Infini a proposé un arrangement à l'amiable au pirate qui a dérobé 49,5 millions de dollars lors d'une faille de sécurité il y a environ 168 jours. L'entreprise affirme désormais qu'elle abandonnerait toute trac et action en justice à condition que le pirate restitue 80 % des fonds volés.
20 % de cette somme auraient rapporté au pirate informatique la somme considérable de 9,9 millions de dollars. Cependant, à l'heure où nous écrivons ces lignes, il ne l'a pas acceptée. L'offre expire le 13 août 2025 à 20h00 GMT+8, ce qui explique pourquoi l'information circule à nouveau sur Internet.
Le pirate informatique dispose de moins de 50 heures avant d'en subir les conséquences légales
Le fondateur d'Infini, Christian Li, a été félicité pour son professionnalisme et son empathie suite à l'dent. Il a rassuré la communauté en indiquant que l'équipe enquête activement sur l'dentet tracles causes. Il a également affirmé que les retraits des utilisateurs ne sont pas affectés et qu'une compensation intégrale sera versée dans le pire des cas.
Christian a également révélé par la suite que l'ordinateur du pirate informatique présumé avait été localisé et signalé à la police.
Dans un message sur la blockchain, Infini a informé le pirate informatique qu'ils « surveillent de près l'adresse concernée et sont prêts à prendre des mesures immédiates pour geler les fonds volés si nécessaire »
« Afin de régler cette affaire à l’amiable, nous sommes disposés à vous offrir 20 % des actifs volés si vous choisissez de restituer les fonds », a-t-il insisté .
En février, Infini a donné à l'auteur des faits 48 heures pour « faciliter un règlement rapide », promettant qu'un défaut de réponse l'obligerait à poursuivre son enquête en collaboration avec les forces de l'ordre.
L'offre est restée sans réponse et un deuxième message a été envoyé le 4 mars 2025, réitérant l'offre de hacker éthique, reconnaissant les compétences nécessaires pour réaliser l'exploit et les exhortant à restituer les fonds.
Infini a émis son dernier ultimatum, vraisemblablement définitif, le 11 août 2025, donnant au pirate informatique jusqu'au 13 août 2025 à 20h00 GMT+8 pour restituer la totalité des 49,5 millions de dollars.
Si le pirate accepte, Infini précise qu'il pourra conserver les gains réalisés à titre de prime éthique et recevoir une garantie écrite de non-poursuite judiciaire. En revanche, tout refus entraînerait des poursuites judiciaires, Infini ayant déjà déposé une plainte à Hong Kong contre le développeur Chen Shanxuan et trois individus non dent liés à la faille de sécurité.
Comment s'est déroulée la faille initiale
L'attaque aurait eu lieu le 24 février et aurait coûté à Infini 49 millions de dollars américains. Selon certaines sources, les auteurs auraient abusé de privilèges d'administrateur qu'ils avaient secrètement conservés.
L'attaquant, opérant depuis 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1, a initialement développé letracdans le cadre du projet Infini.
Cependant, après la livraison, ils ont secrètement conservé les droits et, une centaine de jours plus tard, ont approvisionné leur adresse via Tornado Cash , envoyé une petite transaction ETH pour les frais de gaz et exploité le contrat trac drainant les 49,5 millions de dollars en deux lots, 11 455 666 USDC et 38 060 996 USDC.
Cette attaque a suivi le piratage de Bybit , qui a vu la deuxième plus grande plateforme d'échange de cryptomonnaies en termes de volume de transactions perdre son portefeuille froid Ether au profit d'un pirate informatique qui a dérobé près de 1,5 milliard de dollars dans ce qui a été qualifié de plus grande attaque de l'histoire des cryptomonnaies.
Le fondateur de la néobanque, Christian Li, a juré de couvrir la totalité des pertes sur ses fonds personnels et a assumé la responsabilité de l'dent.
Alors que le temps presse, tous les regards sont tournés vers la situation, attendant de voir si le pirate informatique acceptera l'offre ou restera obstiné jusqu'au bout.
