Bankr, agent de trading piloté par intelligence artificielle, a confirmé le 19 mai 2026 qu’un attaquant avait accédé à 14 wallets sur sa plateforme. Les pertes s’élèvent à 150 000 $, et l’équipe s’est engagée à rembourser intégralement les victimes. L’incident survient dans un mai 2026 particulièrement sombre : 14 hacks distincts ont déjà frappé des protocoles DeFi depuis le début du mois, selon DefiLlama.

En bref

Le 19 mai 2026, un attaquant a exploité la couche de confiance entre l’agent Bankr et le modèle Grok pour signer des transactions non autorisées sur 14 wallets. Les pertes atteignent 150 000 $, le total volé en 2026 dépasse désormais 800 millions de dollars, et Bankr a temporairement suspendu toutes les transactions le temps de l’investigation.

Comment l’attaque a-t-elle fonctionné ?

Bankr opère comme un agent IA : il exécute des ordres d’achat, de vente ou de transfert à partir de simples commandes en langage naturel reçues via X (anciennement Twitter). La plateforme génère automatiquement un wallet pour chaque compte X qui interagit avec son bot.

C’est cette architecture qui a été ciblée. Selon Yu Xian, fondateur de SlowMist, l’attaquant a manipulé la couche d’interaction entre Grok et le bot Bankr pour obtenir des signatures de transactions non autorisées. Il s’agit d’une forme d’ingénierie sociale visant non pas un humain, mais un agent IA. Yu Xian précise qu’un mécanisme similaire avait déjà été exploité plus tôt cette année, lorsqu’un individu avait trompé Grok pour lui faire lancer un token, avant d’en vider la trésorerie.

Ce type d’attaque, dit par injection de prompt, représente un vecteur émergent spécifique aux plateformes où des LLM autonomes exécutent des opérations financières sans validation humaine intermédiaire. C’est nouveau. Et c’est préoccupant.

Quelles mesures Bankr a-t-il prises pour les victimes ?

Dès la détection de l’incident, Bankr a gelé l’ensemble des transactions et publié des recommandations de sécurité pour les utilisateurs concernés. Les instructions sont claires : cesser immédiatement d’envoyer des fonds vers les adresses compromises, générer de nouvelles phrases de récupération sur un appareil propre, révoquer les autorisations de dépense en cours, et analyser les appareils personnels à la recherche de logiciels malveillants ou d’extensions de navigateur compromises.

L’équipe a également précisé, dans un échange avec l’un des utilisateurs affectés, que les soldes en BNKR et USDC sur Base étaient déjà à zéro, et que les transactions confirmées on-chain sont irréversibles. Le remboursement des 150 000 $ sera donc pris en charge sur fonds propres, ce qui constitue un engagement rare dans l’écosystème. Pour comparaison, lors du hack d’Atomic Wallet en 2023, les victimes n’avaient obtenu aucun dédommagement direct de la plateforme.

Pourquoi mai 2026 concentre-t-il autant d’incidents ?

L’attaque contre Bankr ne constitue pas un cas isolé. DefiLlama recense déjà 14 hacks distincts en mai 2026. Le cumul des pertes en crypto pour l’ensemble de l’année 2026 franchit désormais le seuil des 800 millions de dollars, selon les données suivies par BeInCrypto.

Ce bilan s’inscrit dans la continuité d’un mois d’avril 2026 catastrophique, déjà marqué par des pertes supérieures à 630 millions de dollars. Parmi les incidents les plus marquants de l’année figurent les exploits de Drift Protocol (285 millions) et de Kelp DAO (293 millions). Ces chiffres dépassent les niveaux observés sur les premiers semestres précédents, ce qui suggère une professionnalisation croissante des attaques.

La singularité du cas Bankr réside dans son vecteur : là où la plupart des hacks DeFi exploitent des failles dans des smart contracts ou des bridges, celui-ci cible directement la logique d’un agent IA. Ce déplacement du vecteur d’attaque vers les couches d’intelligence artificielle mérite attention, notamment à mesure que ces agents gèrent des volumes croissants de fonds on-chain. Les incidents sur bridges cross-chain ou portefeuilles multiprotocoles ont montré que chaque nouvelle couche d’abstraction introduit de nouveaux risques.

À retenir

Bankr a subi un accès non autorisé à 14 wallets via une attaque par ingénierie sociale ciblant son interaction avec Grok. Les 150 000 $ perdus seront remboursés. À surveiller : la capacité des agents IA à sécuriser leurs couches de signature à mesure que leur adoption progresse.

Sources

Signal Baissier
Impact Modéré
Nous ajouter à vos sources préférées sur Google