Un hacker ha sottratto oltre 49 milioni di dollari in USDC dalla stablecoin bancaria Infini. L'exploit potrebbe essere dovuto all'accesso interno a uno smarttrac, a cui lo sviluppatore ha mantenuto l'accesso dopo la consegna a Infini.
L'accesso amministrativo a uno smarttracha permesso a un hacker di sottrarre 49 milioni di dollari al protocollo Infini, una banca DeFi stablecoin. Infini stessa non ha reagito all'exploit né ha spiegato la natura dell'attacco. Infini è un emittente di carte crittografiche che accetta garanzie in stablecoin per effettuare pagamenti giornalieri.
Infini ha pubblicizzato i suoi servizi di pagamento come una neobank, unendo criptovalute e finanza tradizionale. Il prodotto ha attirato il 500% di utenti in più nelle ultime settimane, con l'avvio delle campagne di emissione di carte. La neobank offre anche prodotti ad alto rendimento, con conseguente aumento della liquidità disponibile per l'operatore.
Sono stati proprio i prodotti a rendimento a creare le condizioni per l'exploit, poiché i fondi sarebbero stati prelevati dal caveau USDC di Morpho MEV Capital Usual. Morpho non ha emesso alcun avviso né segnalato perdite di fondi.
transazione apparentemente normale , in cui un nuovo portafoglio ha prelevato tutti i fondi bloccati nel contratto trac Il portafoglio dell'attaccante era noto a Infini, poiché il progetto avrebbe ordinato allo sfruttatore di creare lo smart contract trac All'insaputa del progetto, l'attaccante manteneva i diritti di amministratore e poteva effettuare la chiamata per prosciugare tutta la liquidità.
🚨ALLERTA🚨Oggi, @0xinfini ha subito un USDC da 49 milioni di dollari a causa di un aggressore che ha abusato dei privilegi amministrativi mantenuti.
L'aggressore, operando da 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1, aveva inizialmente sviluppato il contratto trac parte del progetto Infini. Tuttavia, dopo... pic.twitter.com/olguOyNCJr
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) 24 febbraio 2025
L'azione immediata dell'hacker è stata quella di effettuare uno swap su USDC per acquistare 17.696 ETH. L'hacker ha utilizzato DAI, disponibile tramite protocolli decentralizzati. I fondi sono stati trasferiti tramite Uniswap, Sky Protocol e 0x Protocol. Uscire da USDC il più rapidamente possibile ha permesso all'hacker di trasferire i fondi in ETH, che non può essere congelato, ma solo inserito nella blacklist degli exchange.
Successivamente, l'aggressore ha suddiviso i proventi in somme più piccole e ha assegnato più indirizzi. L'aggressore ha utilizzato un nuovo portafoglio per inviare una piccola quantità di ETH in cambio di carburante e completare la transazione. Il finanziamento iniziale per il portafoglio proveniva da Tornado Cash, nascondendo in parte la presenza on-chain dell'hacker.
Successivamente, l'ETH è stato trasferito attraverso una serie di trasferimenti. Al momento in cui scriviamo, i fondi non erano ancora stati mischiati.
Gli hacker della RPDC hanno colpito di nuovo?
L'dentdel creatore deltracrimane sconosciuta, poiché Infini non ha rivelato a chi è stato ordinato di realizzare lo smarttrac.
L'attacco hacker a Infini segue il più grande exploit del 2025, in cui l' exchange Bybit ha perso fino a 1,5 miliardi di dollari in Ethereum (ETH). L'hacker di Bybit ha adottato un approccio simile, suddividendo gli ETH prima di mescolarli. L'investigatore on-chain ZachXBT ha evidenziato diversi esempi secondo cui questo approccio è una delle mosse distintive del gruppo di hacker Lazarus. Per ora, Infini non ha collegato nessuno dei wallet dell'exploiter ad altri indirizzi Lazarus noti.
Questa volta non sono trapelate chiavi private e Infini non ha interrotto prelievi e depositi.
Il fondatore di Infini, @christianeth, si è assunto la piena responsabilità dell'exploit, affermando di essere stato negligente nel processo di trasferimento dell'autorità dallo sviluppatore al progetto. Il fondatore ha rassicurato gli utenti che il protocollo rimane liquido e che, nel peggiore dei casi, provvederà a un risarcimento completo.
" La mia chiave privata personale non è trapelata, quindi non c'è motivo di preoccuparsi troppo. Sono stato negligente nel trasferire l'autorità in precedenza. In ultima analisi, la responsabilità è mia. Questo ha fatto suonare l'allarme... Non ci sono problemi di liquidità. È possibile pagare l'intero risarcimento e i fondi sono in fase trac ", ha scritto @christianeth su X.
Un'altra analisi on-chain mostra una potenziale fuga di dati di chiave privata, che ha consentito all'hacker di accedere al contratto trac PeckShield ha osservato che l'ingegnere trasformatosi in hacker è stato dent . Dopo l'attacco, uno dei co-fondatori di Infini, @0xsexybanana, ha cancellato il suo account X. L'attuale furto è sospettato di un attacco interno, poiché l'ingegnere era abbastanza affidabile da creare uno smart trac .
I recenti exploit e l'accaparramento di ETH hanno sollevato il problema dell'utilizzo della blockchain per il riciclaggio di denaro e il finanziamento di regimi potenzialmente ostili. Allo stesso tempo, gli exploit hanno catalizzato un piccolo rialzo di ETH, che ha superato i 2.800 dollari per la prima volta in settimane. Le perdite di ETH hanno costretto gli exchange a recuperare le proprie riserve, generando una domanda aggiuntiva.
