Dunia kripto lagi geger, Gengs! Bukan karena harga Bitcoin yang melambung, tapi karena aksi seorang pemuda asal Indonesia bernama Ilham yang sukses melakukan social engineering terhadap AI Agent.
Nggak tanggung-tanggung, Ilham berhasil mengeksploitasi wallet milik AI Grok yang terhubung ke platform Bankr di jaringan Base pada Senin, 4 Mei 2026.
Aksi ini langsung jadi sorotan dunia setelah jejak digitalnya terlacak melalui akun X dan alamat walletilhamrafli.base.eth.
Ilham terbukti cerdik memanfaatkan celah logika pada kecerdasan buatan. Lewat trik manipulasi instruksi, ia berhasil membuat AI Grok mengirimkan dana sebesar 3 miliar token DebtReliefBot (DRB).
Jika dikonversi ke rupiah, angka tersebut mencapai sekitar Rp2,6 miliar! Kejadian ini menjadi tamparan keras bagi ekosistem AI yang diberi akses langsung ke aset keuangan nyata.
Trik Morse dan Kode Python yang Mengecoh Logika Grok
Langkah yang diambil Ilham terbilang sangat terkonsep dan nggak biasa. Pertama, ia mengirimkan NFT Bankr Club Membership ke wallet Grok untuk membuka izin transfer penuh yang tadinya dibatasi sistem.
Setelah pintu akses terbuka, Ilham melancarkan serangan intinya: sebuah prompt yang berisi kombinasi kode Morse dan teknik string concatenationala bahasa pemrograman Python.
Teknik penyembunyian instruksi ini dirancang sangat rapi supaya nggak terdeteksi oleh filter keamanan standar. Intinya, pesan rahasia itu memerintahkan bot untuk mengirimkan token ke dompet pribadi Ilham.
Karena AI Grok memproses pesan tersebut sebagai perintah sah, transfer otomatis pun terjadi begitu saja tanpa ada kecurigaan dari sistem keamanan internal pada saat itu.
Narasi Bug Bounty yang Dipertanyakan Pakar Keamanan
Setelah aksinya sukses dan jadi perbincangan panas di komunitas, Ilham sempat membela diri dengan dalih melakukan pengujian keamanan atau bug bounty. Ia pun mengembalikan sekitar 80% dana tersebut.
Namun, pakar keamanan siber Alfons Tanujaya menilai langkah pengembalian ini bukan didasari niat sukarela, melainkan karena identitas asli Ilham sudah berhasil dibongkar oleh komunitas kripto lewat investigasi mendalam.
Alfons menegaskan bahwa kejadian ini lebih condong ke arah kelalaian struktural dari pihak platform Bankr. Ternyata, Bankr versi terdahulu sebenarnya sudah punya sistem keamanan untuk memblokir rantai injeksi AI.
Anehnya, proteksi super penting itu justru dihapus saat mereka melakukan penulisan ulang sistem secara menyeluruh, yang akhirnya memberi jalan tol bagi Ilham untuk beraksi.
Evaluasi Total untuk Keamanan AI Agent di Masa Depan
Insiden ini tercatat sebagai serangan social engineering AI kedua di dunia dengan modus serupa. Sebelumnya, pada Maret 2025, kejadian yang mirip juga pernah menguras aset senilai ratusan ribu dolar dari wallet yang sama.
Hal ini memicu kemarahan komunitas di ekosistem Base karena sistem yang sama bisa kebobolan dua kali dengan lubang keamanan yang nyaris identik.
Kasus Ilham ini jadi pelajaran berharga bagi para pengembang teknologi, termasuk xAI milik Elon Musk selaku pengembang Grok.
Integrasi AI dengan aset finansial ternyata masih sangat rentan terhadap manipulasi psikologis dan logika, bukan cuma peretasan kode konvensional.
Ke depannya, evaluasi serius harus dilakukan agar teknologi masa depan ini nggak malah jadi bumerang yang merugikan banyak orang.
Statement:
Alfons Tanujaya, Pakar Keamanan Siber
“Ini real, benar terjadi, dan buktinya nyata. Teknik yang digunakan termasuk dalam kategori social engineering. Ini bukan peretasan konvensional berbasis kode berbahaya, melainkan manipulasi terhadap cara kerja sistem AI itu sendiri. Pengembalian uang bukan karena sukarela. Dana dikembalikan hanya setelah identitas pribadinya diungkapkan dan teridentifikasi oleh komunitas.”
3 Poin Penting:
-
Eksploitasi Celah AI: Ilham memanfaatkan celah logika pada AI Grok menggunakan kode Morse dan trik Python untuk mencuri token DRB senilai Rp 2,6 miliar.
-
Kelalaian Platform: Serangan ini terjadi karena platform Bankr menonaktifkan fitur keamanan LLM-to-LLM injection chain saat melakukan pembaruan sistem.
-
Identitas Terbongkar: Pelaku mengembalikan sebagian besar dana setelah identitas digitalnya dilacak dan diungkap oleh komunitas kripto internasional.
![siswa SD keracunan massal [dok. web]](https://genlink.co.id/wp-content/uploads/ratusan-siswa-di-surabaya-keracunan-massal-mbg-1778482609594_169-300x169.jpeg)
![Lomba Cerdas Cermat (LCC) 4 Pilar MPR RI [dok. web]](https://genlink.co.id/wp-content/uploads/tangkapan-layat-lomba-cerdas-cermat-mpr-ri-tingkat-kalimantan-barat-yang-viral-dok-youtube-mprgoid-1778499796784_169.png-300x169.jpeg)
![oknum polisi viral merokok dijalan [dok. web]](https://genlink.co.id/wp-content/uploads/sdbfxc-300x169.webp)