스테이블코인 탈중앙화 금융 DeFi 은행 인피니(Infini)가 공격자가 관리자 권한을 확보하면서 4,900만 달러 규모의 해킹 피해를 입었습니다

한 해커가 인피니 스테이블코인 뱅크에서 4,900만 달러 이상의 USDC를 빼돌렸습니다. 이번 공격은 개발자가 인피니에 납품한 후에도 스마트trac에 대한 접근 권한을 유지한 내부자 접근 권한 때문일 가능성이 있습니다. 

스마트trac에 대한 관리자 접근 권한을 확보한 공격자는 스테이블코인 기반 DeFi 은행인 인피니 프로토콜에서 4,900만 달러를 빼돌렸습니다. 인피니는 이번 공격에 대해 아직 공식적인 입장을 밝히지 않았으며, 해킹의 구체적인 내용도 설명하지 않았습니다. 인피니는 스테이블코인을 담보로 일상 결제를 처리하는 암호화폐 카드 발급사입니다. 

인피니는 암호화폐와 전통 금융을 결합한 네오뱅크 형태의 결제 서비스를 광고했습니다. 카드 출시 캠페인을 시작하면서 지난 몇 주 동안 사용자 수가 500% 증가했습니다. 이 네오뱅크는 고수익 상품도 제공하여 악용자들이 이용할 수 있는 유동성을 늘렸습니다.

이번 해킹 사건의 발단은 바로 수익률 상품이었으며, 자금은 인출된 . Morpho는 어떠한 경고도 발표하지 않았고, 자금 손실에 대해서도 보고하지 않았습니다.

해당 취약점은 일반적인 고래 거래, 새로운 지갑에서 계약에 묶여 있던 모든 자금을 인출한 것이었습니다trac공격자의 지갑은 Infini 측에서 알고 있었는데, 프로젝트 측에서 공격자에게 스마트 계약을 생성하도록 지시한 것으로 알려졌습니다trac프로젝트 측은 알지 못했지만, 공격자는 관리자 권한을 유지하고 있었고, 모든 유동성을 빼돌릴 수 있는 권한을 가지고 있었습니다. 

🚨긴급 알림🚨오늘 @0xifini는 관리자 권한을 악용한 공격자로 인해 4,900만 달러 상당의 USDC 해킹 피해를 입었습니다

0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1 주소에서 활동하는 공격자는 처음에는trac인피니 프로젝트의 일환으로 해당 계약을 개발했습니다. 그러나 그 후 pic.twitter.com/olguOyNCJr

— 🚨 사이버스 알림 🚨 (@CyversAlerts) 2025년 2월 24일

공격자는 즉시 USDC를 17,696 ETH로 교환했습니다. 이 과정에서 탈중앙화 프로토콜을 통해 거래 가능한 DAI를 이용했습니다. 자금은 유니스왑, 스카이 프로토콜, 0x 프로토콜을 거쳐 이동했습니다. USDC를 최대한 빨리 교환함으로써 해커는 자금을 동결할 수 없고 거래소에서 블랙리스트에 등록될 뿐인 ETH로 옮길 수 있었습니다.

그 후 공격자는 수익금을 더 작은 금액으로 나누어 여러 주소로 전송했습니다. 공격자는 새로운 지갑을 사용하여 소량의 이더리움(ETH)을 가스 비용으로 보내고 거래를 완료했습니다. 해당 지갑의 초기 자금은 토네이도 캐시(Tornado Cash에서 유입되었으며, 이는 해커의 온체인 활동 일부를 은폐하는 역할을 했습니다.

그 후, ETH는 일련의 이체 과정을 거쳐 이동되었습니다. 이 글을 쓰는 시점에도 자금은 아직 혼합되지 않았습니다. 

북한 해커들이 또 공격했나요?

인피니가 스마트trac구축을 의뢰한 주체가 누구인지 밝히지 않았기 때문에trac발주자의dent은 여전히 ​​알려지지 않았습니다. 

인피니 해킹 사건은 2025년 최대 규모의 해킹 사건인 역시 이더 Ethereum 리움(ETH)을 분할한 후 믹싱하는 유사한 수법을 사용했습니다. 온체인 분석가인 ZachXBT는 이러한 방식이 라자루스(Lazarus) 해킹 그룹의 대표적인 공격 수법 중 하나라고 여러 차례 지적했습니다. 현재까지 인피니는 이번 해킹 공격자의 지갑을 다른 라자루스 관련 주소와 연결시키지는 않았습니다.  (Bybit) 해킹 사건 이후 발생했습니다. 바이빗 해킹

이번에는 개인 키가 유출되지 않았으며, 인피니는 출금과 입금을 중단하지 않았습니다. 

인피니(Infini)의 창립자 크리스티안 에트(@christianeth)는 이번 취약점 공격에 대해 전적인 책임을 지며, 개발자에서 프로젝트로의 권한 이전 과정에서의 과실을 인정했습니다. 그는 프로토콜의 유동성은 유지되고 있으며, 최악의 경우 전액 보상할 것이라고 사용자들을 안심시켰습니다. 

" 제 개인 키는 유출되지 않았으니 너무 걱정하실 필요는 없습니다. 이전에 권한 이전을 할 때 제가 부주의했습니다. 궁극적으로 제 책임입니다. 이번 일로 경각심이 생겼습니다… 유동성에는 문제가 없습니다. 전액 보상이 가능하며 자금 추적도 진행 중입니다 trac" 라고 @christianeth가 X에 글을 남겼습니다  

온체인 분석 결과, 해커가 계약에 접근할 수 있도록 개인 키 유출 가능성이 있는 것으로 나타났습니다tracPeckShield는 해당 엔지니어 출신 해커의 신원이 되었다고dent확인. 공격 이후, Infini 공동 창업자 중 한 명인 @0xsexybanana는 삭제했습니다 생성할 만큼 신뢰를 받았기 때문입니다trac. 

최근 발생한 이더리움(ETH) 해킹과 사재기 현상은 자금 세탁 및 적대적인 정권 자금 조달에 이더리움이 이용될 가능성에 대한 우려를 불러일으켰습니다. 동시에 이러한 해킹은 이더리움 가격을 소폭 상승시켜 몇 주 만에 처음으로 2,800달러를 돌파하기도 했습니다. 이더리움 손실로 인해 거래소들은 보유량을 회복해야 했고, 이는 추가적인 수요 증가로 이어졌습니다.