從 6 到 21:Crypto AI Agent Incident Tracker 上線(含 $52M 損失資料)
從 6 到 21:Crypto AI Agent Incident Tracker 上線(含 $52M 損失資料)
5 月 8 日上週,我寫了一篇 Crypto AI Agent 6 起事件靜態分析能擋什麼。
今天我在飛機上把那 6 起擴充到 21 起,總損失 $52,518,500。並且把它變成可被機器讀取的結構化資料 + 公開 GitHub repo + 一頁網站。
這篇文章公開:
- 新增的 15 起事件
- 跨 21 起的 patterns
- Tracker repo 的使用方式
為什麼做這個
Crypto AI agent 的安全是一個沒有公開 tracker 的領域。
- AI Incident Database 收 AIXBT(2025-03,#1003)但沒持續追
- arxiv 上有零散 paper 但沒整合
- 各種 X thread 提到攻擊但沒結構化
- 風險投資人問「這市場安全嗎」沒辦法給數據答案
我前一篇 blog 寫完,自然延伸是「這應該變成持續 maintained 的 reference」。
今天就做了。
新增的 15 起事件(精選)
1. Virtuals Protocol PAT-tastrophe(2025-03-22)— 你的 system prompt 可被重寫
Sherrets 與 Liberow 發現 Virtuals Protocol 上的 PAT (Personal Access Token) 暴露 AWS 金鑰,可以讀取/重寫所有 12,000+ 個 Virtuals agents 的 Character Card(即 system prompt)。
CVSS 7.8、修復後 $10K bug bounty、無資金被盜。
重要性: 這不是「個別 agent 被攻擊」,是「整個 fleet 的 system prompt 可以被一次性篡改」。框架級漏洞。
來源:Medium 公開揭露 + DEF CON 33 talk
2. BasisOS Fake Agent Fraud(2025-11-25)— $531K,是人在假扮 AI
「BasisOS」自稱在 Virtuals Protocol 跑的「自動 yield agent」。
事後揭露:根本沒有 AI。是個內部人類在手動操作。最後內部人捲款 $531K。
重要性: 突顯了「verified agent attestation」的重要性。如果你不能證明那真的是 AI 在跑,怎麼防止人類詐騙?
3. Anthropic SCONE-bench(2025-12-02)— AI 一晚生成 $4.6M 智能合約 exploits
Anthropic 發布的 SCONE benchmark:讓 Claude / GPT-5 對真實鏈 fork 自動生成 smart contract exploits。每次 scan 成本 $1.22。
一晚累積生成 $4.6M 的 theoretical exploit 收入。
重要性: 框架了「AI vs Web3」軍備競賽的經濟學。如果 attack 成本 $1.22、回報 $千到$萬,attacker 會大規模 spam scanning。
4. ChatGPT Pump.fun Poisoning(2024-11-21)— 第一個 AI 訓練資料投毒導致鏈上失血
ChatGPT 引用了一個攻擊者控制的 API URL(被植入訓練資料),用戶照建議 call 該 URL,私鑰被竊。
重要性: 第一個有明確記錄的「AI 訓練資料 → 鏈上實際損失」案例。
5. Telegram trading bot 歷史 baseline(2023-2024)
| Bot | 時間 | 損失 | 攻擊方式 |
|---|---|---|---|
| Unibot | 2023-10 | $640K | Token approval call injection |
| Maestro | 2023-10 | $485K | Router 2 arbitrary code exec |
| Banana Gun | 2024-09 | $3M | Telegram oracle exploit |
| Solareum | 2024-03 | $1.4M | DPRK insider |
| None Trading | 2023-09 | $16.5M | Discord bot critical exploit |
重要性: 給了 AI 之前的 baseline。也呈現「Telegram bot 通常會 refund,X-account hijack 通常不會」這個 norm 差異。
6. Credential / 社交帳號入侵集群(2025 Q1)
| 案件 | 損失 | 攻擊方式 |
|---|---|---|
| Jupiter DEX X 被駭 → 假 $MEOW | $20M | X account hijack |
| Pump.fun X 被駭 → 假 $PUMP / GPT-4.5 | $5M | X account hijack |
| ai16z Shaw X 被駭 | 未知 | X account hijack |
| Virtuals Discord moderator key 外流 | 未知 | Credential leak |
重要性: 47% 的事件是「AI agent 周邊憑證」失守,不是 AI 本身被攻擊。AI agent 的安全瓶頸是 plumbing,不是 AI 智力。
