Neobanco de criptomoedas Infini explorado por US$ 50 milhões; desenvolvedor desonesto é suspeito.

O neobanco de stablecoins Infini, com sede em Hong Kong, foi alvo de um ataque que drenou aproximadamente US$ 50 milhões, com investigações apontando para um desenvolvedor desonesto como responsável pelo incidente.

A exploração foi detectada pela primeira vez pela empresa de segurança blockchain CertiK em 24 de fevereiro às 3h18 UTC, que notou transferências não autorizadas de um contrato vinculado ao Infini na Ethereum.

O atacante concedeu a si mesmo acesso especial a uma conta e retirou 49,5 milhões de USD Coin (USDC).

O que aconteceu?

Em seu primeiro relatório pós-mortem, a Cyvers, outra empresa de segurança focada em blockchain, afirmou que o atacante provavelmente era um desenvolvedor que havia trabalhado anteriormente nos contratos inteligentes da Infini e mantido privilégios administrativos ocultos mesmo após a conclusão do projeto.

Usando esses privilégios, o desenvolvedor primeiro financiou uma carteira com 1 ETH do serviço de mistura de criptomoedas Tornado Cash para cobrir as taxas de gás.

Com essa carteira, eles executaram um contrato personalizado — criado em novembro de 2024 — para obter acesso não autorizado ao sistema da Infini.

Isso permitiu que eles drenassem 49,5 milhões de USDC da plataforma.

Posteriormente, o saque foi trocado por DAI, uma stablecoin que não pode ser congelada pelos emissores, permitindo que o atacante evitasse qualquer intervenção imediata.

Após isso, o DAI foi usado para comprar 17.696 ETH, que foram então transferidos para uma nova carteira, de acordo com dados compartilhados pelo rastreador on-chain Lookonchain.

De acordo com um tweet agora apagado, o culpado foi identificado pela equipe da Infini e denunciado à polícia, embora um comunicado oficial da empresa ainda não tenha sido publicado.

O que vem a seguir para os usuários do Infini?

Fundado em 2024, o Infini é um neobanco, uma instituição financeira exclusivamente digital que atende usuários sem agências físicas.

A Infini opera totalmente online, oferecendo serviços como pagamentos em stablecoins, contas geradoras de rendimento e outras ofertas amigáveis às criptomoedas.

A plataforma rapidamente ganhou popularidade, ostentando uma taxa de crescimento mensal de 500% em usuários ativos, de acordo com um comunicado de imprensa de 14 de fevereiro.

No entanto, a recente exploração lançou uma sombra sobre seu progresso.

Logo após os relatos do incidente começarem a aparecer nas redes sociais, o fundador Christian Li disse que a empresa compensaria todos os usuários afetados, independentemente do resultado dos esforços de recuperação de ativos atualmente em andamento.

Em uma atualização posterior, Li explicou que 70% dos fundos perdidos pertenciam a “grandes investidores”, que foram todos contatados pessoalmente e informados sobre o incidente.

Ele prometeu cobrir suas perdas com seus próprios fundos por meio de acordos privados.

Quanto aos fundos roubados restantes, Li garantiu aos usuários que eles seriam totalmente repostos no Infini Vault até a próxima segunda-feira, garantindo a continuidade das operações normalmente.

Ele também confirmou que liquidez suficiente havia sido preparada para atender a quaisquer solicitações de saque durante esse período, instando os usuários a manterem a calma.

Li acrescentou que a Infini levaria o tempo necessário para atualizar e reiniciar seus serviços, priorizando a segurança dos fundos antes de retomar as operações completas.

Até o momento da publicação, os saques na Infini permaneciam ativos.

Li acrescentou ainda que mais de US$ 500.000 foram retirados da plataforma desde a exploração da vulnerabilidade.

Uma semana ruim para as criptomoedas.

O ataque ao Infini é apenas o mais recente de uma onda de grandes violações de segurança que estão abalando o mundo das criptomoedas.

Apenas alguns dias antes, em 21 de fevereiro, a Bybit foi vítima de um dos maiores ataques a exchanges na história das criptomoedas, perdendo mais de US$ 1,4 bilhão.

Acredita-se que o ataque tenha sido orquestrado pelo grupo de hackers Lazarus, apoiado pelo estado norte-coreano. Os atacantes exploraram a lógica do contrato inteligente para drenar fundos da carteira fria de múltiplas assinaturas da plataforma.