Un hacker ha svuotato oltre $ 49 milioni in USDC dalla Banca Infini Stablecoin. L'exploit può essere dovuto all'accesso insider a unatracintelligente, in cui lo sviluppatore ha mantenuto l'accesso dopo aver consegnato a Infini.
L'accesso amministrativo a unatracintelligente ha permesso a un sfruttatore di drenare $ 49 milioni dal protocollo Infini, una banca DeFi StableCoin. Infini stesso non ha reagito all'exploit o ha spiegato la natura dell'hack. Infini è un emittente di Crypto Card, che prende la garanzia di StableCoin per eseguire pagamenti giornalieri.
Infini pubblicizzò i suoi servizi di pagamento come una neobanca, mescolando criptovaluta e finanza tradizionale. Il prodotto ha attirato il 500% in più di utenti nelle ultime settimane, quando ha iniziato le sue campagne di carte. Il Neobank offre anche prodotti di guadagno ad alto rendimento, portando ad un aumento della liquidità disponibile per lo sfruttatore.
Sono stati precisamente i prodotti di rendimento che hanno creato le condizioni per l'exploit, poiché secondo quanto riferito sono stati prelevati dal solito cassa di USDC Morpho MeV. Morpho non ha emesso avvertimenti o segnalato fondi persi.
transazione di balena dall'aspetto regolare , in cui un nuovo portafoglio ha ritirato tutti i fondi bloccato nella trac . Il portafoglio dell'attaccante era noto a Infini, poiché secondo quanto riferito il progetto ha ordinato allo sfruttatore di creare la Contrac trac . Sconosciuto al progetto, l'attaccante ha mantenuto i diritti di amministrazione e potrebbe effettuare la chiamata per drenare tutta la liquidità.
🚨arert🚨today, @0xinfini ha subito un USDC da a causa di un utente malintenzionato che ha abusato di privilegi amministrativi trattenuti.
L'attaccante, che opera da 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1, aveva inizialmente sviluppato il contrazione trac parte del progetto Infini. Tuttavia, dopo ... pic.twitter.com/olguoyncjr
- 🚨 Avvisi dei paper 🚨 (@Cyversalerts) 24 febbraio 2025
L'azione immediata dello sfruttatore è stata quella di scambiare da USDC per acquistare 17.696 ETH. Lo sfruttatore attraversò Dai, che era disponibile attraverso protocolli decentralizzati. I fondi si sono spostati attraverso UnisWAP, Sky Protocol e 0x Protocol. Scambiando da USDC il più velocemente possibile ha permesso all'hacker di spostare i fondi in ETH, che non può essere congelato, solo nella lista nera dagli scambi.
Successivamente, l'attaccante ha diviso i proventi in somme più piccole e più indirizzi. Lo sfruttatore ha utilizzato un nuovo portafoglio per inviare una piccola quantità di ETH per il gas e completare la transazione. Il finanziamento iniziale per il portafoglio proveniva da Tornado Cash, velando una parte della presenza in catena dell'hacker.
Successivamente, l'ETH è stato spostato attraverso una serie di trasferimenti. Al momento della stesura, i fondi non erano ancora miscelati.
Gli hacker di DPRK hanno colpito di nuovo?
Ladentdel Creatore ditracrimane sconosciuta, poiché Infini non ha rivelato chi è stato ordinato di costruire latracSmart.
L'hack di Infini segue la più grande exploit del 2025, dove lo scambio BYBIT ha perso fino a $ 1,5 miliardi in Ethereum (ETH). L'hacker Bybit aveva un approccio simile di dividere ETH prima di mescolare. L'investigatore su catena ZachXBT ha sottolineato più esempi che questo approccio è una delle mosse di firma del gruppo Hacker Lazzaro. Per ora, Infini non ha collegato nessuno dei portafogli dello sfruttatore ad altri indirizzi di Lazzaro noti.
Questa volta, nessuna chiavi private è stata trapelata e Infini non ha fermato i prelievi e i depositi.
Il fondatore di Infini, @christianeth, si è assunto la piena responsabilità per l'exploit, affermando che era negligente nel processo di trasferimento dell'autorità dallo sviluppatore al progetto. Il fondatore ha rassicurato gli utenti che il protocollo rimane liquido e emetterà una compensazione completa nello scenario peggiore.
“ La mia chiave privata personale non è stata trapelata, quindi non c'è bisogno di preoccuparsi troppo. Ero negligente quando trasferì l'autorità prima. Alla fine è mia responsabilità. Questo ha suonato l'allarme ... non ci sono problemi con la liquidità. Il compenso completo può essere pagato e i fondi vengono trac ”, ha scritto @christianeth su X.
Un'altra analisi in catena mostra una potenziale perdita di chiave privata, che ha permesso all'hacker l'accesso al Contrac trac . che l'ingegnere trasformato è dent intaccato . Dopo l'attacco, uno dei co-fondatori di Infini, @0xsexybanana, ha eliminato il suo account X. L'attuale rapina è un sospetto attacco da parte di un insider, poiché l'ingegnere era abbastanza affidabile per creare una conversazione trac .
I recenti exploit e l'accumulo di ETH hanno sollevato la questione dell'utilizzo della catena per il riciclaggio di denaro e il finanziamento del regime potenzialmente ostile. Allo stesso tempo, gli exploit hanno catalizzato una piccola manifestazione ETH, in cui l'attività è salita per la prima volta per la prima volta in settimane. Le perdite ETH significavano che gli scambi dovevano recuperare le loro riserve, portando a una domanda aggiuntiva.
Chiave Difference Wire aiuta i marchi crittografici a sfondare e dominare i titoli velocemente