7. ElizaOS CrAIBench(2025-03-21)— 跨平台記憶污染
Princeton 早些時候那篇是 single-platform memory injection(Discord 注入然後 X 取出)。
CrAIBench 擴展到跨多個平台 + 量化評估 framework。是 ElizaOS 上記憶問題的後續研究。
21 起事件的整體 patterns
把這 21 起放進 spreadsheet 可以看出這些 patterns:
Pattern 1:47% 是憑證入侵,不是 AI 被欺騙
| 攻擊類別 | 事件數 | 占比 |
|---|---|---|
| Credential / social account compromise | 10 | 47.6% |
| Prompt injection / social engineering | 5 | 23.8% |
| Tool/permission scoping bug | 3 | 14.3% |
| Memory poisoning | 2 | 9.5% |
| Numerical / unit bug | 1 | 4.8% |
媒體最愛報「AI 被騙」(24%)。實際大多數是「周邊憑證失守」(48%)。
Pattern 2:Virtuals Protocol 是被瞄準最多的 framework
3 起獨立事件都涉及 Virtuals。這不是因為 Virtuals 特別差,是因為它規模大 + 集中度高。一個漏洞能影響 12,000+ agents。
教訓:framework consolidation 提升風險。每個 framework 應該有公開的 incident response policy。
Pattern 3:事件數量年成長 doubling
- 2022:1 起(MEE6 NFT phishing $360K)
- 2023:2 起(Unibot, Maestro, None Trading)
- 2024:3 起
- 2025:8 起
- 2026 (前 5 個月):5 起 + 預計年化超過 10
對應到 Anthropic SCONE-bench 的「exploit revenue 每 1.3 個月翻倍」觀察。
Pattern 4:Telegram bots 賠款;X 帳號被駭沒人賠
Unibot / Maestro / Banana Gun 全都從 treasury 賠了用戶。
Jupiter / Pump.fun X 帳號被駭導致 pump-and-dump,受害者全部自負。
這個分歧是文化而非技術 — 但值得記錄。
Tracker repo 上線
我把這 21 起整理成結構化資料:
🔗 GitHub repo: github.com/ppcvote/crypto-agent-incidents 🔗 公開頁面: ultralab.tw/incidents(剛上線)
Schema:
{
"id": "kebab-case-id",
"date": "YYYY-MM-DD",
"name": "Display name",
"agent": "Agent name",
"framework": "Eliza | Virtuals | Bankr | null",
"loss_usd": 250000,
"attack_vector": "encoding-injection | social-engineering | ...",
"defense_layer_failed": "static-prompt | runtime-tool | ...",
"description": "1-3 sentences",
"sources": ["url1", "url2"],
"prevention_notes": "what would have stopped it",
"primary_evidence_quality": "strong | medium | weak"
}
可以用:
- 投資 due-diligence(這個 framework 多常出事?)
- 安全研究(這個 attack vector 有幾起 precedent?)
- 為 prompt-defense-audit / 其他 scanner 增加新 vectors(每起事件都標 vector)
- 建立行業 norms(Telegram bots refund vs X hijacks 不 refund)
歡迎 PR:
- 找到新事件 → 加進
incidents/目錄 - 補強 evidence quality → 多附 source
- 翻譯到其他語言
你能拿走什麼
如果你建 / 投 / 用 crypto AI agents:
- 看 Tracker,不要看媒體標題 — 媒體愛報「AI 被騙」但 47% 是憑證問題
- Framework 集中度有風險 — Virtuals 的 12,000 agent 一次被改 system prompt 是真的有發生
- Verified Agent Attestation 是空白市場 — BasisOS 用人假扮 AI 騙 $531K,這個問題沒人做
- 靜態防禦不夠 — 21 起裡沒有一起單純被 prompt-defense-audit 擋下,因為大多數失敗點不在 prompt
- Telegram bots 比想像的安全 — 至少他們有 refund 文化
第 5 篇 of 5「Min Yi 在德國 Atlas」公開實驗系列。前 4 篇:1、2、3、4。
寫於 2026-05-08,BR71 起飛後 2 小時。