Crypto neobank Infini utnyttet for 50 millioner dollar, mistenkte useriøs utvikler

Hong Kong-baserte stablecoin neobank Infini var en utnyttelse som tappet omtrent 50 millioner dollar, med undersøkelser som peker på en useriøs utvikler bak hendelsen.

Utnyttelsen ble først flagget av blokkjedesikkerhetsfirmaet CertiK 24. februar kl. 03:18 UTC, som oppdaget uautoriserte overføringer fra en Infini-tilknyttet kontrakt på Ethereum.

Angriperen ga seg selv spesiell tilgang til en konto og trakk ut 49,5 millioner USD Coin (USDC).

Hva skjedde?

I sin første post mortem- rapport hevdet Cyvers, et annet blokkjedefokusert sikkerhetsfirma, at angriperen sannsynligvis var en utvikler som tidligere hadde jobbet med Infinis smarte kontrakter og hadde beholdt skjulte administrative privilegier selv etter prosjektets fullføring.

Ved å bruke disse privilegiene finansierte utvikleren først en lommebok med 1 ETH fra kryptoblandingstjenesten Tornado Cash for å dekke gassavgifter.

Med denne lommeboken utførte de en tilpasset kontrakt – opprettet tilbake i november 2024 – for å få uautorisert tilgang til Infinis system.

Dette tillot dem å tappe 49,5 millioner USDC fra plattformen.

Deretter ble byttet byttet mot DAI, en stabil mynt som ikke kan fryses av utstedere, slik at angriperen kan unngå umiddelbar intervensjon.

Etter dette ble DAI-en brukt til å kjøpe 17 696 ETH, som deretter ble overført til en ny lommebok, ifølge data delt av kjedesporingen Lookonchain.

Per en nå slettet tweet ble den skyldige identifisert av Infini-teamet og rapportert til politiet, selv om en offisiell uttalelse fra selskapet ennå ikke var publisert.

Hva er det neste for Infini-brukere?

Etablert i 2024, er Infini en neobank, en finansinstitusjon kun digitalt som betjener brukere uten fysiske filialer.

Infini opererer helt online, og tilbyr tjenester som stablecoin-betalinger, avkastningsgenererende kontoer og andre kryptovennlige tilbud.

Plattformen fikk raskt frem, og kan skilte med en 500 % månedlig vekst i aktive brukere, ifølge en pressemelding fra 14. februar.

Imidlertid har den nylige utnyttelsen kastet en skygge over fremgangen.

Rett etter at rapporter om hendelsen begynte å dukke opp på sosiale medier, sa grunnlegger Christian Li at selskapet ville kompensere alle berørte brukere uavhengig av utfallet av gjenopprettingsarbeidet som for tiden pågår.

I en senere oppdatering forklarte Li at 70 % av de tapte midlene tilhørte «store investorer» som alle har blitt personlig kontaktet og gjort oppmerksom på hendelsen.

Han sverget å dekke tapene deres med egne midler gjennom private oppgjør.

Når det gjelder de gjenværende stjålne midlene, forsikret Li brukerne om at de ville bli fylt opp i Infini-hvelvet innen neste mandag, for å sikre at driften fortsetter som vanlig.

Han bekreftet også at det var forberedt nok likviditet til å møte eventuelle uttaksforespørsler i løpet av denne perioden, og oppfordret brukerne til å holde seg rolige.

Li la til at Infini ville ta den nødvendige tiden til å oppgradere og starte tjenestene sine på nytt, og prioritere sikkerheten til midler før den gjenopptar full drift.

Fra publiseringstidspunktet forble uttak på Infini aktive.

Li la videre til at over $500 000 hadde blitt trukket tilbake fra plattformen siden utnyttelsen.

En dårlig uke for krypto

Infini-hacket er bare det siste i en bølge av store sikkerhetsbrudd som ryster opp kryptoverdenen.

Bare dager tidligere, 21. februar, ble Bybit offer for et av de største børshackene i kryptohistorien, og tapte over 1,4 milliarder dollar.

Angriperne antas å være orkestrert av den nordkoreanske statsstøttede hackergruppen Lazarus, og utnyttet smart kontraktslogikk for å tappe penger fra plattformens multi-signatur kalde lommebok.