan pertukaran serta pengiriman aset kripto secara otomatis.

Setelah akses terbuka, pelaku memberikan instruksi kepada Grok untuk menerjemahkan rangkaian kode Morse yang tampak tidak berbahaya. Namun, hasil terjemahan tersebut berisi perintah bagi AI untuk mengirimkan miliaran token DRB ke alamat dompet digital tertentu milik pelaku.

Sistem Bankrbot mengeksekusi transaksi tersebut karena menganggap instruksi hasil terjemahan sebagai perintah yang sah. Aset kripto yang terkirim kemudian langsung dijual oleh pelaku di pasar terbuka, sehingga menyebabkan fluktuasi harga token DRB dalam waktu singkat.

Identitas pelaku dikaitkan dengan Indonesia oleh komunitas media sosial X karena pola bahasa dan interaksinya di lingkungan kripto lokal. Peristiwa ini memicu perdebatan mengenai risiko keamanan agen AI yang memiliki kemampuan melakukan tindakan langsung pada sistem finansial.

Analisis dari Economic Times menyoroti bahwa insiden ini merupakan contoh nyata dari serangan prompt injection. Pakar keamanan siber menilai pemberian akses langsung AI ke dompet digital tanpa pengawasan ketat menjadi celah krusial yang dapat dieksploitasi melalui instruksi tersembunyi.