La startup fintech di Hong Kong Infini estende l'offerta white hat a un hacker da 49,5 milioni di dollari

Infini ha esteso un'offerta "white hat" all'autore della minaccia che circa 168 giorni fa si è impossessato di 49,5 milioni di dollari in un exploit. Ora, l'azienda afferma che interromperà ogni trace azione legale a condizione che l'autore dell'exploit restituisca l'80% dei fondi rubati. 

Il 20% di tale importo avrebbe fruttato all'hacker una cifra comunque considerevole, pari a 9,9 milioni di dollari. Tuttavia, al momento della pubblicazione, l'hacker non l'ha accettata. L'offerta scadrà il 13 agosto 2025, alle 20:00 GMT+8, motivo per cui la notizia sta di nuovo circolando sul web.

L'hacker ha meno di 50 ore prima di dover affrontare conseguenze legali

Il fondatore di Infini, Christian Li, ha ricevuto elogi per la sua professionalità ed empatia sindent, rassicurando la comunità che il team sta indagando e tracattivamente l'dent. Ha inoltre affermato che i ritiri degli utenti rimangono invariati e che, nel peggiore dei casi, verrà erogato un risarcimento completo.

Christian ha poi rivelato che il computer del presunto hacker era stato localizzato e segnalato alla polizia.

In un messaggio blockchain, Infini ha informato l'hacker che sta "monitorando attentamente l'indirizzo coinvolto ed è pronta ad agire immediatamente per congelare eventuali fondi rubati, se necessario"

"Nel tentativo di risolvere la questione in modo amichevole, siamo disposti a offrirvi il 20% dei beni rubati qualora decidiate di restituire i fondi", si legge nel comunicato.

A febbraio, Infini ha concesso al colpevole 48 ore per "facilitare una rapida risoluzione", promettendo che la mancata risposta l'avrebbe costretta a proseguire le indagini in collaborazione con le forze dell'ordine.

L'offerta venne ignorata e il 4 marzo 2025 venne inviato un secondo messaggio, in cui si ribadiva l'offerta white-hat, si riconoscevano le competenze necessarie per portare a termine l'impresa e si sollecitava la restituzione dei fondi.

Infini ha emesso il suo ultimo e presumibilmente ultimo ultimatum l'11 agosto 2025, dando all'hacker tempo fino al 13 agosto 2025, ore 20:00 GMT+8, per restituire l'intera somma di 49,5 milioni di dollari.

Se l'hacker acconsentisse, Infini afferma di poter trattenere eventuali profitti come ricompensa white-hat e di ricevere una garanzia scritta di non intraprendere ulteriori azioni legali. Tuttavia, il mancato rispetto di questa regola comporterebbe conseguenze legali, poiché l'azienda ha già intentato una causa a Hong Kong contro lo sviluppatore Chen Shanxuan e tre individui nondentcollegati all'exploit.

Come è avvenuto l'exploit originale

L'attacco sarebbe avvenuto il 24 febbraio, costando a Infini 49 milioni di dollari in dollari statunitensi. Secondo quanto riportato, i criminali avrebbero abusato dei privilegi amministrativi che avevano segretamente mantenuto.

L'aggressore, operando da 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1, ha inizialmente sviluppato iltraccome parte del progetto Infini.

Tuttavia, dopo la consegna, hanno segretamente mantenuto i diritti e circa cento giorni dopo, hanno finanziato il loro indirizzo tramite Tornado Cash, inviato una piccola transazione ETH per il gas e sfruttato il contrattotracprosciugando i 49,5 milioni di dollari in due tranche, 11.455.666 USDC e 38.060.996 USDC.

L'attacco informatico ha fatto seguito a da Bybit, in cui il secondo exchange di criptovalute per volume di scambi ha perso il suo cold wallet di Ether, rubato da un hacker che si è appropriato di quasi 1,5 miliardi di dollari in quello che è stato definito il più grande attacco informatico nella storia delle criptovalute.

Il fondatore della neobanca, Christian Li, ha promesso di coprire l'intera perdita con i suoi fondi personali e si è assunto la responsabilitàdent.

Ora che il tempo sta per scadere, molti occhi sono puntati sulla situazione, in attesa di vedere se l'hacker accetterà l'offerta o rimarrà testardo fino alla fine.