Un pirate informatique a dérobé plus de 49 millions de dollars en USDC à la banque de stablecoins Infini. Cette faille pourrait être due à un accès privilégié à untracintelligent, le développeur ayant conservé cet accès après la livraison à Infini.
Un accès administrateur à untracintelligent a permis à un pirate de dérober 49 millions de dollars au protocole Infini, une banque DeFi des stablecoins. Infini n'a pas encore réagi à cette faille de sécurité ni fourni d'explications sur la nature du piratage. Infini est un émetteur de cartes crypto qui utilise des stablecoins comme garantie pour effectuer des paiements quotidiens.
Infini a présenté ses services de paiement comme une néobanque, mêlant cryptomonnaies et finance traditionnelle. Le produit a attiré 500 % d'utilisateurs supplémentaires ces dernières semaines, suite au lancement de ses campagnes de cartes. La néobanque propose également des produits à haut rendement, ce qui accroît la liquidité disponible pour les utilisateurs.
Ce sont précisément les produits de rendement qui ont permis cette exploitation, des fonds ayant été dérobés dans le coffre-fort USDC habituel de Morpho MEV Capital. Morpho n'a émis aucun avertissement ni signalé de perte de fonds.
transaction de baleine d'apparence normale , au cours de laquelle un nouveau portefeuille a retiré tous les fonds bloqués dans le contrat trac Le portefeuille de l'attaquant était connu d'Infini, car le projet aurait ordonné à l'attaquant de créer le contrat intelligent trac À l'insu du projet, l'attaquant conservait des droits d'administrateur et pouvait donc ordonner le retrait de toutes les liquidités.
🚨ALERTE🚨Aujourd'hui, @0xinfini a subi une perte de 49 millions de dollars en USDC suite à une exploitation abusive de privilèges d'administrateur par un attaquant.
L'attaquant, opérant depuis l'adresse 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1, avait initialement développé le contrat trac le cadre du projet Infini. Cependant, après… pic.twitter.com/olguOyNCJr
— 🚨 Alertes Cyvers 🚨 (@CyversAlerts) 24 février 2025
L'action immédiate du pirate a consisté à convertir ses USDC en ETH pour en acheter 17 696. Il a utilisé le DAI, disponible via des protocoles décentralisés. Les fonds ont transité par Uniswap, Sky Protocol et 0x Protocol. Cette conversion rapide des USDC a permis au pirate de transférer les fonds vers l'ETH, qui ne peut être gelé mais seulement bloqué sur les plateformes d'échange.
L'attaquant a ensuite divisé le butin en plusieurs sommes et les a réparties sur différentes adresses. Il a utilisé un nouveau portefeuille pour envoyer une petite quantité d'ETH afin de couvrir les frais de transaction. Le financement initial de ce portefeuille provenait de Tornado Cash, masquant ainsi une partie de la présence du pirate sur la blockchain.
Par la suite, les ETH ont été transférés en plusieurs étapes. Au moment de la rédaction de ce document, les fonds n'étaient toujours pas mélangés.
Les pirates informatiques nord-coréens ont-ils frappé à nouveau ?
L'dentdu créateur dutracreste inconnue, car Infini n'a pas révélé qui a reçu l'ordre de construire letracintelligent.
Le piratage d'Infini fait suite à la plus importante attaque de 2025, au cours de laquelle la plateforme d'échange Bybit a perdu jusqu'à 1,5 milliard de dollars en Ethereum (ETH). Le pirate de Bybit a utilisé une méthode similaire, consistant à fractionner les ETH avant de les mélanger. L'enquêteur on-chain ZachXBT a relevé plusieurs exemples montrant que cette approche est l'une des techniques caractéristiques du groupe de pirates Lazarus. Pour l'instant, Infini n'a relié aucun des portefeuilles du pirate à d'autres adresses connues de Lazarus.
Cette fois-ci, aucune clé privée n'a fuité et Infini n'a pas interrompu les retraits et les dépôts.
Le fondateur d'Infini, @christianeth, a assumé l'entière responsabilité de la faille, reconnaissant sa négligence lors du transfert d'autorisation du développeur au projet. Il a rassuré les utilisateurs quant à la liquidité du protocole et a promis une compensation intégrale en cas de problème.
« Ma clé privée personnelle n'a pas fuité, il n'y a donc pas lieu de s'inquiéter outre mesure. J'ai été négligent lors du transfert d'autorisation précédent. C'est entièrement de ma responsabilité. Cela a donné l'alerte… Il n'y a aucun problème de liquidités. Une compensation intégrale peut être versée et les fonds sont en cours trac », a écrit @christianeth sur X.
D'autres analyses de la blockchain révèlent une possible fuite de clé privée, permettant au pirate d'accéder au contrat trac PeckShield a indiqué que l'ingénieur devenu pirate a été identifié . Après l'attaque, l'une des cofondatrices d'Infini, @0xsexybanana, a supprimé dent compte X. Ce vol est suspecté d'être une attaque interne, car l'ingénieur bénéficiait d'une confiance suffisante pour créer un contrat trac .
Les récentes manipulations et l'accumulation d'ETH ont soulevé la question de l'utilisation de la blockchain pour le blanchiment d'argent et le financement potentiel de régimes hostiles. Parallèlement, ces manipulations ont provoqué une légère hausse du cours de l'ETH, qui a dépassé les 2 800 $ pour la première fois depuis des semaines. Les pertes d'ETH ont contraint les plateformes d'échange à reconstituer leurs réserves, ce qui a engendré une demande supplémentaire.
