Crypto neobank Infini utnyttjas för 50 miljoner dollar, misstänkte skurk utvecklare

Hongkong-baserade stablecoin neobank Infini var en exploatering som dränerade ungefär 50 miljoner dollar, med utredningar som pekade på en oseriös utvecklare bakom incidenten.

Exploateringen flaggades först av blockkedjesäkerhetsföretaget CertiK den 24 februari klockan 03:18 UTC, som upptäckte obehöriga överföringar från ett Infini-länkat kontrakt på Ethereum.

Angriparen gav sig själv särskild tillgång till ett konto och drog ut 49,5 miljoner USD Coin (USDC).

Vad hände?

I sin första obduktionsrapport hävdade Cyvers, ett annat blockchain-fokuserat säkerhetsföretag, att angriparen sannolikt var en utvecklare som tidigare hade arbetat med Infinis smarta kontrakt och hade behållit dolda administrativa privilegier även efter projektets slutförande.

Med hjälp av dessa privilegier finansierade utvecklaren först en plånbok med 1 ETH från kryptoblandningstjänsten Tornado Cash för att täcka gasavgifter.

Med den här plånboken utförde de ett anpassat kontrakt – skapat redan i november 2024 – för att få obehörig åtkomst till Infinis system.

Detta gjorde det möjligt för dem att tappa 49,5 miljoner USDC från plattformen.

Därefter byttes bytet ut mot DAI, ett stabilt mynt som inte kan frysas av emittenter, vilket gör att angriparen kan undvika omedelbar ingripande.

Efter detta användes DAI för att köpa 17 696 ETH, som sedan överfördes till en ny plånbok, enligt data som delas av spåraren Lookonchain på kedjan.

Enligt en nu raderad tweet identifierades den skyldige av Infini-teamet och rapporterades till polisen, även om ett officiellt uttalande från företaget ännu inte hade publicerats.

Vad är nästa steg för Infini-användare?

Infini, som grundades 2024, är en neobank, en finansiell institution som endast är digital och betjänar användare utan några fysiska filialer.

Infini fungerar helt online och erbjuder tjänster som stablecoin-betalningar, avkastningsgenererande konton och andra kryptovänliga erbjudanden.

Plattformen fick snabbt dragkraft och stoltserade med en månatlig tillväxt på 500 % av aktiva användare, enligt ett pressmeddelande från den 14 februari.

Den senaste bedriften har dock kastat en skugga över dess framsteg.

Direkt efter att rapporter om incidenten började dyka upp i sociala medier sa grundaren Christian Li att företaget skulle kompensera alla drabbade användare oavsett resultatet av de ansträngningar att återställa tillgångar som för närvarande pågår.

I en senare uppdatering förklarade Li att 70 % av de förlorade medlen tillhörde “stora investerare” som alla har blivit personligen kontaktade och gjort medvetna om händelsen.

Han lovade att täcka deras förluster med egna medel genom privata uppgörelser.

När det gäller de återstående stulna medlen försäkrade Li användarna att de skulle fyllas på fullt ut i Infini-valvet nästa måndag, vilket säkerställer att verksamheten fortsätter som vanligt.

Han bekräftade också att tillräckligt med likviditet hade förberetts för att möta eventuella uttagsförfrågningar under denna period, och uppmanade användarna att förbli lugna.

Li tillade att Infini skulle ta den tid som krävs för att uppgradera och starta om sina tjänster och prioritera säkerheten för pengarna innan den återupptar full drift.

Från och med publiceringstiden förblev uttag på Infini aktiva.

Li tillade vidare att över $500 000 hade dragits tillbaka från plattformen sedan exploateringen.

En dålig vecka för krypto

Infini-hacket är bara det senaste i en våg av stora säkerhetsintrång som skakar om kryptovärlden.

Bara dagar tidigare, den 21 februari, föll Bybit offer för ett av de största börshacken i kryptons historia och förlorade över 1,4 miljarder dollar.

Angriparna, som tros vara orkestrerade av den nordkoreanska statsstödda hackergruppen Lazarus, utnyttjade smart kontraktslogik för att tappa pengar från plattformens kalla plånbok med flera signaturer.