Die Stablecoin- DeFi Bank Infini erlitt einen Schaden von 49 Millionen US-Dollar, nachdem ein Angreifer Administratorrechte erlangt hatte

Ein Hacker hat über 49 Millionen US-Dollar in USDC von der Stablecoin-Bank Infini abgehoben. Die Sicherheitslücke könnte auf Insiderzugriff auf einen Smarttraczurückzuführen sein, bei dem der Entwickler auch nach der Lieferung an Infini weiterhin Zugriff darauf hatte. 

Durch den Zugriff auf einen Smarttrackonnte ein Angreifer 49 Millionen US-Dollar vom Infini-Protokoll, einer Stablecoin DeFi Bank, abziehen. Infini selbst hat bisher weder auf den Vorfall reagiert noch die Art des Hacks erläutert. Infini ist ein Emittent von Kryptokarten und akzeptiert Stablecoins als Sicherheit für tägliche Zahlungen. 

Infini bewarb seine Zahlungsdienste als Neobank, die Krypto- und traditionelle Finanzdienstleistungen miteinander verbindet. Das Produkt verzeichnete in den letzten Wochen, seit dem Start der Kartenkampagnen, einen Nutzerzuwachs von 500 %. Die Neobank bietet zudem Produkte mit hohen Renditen an, was zu einer Erhöhung der verfügbaren Liquidität für die Anbieter führt.

Es waren gerade die Renditeprodukte, die die Voraussetzungen für den Angriff schufen, da Berichten zufolge Gelder entnommen . Morpho hat weder Warnungen herausgegeben noch Verluste gemeldet.

Der Exploit wurde nach einer scheinbar normalen Transaktion, bei der ein neues Wallet alle im Vertrag gesperrten Gelder abhobtracDas Wallet des Angreifers war Infini bekannt, da das Projekt den Angreifer angeblich angewiesen hatte, den Smart Contract zu erstellentracDem Projekt war nicht bekannt, dass der Angreifer Administratorrechte behielt und die gesamte Liquidität abziehen konnte. 

🚨WARNUNG🚨Heute wurde @0xinfini Opfer eines Angriffs, bei dem durch Missbrauch von Administratorrechten ein Schaden von 49 Millionen US-Dollar (USDC) entstanden ist

Der Angreifer, der von der IP-Adresse 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1 aus operierte, hatte den Vertrag ursprünglich im Rahmen des Infini-Projekts entwickelttracDoch dann… pic.twitter.com/olguOyNCJr

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) 24. Februar 2025

Der Angreifer tauschte umgehend USDC gegen 17.696 ETH. Er nutzte dafür DAI, das über dezentrale Protokolle verfügbar ist. Die Gelder flossen über Uniswap, Sky Protocol und 0x Protocol. Durch den schnellen Tausch von USDC konnte der Hacker die Gelder in ETH transferieren, die nicht eingefroren, sondern lediglich von Börsen gesperrt werden können.

Anschließend teilte der Angreifer die Beute in kleinere Summen auf und verteilte sie an mehrere Adressen. Der Angreifer nutzte eine neue Wallet, um eine kleine Menge ETH für die Transaktionsgebühren zu senden und die Transaktion abzuschließen. Die anfängliche Finanzierung der Wallet erfolgte über Tornado Cash, wodurch ein Teil der On-Chain-Präsenz des Hackers verschleiert wurde.

Anschließend wurde das ETH-Guthaben in mehreren Transaktionen transferiert. Zum Zeitpunkt der Erstellung dieses Berichts waren die Gelder noch nicht vermischt. 

Haben nordkoreanische Hacker erneut zugeschlagen?

Diedentdestracbleibt unbekannt, da Infini nicht preisgegeben hat, wer den Auftrag zum Bau des Smarttracerhalten hat. 

Der Infini-Hack folgt dem größten Hack des Jahres 2025, bei dem die Bybit-Börse im Wert von bis zu 1,5 Milliarden US-Dollar verlor Ethereum . Der Bybit-Hacker ging ähnlich vor, indem er ETH vor dem Mischen aufteilte. Der On-Chain-Ermittler ZachXBT hat mehrere Beispiele dafür aufgezeigt, dass diese Vorgehensweise zu den typischen Manövern der Hackergruppe Lazarus gehört. Bislang hat Infini keine Verbindung zwischen den Wallets des Angreifers und anderen bekannten Lazarus-Adressen hergestellt. 

Dieses Mal wurden keine privaten Schlüssel durchgesickert, und Infini hat weder Ein- noch Auszahlungen gestoppt. 

Der Gründer von Infini, @christianeth, übernahm die volle Verantwortung für die Sicherheitslücke und gab zu, bei der Übertragung der Berechtigungen vom Entwickler an das Projekt fahrlässig gehandelt zu haben. Er versicherte den Nutzern, dass das Protokoll weiterhin liquide sei und im schlimmsten Fall eine vollständige Entschädigung geleistet werde. 

„Mein persönlicher privater Schlüssel wurde nicht offengelegt, daher besteht kein Grund zur Sorge. Ich habe bei der vorherigen Übertragung der Berechtigungen fahrlässig gehandelt. Es ist letztendlich meine Verantwortung. Dies hat Alarm ausgelöst… Es gibt kein Liquiditätsproblem. Die volle Entschädigung kann gezahlt werden und die Gelder werden trac“, schrieb @christianeth auf X.

Weitere On-Chain-Analysen deuten auf ein mögliches Leck des privaten Schlüssels hin, wodurch der Hacker Zugriff auf den Vertrag erlangtetracPeckShield gab bekannt, dass der zum Hacker gewordene Ingenieur wurdedentidentifiziert. eine der Infini-Mitbegründerinnen, @0xsexybanana, löschte zu erstellentrac. 

Die jüngsten Vorfälle und die Hortung von ETH warfen die Frage auf, ob die Blockchain zur Geldwäsche und möglicherweise zur Finanzierung feindlicher Regime missbraucht werden könnte. Gleichzeitig lösten diese Vorfälle eine kleine ETH-Rallye aus, bei der der Kurs erstmals seit Wochen die Marke von 2.800 US-Dollar überschritt. Die Kursverluste zwangen die Börsen, ihre Reserven wieder aufzufüllen, was zu einer erhöhten Nachfrage führte.