Neobancă criptografică Infini a fost exploatată pentru 50 de milioane de dolari, suspectează dezvoltatorul necinstiți

Neobanca de monede stabile din Hong Kong, Infini, a fost o exploatare care a consumat aproximativ 50 de milioane de dolari, investigațiile indicând un dezvoltator necinstit în spatele incidentului.

Exploatarea a fost semnalată pentru prima dată de firma de securitate blockchain CertiK pe 24 februarie, la 3:18 am UTC, care a observat transferuri neautorizate dintr-un contract legat de Infini pe Ethereum.

Atacatorul și-a acordat acces special la un cont și a retras 49,5 milioane USD Coin (USDC).

Ce s-a întâmplat?

În primul său raport post-mortem, Cyvers, o altă firmă de securitate axată pe blockchain, a susținut că atacatorul a fost probabil un dezvoltator care a lucrat anterior la contractele inteligente ale Infini și și-a păstrat privilegii administrative ascunse chiar și după finalizarea proiectului.

Folosind aceste privilegii, dezvoltatorul a finanțat mai întâi un portofel cu 1 ETH de la serviciul de amestecare criptografică Tornado Cash pentru a acoperi taxele de gaz.

Cu acest portofel, au executat un contract personalizat, creat în noiembrie 2024, pentru a obține acces neautorizat la sistemul Infini.

Acest lucru le-a permis să scurgă 49,5 milioane USDC din platformă.

Ulterior, prada a fost schimbată cu DAI, o monedă stabilă care nu poate fi înghețată de emitenți, permițând atacatorului să evite orice intervenție imediată.

După aceasta, DAI a fost folosit pentru a cumpăra 17.696 ETH, care au fost apoi transferați într-un nou portofel, conform datelor partajate de tracker-ul on-chain Lookonchain.

Potrivit unui tweet acum șters, vinovatul a fost identificat de echipa Infini și raportat la poliție, deși o declarație oficială a companiei nu a fost încă publicată.

Ce urmează pentru utilizatorii Infini?

Înființată în 2024, Infini este o neobancă, o instituție financiară exclusiv digitală care deservește utilizatorii fără sucursale fizice.

Infini operează în întregime online, oferind servicii precum plăți cu monede stabile, conturi generatoare de randament și alte oferte prietenoase cu criptomonede.

Platforma a câștigat rapid popularitate, lăudându-se cu o rată de creștere lunară de 500% a utilizatorilor activi, potrivit unui comunicat de presă din 14 februarie.

Cu toate acestea, exploatarea recentă a aruncat o umbră asupra progresului său.

Imediat după ce rapoartele despre incident au început să apară pe rețelele sociale, fondatorul Christian Li a spus că compania va despăgubi toți utilizatorii afectați, indiferent de rezultatul eforturilor de recuperare a activelor în desfășurare.

Într-o actualizare ulterioară, Li a explicat că 70% din fondurile pierdute au aparținut „marilor investitori”, care au fost contactați personal și informați despre incident.

El a promis că le va acoperi pierderile cu fonduri proprii prin acorduri private.

În ceea ce privește fondurile furate rămase, Li a asigurat utilizatorii că vor fi completate complet în Seiful Infini până luni viitoare, asigurându-se că operațiunile continuă ca de obicei.

El a confirmat, de asemenea, că a fost pregătită suficientă lichiditate pentru a răspunde oricăror cereri de retragere în această perioadă, îndemnând utilizatorii să rămână calmi.

Li a adăugat că Infini își va lua timpul necesar pentru a-și actualiza și reporni serviciile, acordând prioritate securității fondurilor înainte de a relua operațiunile complete.

În momentul publicării, retragerile de pe Infini au rămas active.

Li a mai adăugat că peste 500.000 USD au fost retrase de pe platformă de la exploit.

O săptămână proastă pentru cripto

Hack-ul Infini este doar cel mai recent dintr-un val de breșe majore de securitate care zguduie lumea cripto.

Cu doar câteva zile mai devreme, pe 21 februarie, Bybit a căzut victima unuia dintre cele mai mari hack-uri de schimb din istoria cripto, pierzând peste 1,4 miliarde de dolari.

Considerați a fi orchestrați de grupul de hacking susținut de stat nord-coreean Lazarus, atacatorii au exploatat logica contractului inteligent pentru a scurge fonduri din portofelul cu semnături multiple al platformei.