Kripto neobank Infini 50 milyon dolara sömürüldü, dolandırıcı geliştiriciden şüpheleniliyor

Hong Kong merkezli stablecoin neobank Infini'de yaklaşık 50 milyon dolar çalındı ve soruşturmalar olayın arkasında kötü niyetli bir geliştiricinin olduğunu gösteriyor.

Söz konusu istismar ilk olarak 24 Şubat günü saat 03:18'de UTC saatinde blockchain güvenlik firması CertiK tarafından fark edildi ve Ethereum'daki Infini bağlantılı bir sözleşmeden yapılan yetkisiz transferler fark edildi.

Saldırganlar kendilerine bir hesaba özel erişim izni verdi ve 49,5 milyon USD Coin (USDC) çekti.

Ne oldu?

Blockchain odaklı bir diğer güvenlik firması olan Cyvers, ilk otopsi raporunda saldırganın muhtemelen daha önce Infini'nin akıllı sözleşmeleri üzerinde çalışmış ve projenin tamamlanmasından sonra bile gizli yönetim ayrıcalıklarını elinde bulunduran bir geliştirici olduğunu iddia etti.

Geliştirici, bu ayrıcalıkları kullanarak öncelikle gas ücretlerini karşılamak için kripto para karıştırma hizmeti Tornado Cash'ten 1 ETH ile bir cüzdana para yatırdı.

Bu cüzdanla, Kasım 2024'te oluşturulan özel bir sözleşmeyi uygulayarak Infini'nin sistemine yetkisiz erişim sağladılar.

Bu da onların platformdan 49,5 milyon USDC çekmesine olanak sağladı.

Daha sonra ganimet, ihraç edenler tarafından dondurulamayan bir stablecoin olan DAI ile değiştirildi ve böylece saldırganın herhangi bir ani müdahaleden kaçınması sağlandı.

Zincir üstü izleyici Lookonchain tarafından paylaşılan verilere göre, DAI daha sonra 17.696 ETH satın almak için kullanıldı ve daha sonra bu ETH yeni bir cüzdana aktarıldı.

Şimdi silinen bir tweet'e göre, suçlu Infini ekibi tarafından tespit edildi ve polise bildirildi, ancak şirketten henüz resmi bir açıklama yayınlanmadı.

Infini kullanıcılarını bundan sonra ne bekliyor?

2024 yılında kurulan Infini, herhangi bir fiziksel şubesi olmayan kullanıcılara hizmet veren, yalnızca dijital bir finans kuruluşu olan neobankadır.

Infini tamamen çevrimiçi olarak faaliyet gösteriyor ve stablecoin ödemeleri, getiri üreten hesaplar ve diğer kripto dostu teklifler gibi hizmetler sunuyor.

Platform, 14 Şubat tarihli bir basın bültenine göre aktif kullanıcı sayısında aylık %500'lük bir büyüme oranına ulaşarak hızla ilgi gördü.

Ancak son yaşanan olay, bu sürecin seyrine gölge düşürdü.

Olayla ilgili haberler sosyal medyada yayılmaya başlayınca şirketin kurucusu Christian Li, şirketin şu anda devam eden varlık kurtarma çalışmalarının sonucundan bağımsız olarak etkilenen tüm kullanıcılara tazminat ödeyeceğini söyledi.

Li, daha sonra yaptığı açıklamada, kaybedilen fonların %70'inin "büyük yatırımcılara" ait olduğunu ve bu yatırımcıların hepsinin olaydan haberdar edildiğini açıkladı.

Zararlarını kendi parasıyla, özel anlaşmalarla karşılayacağına söz verdi.

Li, çalınan kalan paraların önümüzdeki pazartesi gününe kadar Infini Vault'a tamamen doldurulacağı konusunda kullanıcılara güvence verdi ve böylece operasyonların her zamanki gibi devam etmesini sağladı.

Ayrıca bu süreçte herhangi bir çekim talebini karşılamak için yeterli likiditenin hazırlandığını doğrulayan yetkili, kullanıcıların sakin olmaları gerektiğini söyledi.

Li, Infini'nin fon güvenliğini ön planda tutarak, tam operasyonlara başlamadan önce hizmetlerini yükseltmek ve yeniden başlatmak için gerekli zamanı ayıracağını sözlerine ekledi.

Yayınlanma tarihi itibarıyla Infini'deki çekimler aktifti.

Li, ayrıca söz konusu saldırıdan bu yana platformdan 500 bin doların üzerinde para çekildiğini sözlerine ekledi.

Kripto için kötü bir hafta

Infini saldırısı, kripto dünyasını sarsan büyük güvenlik ihlallerinin sonuncusu.

Bundan birkaç gün önce, 21 Şubat'ta Bybit, kripto tarihinin en büyük borsa saldırılarından birinin kurbanı olmuş ve 1,4 milyar dolardan fazla para kaybetmişti.

Kuzey Kore devlet destekli hacker grubu Lazarus tarafından düzenlendiği düşünülen saldırganlar, akıllı sözleşme mantığını kullanarak platformun çoklu imzalı soğuk cüzdanındaki paraları çekti.