Крипто-необанк Infini подвергся взлому на 50 миллионов долларов

Криптовалютный банк Infini потерял $49,5 млн в результате взлома

Криптовалютный банк Infini потерял $49,5 млн в результате взлома, предположительно осуществленного бывшим разработчиком, злоупотребившим административными привилегиями.

По данным аналитической платформы Cyvers, злоумышленник, работавший над контрактом Infini, воспользовался своими привилегиями после завершения проекта, чтобы вывести средства с платформы.

В отчете, предоставленном Decrypt, компания QuillAudits, занимающаяся аудитом смарт-контрактов, подтвердила, что эксплойт стал результатом «взлома доступа и повышения привилегий», причем злоумышленник воспользовался брешью в приватном ключе, которая дала ему доступ к взломанной учетной записи.

«Хакер получил доступ к закрытому ключу, связанному с учетной записью «0xc4...3e1», - отмечается в отчете. «Этому счету была присвоена специальная роль (0x8e0b), которая позволяла ему выводить средства из хранилища».

🚨ALERT🚨Today, @0xinfini пострадала от эксплойта $49M $USDC из-за злоумышленника, злоупотребляющего сохраненными административными привилегиями.

Злоумышленник, действующий с адреса 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1, изначально разработал контракт в рамках проекта Infini. Однако после... pic.twitter.com/olguOyNCJr

- 🚨 Cyvers Alerts 🚨 (@CyversAlerts) 24 февраля 2025 г.

Как сообщается, хакер инициировал две транзакции - $11,45 млн в первой и $38,06 млн во второй, в результате чего общая сумма похищенных средств из хранилища Morpho MEVCapital USDC составила $49,5 млн.

Затем средства были быстро обменены с USD Coin (USDC) на Dai (DAI) и конвертированы в 17 696 ETH. Затем средства были переведены на дополнительный адрес.

После взлома Кристиан Ли, основатель Infini, написал в Twitter, чтобы признать инцидент и успокоить. Он сказал, что команда была «небрежна при передаче полномочий».

«В конечном счете, это моя вина, что мы забили тревогу», - сказал Ли. «Нет никаких проблем с ликвидностью... Полная компенсация может быть выплачена, а средства отслеживаются».

Несмотря на нарушение, Infini продолжала разрешать снятие средств. Ли заверил пользователей, что «полная компенсация может быть выплачена» в случае наихудшего сценария.

Ли выразил надежду на возврат украденных средств и предложил хакеру 20 % от украденной суммы, заверив, что в случае возврата средств никаких юридических действий предприниматься не будет.

Я знаю, что хакеры могут следить за моими твитами, поэтому вот мое искреннее послание: Я сделал все возможное, чтобы показать, что в этой индустрии еще есть хорошие, ответственные люди. Я глубоко сожалею о своих ошибках и буду работать над тем, чтобы исправить ситуацию для своих пользователей.

Я надеюсь, что есть способ восстановить то, что...

- Кристиан (Building @0xinfini) (@Christianeth) 24 февраля 2025 г.

«Мы неоднократно видели, как это происходит, но проекты по-прежнему недооценивают важность блокировки доступа», - заявили Decrypt в QuillAudits.

Отсутствие дальнейших методов обфускации означает, что украденные средства все еще можно отследить, отмечается в отчете QuillAudits.

Компания Cyvers представила анализ, в котором говорится, что хакер, сохранив права администратора, оставался незамеченным более 100 дней, а затем перевел украденные средства через Ethereum-баседний миксер монет Tornado Cash.

«Этот инцидент подчеркивает критические риски сохранения административных привилегий в смарт-контрактах», - сказал Decrypt Хакан Унал, старший блокчейн-ученый из Cyvers Ai. «В то же время, это служит серьезным напоминанием для проектов о необходимости тщательного аудита и отзыва ненужных прав после развертывания».

Через несколько часов после взлома Infini поделилась своим официальным заявлением, в котором говорится, что все транзакции, включая переводы, депозиты и снятие средств, остались незатронутыми.

«Мы глубоко сожалеем о беспокойстве, которое это вызывает - наша команда работает круглосуточно, чтобы провести расследование и обеспечить безопасность всех систем, - написала Infini в понедельник в Твиттере.

Мы знаем о сообщениях о нарушении безопасности, затронувшем Infini. Мы глубоко сожалеем, что это вызвало беспокойство - наша команда работает круглосуточно, чтобы расследовать и защитить все системы в данный момент.

Все переводы, депозиты, снятие средств и платежи остаются в нормальном режиме...

- Infini (@0xinfini) 24 февраля 2025 г.

«Это расстраивает, потому что это не новые проблемы», - сказали Decrypt сотрудники исследовательской группы QuillAudits. «Мы неоднократно видели, как это происходит, но проекты все еще недооценивают, насколько важно блокировать доступ».

Команда поделилась, что пока команды не начнут относиться к контролю доступа как к «основному приоритету безопасности», а не как к чему-то второстепенному, такие взломы будут происходить и дальше.

«Речь идет не только о более совершенных технологиях, но и о лучших привычках», - заявила исследовательская группа.

Взлом Infini последовал за крупным эксплойтом на криптовалютной бирже Bybit.В прошлую пятницу произошла масштабная потеря 1,4 миллиарда долларов в Ethereum и связанных с ним токенах, что стало одним из крупнейших взломов в истории индустрии.

Анализ цепочки показал, что за атакой стоит Lazarus Group, хакерская группа, спонсируемая северокорейским государством.

Реакция Bybit в чем-то схожа с реакцией Infini: биржа решила не закрывать доступ к снятию средств и пообещала покрыть убытки, если средства не удастся вернуть.

Взлом произошел на фоне растущей обеспокоенности по поводу безопасности в пространстве DeFi: в прошлом году было украдено криптовалют на сумму более 2,2 миллиарда долларов, и 50% похищенных средств связаны с северокорейскими хакерскими группами, согласно отчету компании Chainlalysis, занимающейся анализом блокчейна.

«Количество отдельных хакерских инцидентов выросло с 282 в 2023 году до 303 в 2024 году», - говорится в отчете.

Отредактировано Стейси Эллиотт.