La banca DeFi stablecoin Infini subisce un exploit da 49 milioni di dollari dopo che un aggressore mantiene il controllo a livello di amministratore

Un hacker ha sottratto oltre 49 milioni di dollari in USDC dalla stablecoin bancaria Infini. L'exploit potrebbe essere dovuto all'accesso interno a uno smarttrac, a cui lo sviluppatore ha mantenuto l'accesso dopo la consegna a Infini. 

L'accesso amministrativo a uno smarttracha permesso a un hacker di sottrarre 49 milioni di dollari al protocollo Infini, una banca DeFi stablecoin. Infini stessa non ha reagito all'exploit né ha spiegato la natura dell'attacco. Infini è un emittente di carte crittografiche che accetta garanzie in stablecoin per effettuare pagamenti giornalieri. 

Infini ha pubblicizzato i suoi servizi di pagamento come una neobank, unendo criptovalute e finanza tradizionale. Il prodotto ha attirato il 500% di utenti in più nelle ultime settimane, con l'avvio delle campagne di emissione di carte. La neobank offre anche prodotti ad alto rendimento, con conseguente aumento della liquidità disponibile per l'operatore.

Sono stati proprio i prodotti a rendimento a creare le condizioni per l'exploit, poiché i fondi sarebbero stati prelevati dal caveau USDC di Morpho MEV Capital Usual. Morpho non ha emesso alcun avviso né segnalato perdite di fondi.

La falla è stata rilevata dopo una transazione apparentemente normale effettuata da un grande detentore di fondi (whale) , in cui un nuovo portafoglio ha prelevato tutti i fondi bloccati nel contrattotracIl portafoglio dell'attaccante era noto a Infini, poiché il progetto avrebbe incaricato l'autore della falla di creare lo smart contracttracAll'insaputa del progetto, l'attaccante manteneva i diritti di amministratore e poteva quindi procedere al prelievo di tutta la liquidità. 

🚨ATTENZIONE🚨Oggi, @0xinfini ha subito una perdita di $ USDC pari a 49 milioni di dollari a causa di un attacco in cui un utente malintenzionato ha abusato dei privilegi amministrativi mantenuti.

L'attaccante, operante da 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1, aveva inizialmente sviluppato il contrattotracparte del progetto Infini. Tuttavia, dopo… pic.twitter.com/olguOyNCJr

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) 24 febbraio 2025

L'azione immediata dell'hacker è stata quella di effettuare uno swap su USDC per acquistare 17.696 ETH. L'hacker ha utilizzato DAI, disponibile tramite protocolli decentralizzati. I fondi sono stati trasferiti tramite Uniswap, Sky Protocol e 0x Protocol. Uscire da USDC il più rapidamente possibile ha permesso all'hacker di trasferire i fondi in ETH, che non può essere congelato, ma solo inserito nella blacklist degli exchange.

Successivamente, l'aggressore ha suddiviso i proventi in somme più piccole e ha assegnato più indirizzi. L'aggressore ha utilizzato un nuovo portafoglio per inviare una piccola quantità di ETH in cambio di carburante e completare la transazione. Il finanziamento iniziale per il portafoglio proveniva da Tornado Cash, nascondendo in parte la presenza on-chain dell'hacker.

Successivamente, l'ETH è stato trasferito attraverso una serie di trasferimenti. Al momento in cui scriviamo, i fondi non erano ancora stati mischiati. 

Gli hacker della RPDC hanno colpito di nuovo?

L'dentdel creatore deltracrimane sconosciuta, poiché Infini non ha rivelato a chi è stato ordinato di realizzare lo smarttrac. 

L'attacco hacker a Infini segue il più grande exploit del 2025, in cui l' exchange Bybit ha perso fino a 1,5 miliardi di dollari in Ethereum (ETH). L'hacker di Bybit ha utilizzato un approccio simile, dividendo gli ETH prima di mescolarli. L'analista on-chain ZachXBT ha evidenziato diversi esempi che dimostrano come questo approccio sia una delle mosse distintive del gruppo di hacker Lazarus. Al momento, Infini non ha collegato nessuno dei wallet dell'hacker ad altri indirizzi noti di Lazarus. 

Questa volta non sono trapelate chiavi private e Infini non ha interrotto prelievi e depositi. 

Il fondatore di Infini, @christianeth, si è assunto la piena responsabilità dell'exploit, affermando di essere stato negligente nel processo di trasferimento dell'autorità dallo sviluppatore al progetto. Il fondatore ha rassicurato gli utenti che il protocollo rimane liquido e che, nel peggiore dei casi, provvederà a un risarcimento completo. 

“La mia chiave privata personale non è stata divulgata, quindi non c'è bisogno di preoccuparsi troppo. Sono stato negligente nel trasferimento dell'autorità in precedenza. In definitiva, la responsabilità è mia. Questo ha fatto scattare l'allarme... Non ci sono problemi di liquidità. Il risarcimento completo può essere pagato e i fondi sono trac”, ha scritto @christianeth su X.

Un'altra analisi on-chain mostra una potenziale fuga di dati di chiave privata, che ha consentito all'hacker di accedere al contrattotracPeckShield ha osservato che l'ingegnere trasformatosi in hacker è stato .denthaDopo l'attacco, uno dei co-fondatori di Infini, @0xsexybanana, cancellato il suo account X. L'attuale furto è sospettato di un attacco interno, poiché l'ingegnere era abbastanza affidabile da creare uno smarttrac. 

I recenti exploit e l'accaparramento di ETH hanno sollevato il problema dell'utilizzo della blockchain per il riciclaggio di denaro e il finanziamento di regimi potenzialmente ostili. Allo stesso tempo, gli exploit hanno catalizzato un piccolo rialzo di ETH, che ha superato i 2.800 dollari per la prima volta in settimane. Le perdite di ETH hanno costretto gli exchange a recuperare le proprie riserve, generando una domanda aggiuntiva.