Crypto neobank Infini udnyttet for $50M, mistænkte slyngeludvikler

Den Hong Kong-baserede stablecoin neobank Infini var en udnyttelse, der drænede omkring 50 millioner dollars, med undersøgelser, der pegede på en useriøs udvikler bag hændelsen.

Udnyttelsen blev første gang markeret af blockchain-sikkerhedsfirmaet CertiK den 24. februar kl. 3:18 UTC, som bemærkede uautoriserede overførsler fra en Infini-linket kontrakt på Ethereum.

Angriberen gav sig selv særlig adgang til en konto og hævede 49,5 millioner USD Coin (USDC).

Hvad skete der?

I sin første post-mortem -rapport hævdede Cyvers, et andet blockchain-fokuseret sikkerhedsfirma, at angriberen sandsynligvis var en udvikler, der tidligere havde arbejdet på Infinis smarte kontrakter og havde bevaret skjulte administrative privilegier selv efter projektets afslutning.

Ved at bruge disse privilegier finansierede udvikleren først en tegnebog med 1 ETH fra krypto-blandingstjenesten Tornado Cash for at dække gasgebyrer.

Med denne tegnebog udførte de en tilpasset kontrakt – oprettet tilbage i november 2024 – for at få uautoriseret adgang til Infinis system.

Dette gjorde det muligt for dem at dræne 49,5 millioner USDC fra platformen.

Efterfølgende blev byttet byttet til DAI, en stablecoin, der ikke kan fryses af udstedere, hvilket gør det muligt for angriberen at undgå enhver øjeblikkelig indgriben.

Efter dette blev DAI brugt til at købe 17.696 ETH, som derefter blev overført til en ny tegnebog, ifølge data delt af on-chain tracker Lookonchain.

Ifølge et nu slettet tweet blev den skyldige identificeret af Infini-teamet og rapporteret til politiet, selvom en officiel erklæring fra virksomheden endnu ikke var blevet offentliggjort.

Hvad er det næste for Infini-brugere?

Etableret i 2024, Infini er en neobank, en finansiel institution kun digitalt, der betjener brugere uden fysiske filialer.

Infini opererer udelukkende online og tilbyder tjenester som stablecoin-betalinger, afkastgenererende konti og andre kryptovenlige tilbud.

Platformen vandt hurtigt indpas og kan prale af en 500% månedlig vækstrate i aktive brugere, ifølge en pressemeddelelse fra 14. februar.

Den seneste udnyttelse har dog kastet en skygge over dens fremskridt.

Lige efter at rapporter om hændelsen begyndte at dukke op på sociale medier, sagde grundlægger Christian Li, at virksomheden ville kompensere alle berørte brugere uanset resultatet af den igangværende indsats for genopretning af aktiver.

I en senere opdatering forklarede Li, at 70 % af de tabte midler tilhørte "store investorer", som alle er blevet personligt kontaktet og gjort opmærksom på hændelsen.

Han lovede at dække deres tab med sine egne midler gennem private forlig.

Hvad angår de resterende stjålne midler, forsikrede Li brugerne om, at de ville blive fyldt helt op i Infini Vault næste mandag, hvilket sikrede, at driften fortsætter som normalt.

Han bekræftede også, at der var forberedt nok likviditet til at imødekomme eventuelle udbetalingsanmodninger i denne periode, og opfordrede brugerne til at forblive rolige.

Li tilføjede, at Infini ville tage den nødvendige tid til at opgradere og genstarte sine tjenester og prioritere midlernes sikkerhed, før de genoptager fuld drift.

Fra udgivelsestidspunktet forblev tilbagetrækninger på Infini aktive.

Li tilføjede yderligere, at over $500.000 var blevet trukket tilbage fra platformen siden udnyttelsen.

En dårlig uge for krypto

Infini-hacket er blot det seneste i en bølge af store sikkerhedsbrud, der ryster op i kryptoverdenen.

Få dage tidligere, den 21. februar, blev Bybit offer for et af de største udvekslingshack i kryptohistorien og tabte over 1,4 milliarder dollars.

Angriberne, som menes at være orkestreret af den nordkoreanske statsstøttede hackergruppe Lazarus, udnyttede smart kontraktlogik til at dræne midler fra platformens kolde pung med flere signaturer.