Crypto neobank Infini dieksploitasi untuk $50J, pemaju penyangak disyaki

Stablecoin neobank Infini yang berpangkalan di Hong Kong adalah eksploitasi yang menghabiskan kira-kira $50 juta, dengan siasatan menunjuk kepada pemaju penyangak di sebalik kejadian itu.

Eksploitasi itu mula-mula dibenderakan oleh firma keselamatan blockchain CertiK pada 24 Februari jam 3:18 pagi UTC, yang mendapati pemindahan tanpa kebenaran daripada kontrak berkaitan Infini pada Ethereum.

Penyerang memberikan diri mereka akses khas ke akaun dan mengeluarkan 49.5 juta USD Syiling (USDC).

Apa yang berlaku?

Dalam laporan bedah siasat pertamanya, Cyvers, sebuah lagi firma keselamatan tertumpu pada blok blok, mendakwa penyerang itu berkemungkinan pemaju yang sebelum ini bekerja pada kontrak pintar Infini dan telah mengekalkan keistimewaan pentadbiran tersembunyi walaupun selepas projek itu siap.

Menggunakan keistimewaan ini, pembangun mula-mula membiayai dompet dengan 1 ETH daripada perkhidmatan pencampuran kripto Tornado Cash untuk menampung yuran gas.

Dengan dompet ini, mereka melaksanakan kontrak tersuai—yang dibuat pada November 2024—untuk mendapatkan akses tanpa kebenaran kepada sistem Infini.

Ini membolehkan mereka menghabiskan 49.5 juta USDC daripada platform.

Selepas itu, rampasan itu ditukar kepada DAI, syiling stabil yang tidak boleh dibekukan oleh pengeluar, membolehkan penyerang mengelak sebarang campur tangan segera.

Selepas ini, DAI digunakan untuk membeli 17,696 ETH, yang kemudiannya dipindahkan ke dompet baharu, menurut data yang dikongsi oleh penjejak rantaian Lookonchain.

Mengikut tweet yang kini dipadamkan, pelakunya telah dikenal pasti oleh pasukan Infini dan melaporkan kepada polis, walaupun kenyataan rasmi daripada syarikat itu masih belum diterbitkan.

Apakah yang seterusnya untuk pengguna Infini?

Ditubuhkan pada 2024, Infini ialah neobank, institusi kewangan digital sahaja yang memberi perkhidmatan kepada pengguna tanpa sebarang cawangan fizikal.

Infini beroperasi sepenuhnya dalam talian, menawarkan perkhidmatan seperti pembayaran stablecoin, akaun penjanaan hasil dan tawaran mesra kripto yang lain.

Platform itu cepat mendapat daya tarikan, membanggakan kadar pertumbuhan bulanan 500% dalam pengguna aktif, menurut kenyataan akhbar dari 14 Februari.

Walau bagaimanapun, eksploitasi baru-baru ini telah membayangi kemajuannya.

Sejurus selepas laporan insiden itu mula muncul di media sosial, pengasas Christian Li berkata syarikat itu akan memberi pampasan kepada semua pengguna yang terjejas tanpa mengira hasil daripada usaha pemulihan aset yang sedang dijalankan.

Dalam kemas kini kemudian, Li menjelaskan bahawa 70% daripada dana yang hilang adalah milik “pelabur besar” yang semuanya telah dihubungi secara peribadi dan dimaklumkan tentang kejadian itu.

Dia berikrar untuk menutup kerugian mereka dengan dana sendiri melalui penempatan persendirian.

Bagi baki dana yang dicuri, Li memberi jaminan kepada pengguna bahawa ia akan diisi semula sepenuhnya ke dalam Bilik Kebal Infini menjelang Isnin depan, memastikan operasi diteruskan seperti biasa.

Beliau juga mengesahkan bahawa kecairan yang mencukupi telah disediakan untuk memenuhi sebarang permintaan pengeluaran dalam tempoh ini, menggesa pengguna untuk bertenang.

Li menambah bahawa Infini akan mengambil masa yang diperlukan untuk menaik taraf dan memulakan semula perkhidmatannya, mengutamakan keselamatan dana sebelum menyambung semula operasi penuh.

Sehingga masa penerbitan, pengeluaran pada Infini kekal aktif.

Li seterusnya menambah bahawa lebih $500,000 telah dikeluarkan daripada platform sejak eksploitasi itu.

Minggu yang teruk untuk crypto

Godam Infini hanyalah yang terbaru dalam gelombang pelanggaran keselamatan utama yang menggegarkan dunia crypto.

Hanya beberapa hari sebelum itu, pada 21 Februari, Bybit menjadi mangsa salah satu penggodaman pertukaran terbesar dalam sejarah crypto, kehilangan lebih $1.4 bilion.

Dipercayai didalangi oleh kumpulan penggodam yang disokong kerajaan Korea Utara Lazarus, penyerang mengeksploitasi logik kontrak pintar untuk mengalirkan dana daripada dompet sejuk berbilang tandatangan platform itu.