인피니(Infini)는 약 168일 전 4,950만 달러 상당의 취약점을 이용해 이득을 취한 공격자에게 화이트햇(White Hat) 제안을 했습니다. 공격자가 훔친 금액의 80%를 반환하는 조건으로 trac 중단하겠다고 밝혔습니다
해당 금액의 20%를 받았다면 해커는 여전히 상당한 액수인 990만 달러를 손에 넣을 수 있었을 것입니다. 하지만 이 기사가 발행되는 시점까지 해커는 이 제안을 받아들이지 않았습니다. 이 제안은 2025년 8월 13일 20시(GMT+8)에 만료될 예정이어서, 이 소식이 다시 인터넷에서 화제가 되고 있습니다.
해커는 법적 처벌을 받기까지 50시간도 채 남지 않았습니다
인피니 창립자 크리스티안 리는 이번dent이후 전문성과 공감 능력을 인정받아 찬사를 받았으며, 팀이 적극적으로dent을 조사하고 trac중이라고 커뮤니티에 안심시켰습니다. 그는 또한 사용자 출금에는 차질이 없으며 최악의 경우에도 전액 보상이 이루어질 것이라고 밝혔습니다.
크리스천은 또한 해킹 용의자의 컴퓨터 위치를 파악하여 경찰에 신고했다고 밝혔습니다.
인피니는 블록체인 메시지를 통해 해커에게 "해당 주소를 면밀히 모니터링하고 있으며, 필요한 경우 도난당한 자금을 즉시 동결하는 조치를 취할 준비가 되어 있다"고 알렸습니다
"이 문제를 원만하게 해결하기 위해, 만약 귀하께서 자금을 반환하시기로 선택하신다면 도난당한 자산의 20%를 드리겠습니다."라고 촉구했습니다 .
지난 2월, 인피니는 가해자에게 48시간 이내에 "신속한 해결을 위한 조치를 취하라"고 요구하며, 응답이 없을 경우 사법 당국과 협력하여 자체 조사를 계속 진행할 것이라고 밝혔습니다.
해당 제안은 무시되었고, 2025년 3월 4일에 두 번째 메시지가 전송되었습니다. 이 메시지에서는 화이트햇 해커의 제안을 재차 강조하며, 해당 공격을 실행하는 데 필요한 기술을 인정하고 자금을 반환해 줄 것을 촉구했습니다.
인피니는 2025년 8월 11일, 해커에게 2025년 8월 13일 20시(GMT+8)까지 4,950만 달러 전액을 반환하라는 최후통첩을 발표했는데, 이는 아마도 마지막일 것이다.
인피니는 해커가 동의할 경우, 화이트햇 해커 보상금으로 모든 수익을 보유하고 추가적인 법적 조치를 취하지 않겠다는 서면 확약을 받을 수 있다고 밝혔습니다. 그러나 동의하지 않을 경우 법적 문제가 발생할 수 있는데, 인피니는 이미 홍콩 개발자 첸 산쉬안과 해당 취약점과 관련된 dent
최초 취약점 공격 발생 원인
보도에 따르면 해당 공격은 2월 24일에 발생했으며, 이로 인해 인피니는 4,900만 달러(USDC)의 손실을 입었습니다. 공격자들은 비밀리에 보유해 온 관리자 권한을 악용한 것으로 알려졌습니다.
0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1 주소에서 활동하는 공격자는 처음에 인피니 프로젝트의 일환으로 해당trac을 개발했습니다.
그러나 그들은 납품 후에도 비밀리에 권리를 보유했고, 약 100일 후 (Tornado Cash , 가스 비용으로 소량의 이더리움(ETH) 거래를 보낸 후, 계약을 악용하여 trac 만 달러(11,455,666 USDC와 38,060,996 USDC)를 두 차례에 걸쳐 빼돌렸습니다.
이번 공격은 바이빗(Bybit) 이 해커에게 이더리움 콜드월렛을 빼앗기고 약 15억 달러 상당의 자산을 탈취당한 사건 이후에 발생했으며, 이는 암호화폐 업계 최대 규모의 해킹 사건으로 기록되었습니다.
네오뱅크 설립자인 크리스티안 리는 개인 자금으로 손실액 전액을 변상하겠다고 약속하며 이번dent에 대한 책임을 인정했습니다.
이제 시간이 거의 다 되면서 많은 사람들이 상황을 주시하며 해커가 제안을 받아들일지 아니면 끝까지 버틸지 지켜보고 있습니다.
