La néobanque crypto Infini a été victime d'un piratage de 50 millions de dollars ; un développeur malveillant est soupçonné.

La néobanque de stablecoins Infini, basée à Hong Kong, a été victime d'une faille de sécurité qui a entraîné la perte d'environ 50 millions de dollars. Les enquêtes pointent du doigt un développeur malveillant à l'origine de l'incident.

L'exploit a été signalé pour la première fois par la société de sécurité blockchain CertiK le 24 février à 3h18 UTC, qui a constaté des transferts non autorisés depuis un contrat lié à Infini sur Ethereum.

L'attaquant s'est octroyé un accès spécial à un compte et a retiré 49,5 millions de USD Coin (USDC).

Que s'est-il passé ?

Dans son premier rapport post-mortem, Cyvers, une autre société de sécurité spécialisée dans la blockchain, a affirmé que l'attaquant était probablement un développeur ayant précédemment travaillé sur les contrats intelligents d'Infini et ayant conservé des privilèges administratifs cachés même après la fin du projet.

Grâce à ces privilèges, le développeur a d'abord alimenté un portefeuille avec 1 ETH provenant du service de mixage de cryptomonnaies Tornado Cash pour couvrir les frais de gaz.

Grâce à ce portefeuille, ils ont exécuté un contrat personnalisé — créé en novembre 2024 — pour obtenir un accès non autorisé au système d'Infini.

Cela leur a permis de retirer 49,5 millions d'USDC de la plateforme.

Par la suite, le butin a été échangé contre du DAI, une cryptomonnaie stable qui ne peut pas être gelée par les émetteurs, permettant à l'attaquant d'éviter toute intervention immédiate.

Après cela, le DAI a été utilisé pour acheter 17 696 ETH, qui ont ensuite été transférés vers un nouveau portefeuille, selon les données partagées par le traqueur on-chain Lookonchain.

Selon un tweet désormais supprimé, le coupable a été identifié par l'équipe Infini et signalé à la police, bien qu'aucune déclaration officielle de la société n'ait encore été publiée.

Quelles sont les prochaines étapes pour les utilisateurs d'Infini ?

Créée en 2024, Infini est une néobanque, une institution financière entièrement numérique qui sert ses utilisateurs sans aucune agence physique.

Infini opère entièrement en ligne, proposant des services tels que les paiements en stablecoins, les comptes générateurs de rendement et d'autres offres compatibles avec les cryptomonnaies.

La plateforme a rapidement gagné en popularité, affichant un taux de croissance mensuel de 500 % du nombre d'utilisateurs actifs, selon un communiqué de presse du 14 février.

Cependant, la récente exploitation a jeté une ombre sur ses progrès.

Immédiatement après la diffusion des informations sur l'incident sur les réseaux sociaux, le fondateur Christian Li a déclaré que l'entreprise indemniserait tous les utilisateurs concernés, indépendamment du résultat des efforts de récupération des actifs actuellement en cours.

Dans une mise à jour ultérieure, Li a expliqué que 70 % des fonds perdus appartenaient à de « gros investisseurs » qui ont tous été contactés personnellement et informés de l'incident.

Il a juré de couvrir leurs pertes de ses propres fonds par le biais de règlements privés.

Concernant les fonds volés restants, Li a assuré aux utilisateurs qu'ils seraient intégralement restitués dans le coffre-fort Infini d'ici lundi prochain, garantissant ainsi la poursuite normale des opérations.

Il a également confirmé qu'une liquidité suffisante avait été préparée pour répondre à toute demande de retrait pendant cette période, exhortant les utilisateurs à rester calmes.

Li a ajouté qu'Infini prendrait le temps nécessaire pour mettre à niveau et redémarrer ses services, en donnant la priorité à la sécurité des fonds avant de reprendre ses activités normales.

Au moment de la publication, les retraits sur Infini restaient actifs.

Li a ajouté que plus de 500 000 dollars avaient été retirés de la plateforme depuis l'exploitation de la faille.

Une mauvaise semaine pour les cryptomonnaies.

Le piratage d'Infini n'est que le dernier d'une vague de failles de sécurité majeures qui secouent le monde de la crypto.

Quelques jours plus tôt, le 21 février, Bybit a été victime de l'un des plus grands piratages de plateformes d'échange de l'histoire de la crypto, perdant plus de 1,4 milliard de dollars.

On pense que les attaquants, orchestrés par le groupe de pirates informatiques Lazarus, soutenu par l'État nord-coréen, ont exploité la logique des contrats intelligents pour siphonner des fonds du portefeuille froid multi-signatures de la plateforme.