El banco DeFi estable Infini sufre una vulnerabilidad de $49 millones después de que un atacante retuviera el control a nivel de administrador

Un hacker robó más de $49 millones en USDC del banco de la stablecoin Infini. El exploit podría deberse a un acceso interno a untracinteligente, donde el desarrollador conservó el acceso tras la entrega a Infini. 

El acceso de administrador a untracinteligente permitió a un atacante extraer 49 millones de dólares del protocolo Infini, un banco DeFi con stablecoins. Infini no ha reaccionado al exploit ni ha explicado la naturaleza del ataque. Infini es un emisor de tarjetas de criptomonedas que utiliza stablecoins como garantía para realizar pagos diarios. 

Infini promocionó sus servicios de pago como un neobanco, que combina criptomonedas y finanzas tradicionales. El producto atrajo un 500% más de usuarios en las últimas semanas, con el lanzamiento de sus campañas de tarjetas. El neobanco también ofrece productos de alto rendimiento, lo que aumenta la liquidez disponible para el explotador.

Fueron precisamente los productos de rendimiento los que propiciaron el exploit, ya que, según se informa, se sustrajeron de la bóveda habitual de USDC de Morpho MEV Capital. Morpho no ha emitido ninguna advertencia ni reportado la pérdida de fondos.

La vulnerabilidad se detectó tras una transacción aparentemente normal con un gran inversor , en la que una nueva billetera retiró todos los fondos bloqueados en el contratotracInfini conocía la billetera del atacante, ya que, según se informa, el proyecto le ordenó crear el contrato inteligentetracSin que el proyecto lo supiera, el atacante conservaba derechos de administrador y podía ordenar el vaciado total de la liquidez. 

🚨ALERTA🚨Hoy, @0xinfini sufrió una vulnerabilidad de $49 millones en $USDC debido a que un atacante abusó de privilegios administrativos retenidos.

El atacante, que operaba desde 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1, había desarrollado inicialmente el contratotracparte del proyecto Infini. Sin embargo, después… pic.twitter.com/olguOyNCJr

— 🚨 Alertas de Cyvers 🚨 (@CyversAlerts) 24 de febrero de 2025

La acción inmediata del atacante fue cambiar USDC para comprar 17,696 ETH. El atacante utilizó DAI, disponible a través de protocolos descentralizados. Los fondos se movieron a través de Uniswap, Sky Protocol y 0x Protocol. Cambiar USDC lo más rápido posible le permitió al hacker transferir fondos a ETH, que no puede congelarse, solo bloquearse en las plataformas de intercambio.

Después, el atacante dividió las ganancias en sumas más pequeñas y en múltiples direcciones. El explotador usó una nueva billetera para enviar una pequeña cantidad de ETH a cambio de gas y completar la transacción. La financiación inicial de la billetera provino de Tornado Cash, lo que ocultó parte de la presencia del hacker en la cadena.

Posteriormente, el ETH se transfirió mediante una serie de transferencias. Al momento de escribir este artículo, los fondos aún no estaban mezclados. 

¿Los hackers de la RPDC atacaron de nuevo?

Ladentdel creador deltracsigue siendo desconocida, ya que Infini no ha revelado a quién se le ordenó construir eltracinteligente. 

El ataque a Infini se produce tras la mayor explotación de 2025, en la que el exchange Bybit perdió hasta 1.500 millones de dólares en Ethereum (ETH). El hacker de Bybit empleó un método similar: dividir el ETH antes de mezclarlo. El investigador de la cadena de bloques ZachXBT ha señalado varios ejemplos que demuestran que este método es una de las tácticas características del grupo de hackers Lazarus. Por el momento, Infini no ha vinculado ninguna de las carteras del atacante con otras direcciones conocidas de Lazarus. 

Esta vez, no se filtraron claves privadas e Infini no ha detenido los retiros y depósitos. 

El fundador de Infini, @christianeth, asumió toda la responsabilidad del exploit, alegando negligencia en el proceso de transferencia de autoridad del desarrollador al proyecto. El fundador aseguró a los usuarios que el protocolo mantiene su liquidez y que, en el peor de los casos, emitirá una compensación completa. 

“Mi clave privada personal no se ha filtrado, así que no hay de qué preocuparse demasiado. Fui negligente al transferir la autoridad anteriormente. En última instancia, es mi responsabilidad. Esto ha hecho sonar la alarma… No hay problema de liquidez. Se puede pagar la compensación completa y se está trac”, escribió @christianeth en X.

Otros análisis en la cadena de bloques muestran una posible fuga de clave privada, lo que permitió al hacker acceder al contratotracPeckShield señaló que el ingeniero convertido en hacker ha sido identificadodenteliminó. Tras el ataque, una de las cofundadoras de Infini, @0xsexybanana, su inteligentetrac. 

Las recientes vulnerabilidades y el acaparamiento de ETH plantearon la cuestión del uso de la cadena para el lavado de dinero y la posible financiación de regímenes hostiles. Al mismo tiempo, las vulnerabilidades catalizaron un pequeño repunte de ETH, que superó los $2,800 por primera vez en semanas. Las pérdidas de ETH obligaron a las plataformas de intercambio a recuperar sus reservas, lo que generó una mayor demanda.