O banco DeFi de stablecoin Infini sofreu um ataque que custou US$ 49 milhões após o invasor manter o controle administrativo de sua conta

Um hacker desviou mais de US$ 49 milhões em USDC do banco de stablecoins Infini. A exploração pode ter ocorrido devido a um acesso privilegiado a umtracinteligente, no qual o desenvolvedor manteve o acesso após a entrega à Infini. 

O acesso administrativo a umtracinteligente permitiu que um invasor drenasse US$ 49 milhões do protocolo Infini, um banco DeFi stablecoin. A própria Infini não se manifestou sobre a exploração nem explicou a natureza do ataque. A Infini é uma emissora de cartões de criptomoedas que utiliza stablecoins como garantia para realizar pagamentos diários. 

A Infini anunciou seus serviços de pagamento como um neobanco, combinando criptomoedas e finanças tradicionais. O produto atraiu 500% mais usuários nas últimas semanas, desde o início de suas campanhas de cartões. O neobanco também oferece produtos de rendimento elevado, o que leva a um aumento na liquidez disponível para o usuário.

Foram precisamente os produtos de rendimento que criaram as condições para a exploração, uma vez que, segundo relatos, fundos foram retirados do cofre USDC da Morpho (MEV Capital Usual). A Morpho não emitiu quaisquer alertas nem reportou a perda de fundos.

A vulnerabilidade foi detectada após uma transação aparentemente normal envolvendo uma grande carteira , na qual uma nova carteira retirou todos os fundos bloqueados no contratotracA carteira do atacante era conhecida pela Infini, pois o projeto teria ordenado que o explorador criasse o contrato inteligentetracSem o conhecimento do projeto, o atacante manteve direitos de administrador e pôde realizar a chamada para drenar toda a liquidez. 

🚨ALERTA🚨 Hoje, @0xinfini sofreu um de US$ 49 milhões em USDC devido a um ataque que abusou de privilégios administrativos retidos.

O atacante, operando a partir do endereço IP 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1, havia inicialmente desenvolvido o contratotracparte do projeto Infini. No entanto, após… pic.twitter.com/olguOyNCJr

— 🚨 Alertas Cibernéticos 🚨 (@CyversAlerts) 24 de fevereiro de 2025

A ação imediata do explorador foi trocar USDC por 17.696 ETH. O explorador utilizou DAI, que estava disponível por meio de protocolos descentralizados. Os fundos foram movimentados através da Uniswap, Sky Protocol e 0x Protocol. A troca rápida de USDC permitiu que o hacker convertesse os fundos em ETH, que não pode ser congelado, apenas bloqueado em exchanges.

Depois disso, o atacante dividiu os lucros em quantias menores e em vários endereços. O explorador usou uma nova carteira para enviar uma pequena quantidade de ETH para pagar as despesas (gas) e concluir a transação. O financiamento inicial da carteira veio do Tornado Cash, ocultando parte da presença do hacker na blockchain.

Depois disso, o ETH foi movimentado por meio de uma série de transferências. No momento da redação deste texto, os fundos ainda não haviam sido misturados. 

Será que os hackers da Coreia do Norte atacaram novamente?

Adentdo criador dotracpermanece desconhecida, visto que a Infini não revelou quem recebeu a ordem de construir otracinteligente. 

O ataque à Infini ocorre após o maior ataque de 2025, no qual a exchange Bybit perdeu até US$ 1,5 bilhão em Ethereum (ETH). O hacker da Bybit utilizou uma abordagem semelhante, dividindo os ETH antes de misturá-los. O investigador on-chain ZachXBT apontou diversos exemplos que comprovam que essa abordagem é uma das táticas características do grupo de hackers Lazarus. Até o momento, a Infini não vinculou nenhuma das carteiras do invasor a outros endereços conhecidos do Lazarus. 

Desta vez, nenhuma chave privada foi vazada e a Infini não interrompeu os saques e depósitos. 

O fundador da Infini, @christianeth, assumiu total responsabilidade pela exploração da vulnerabilidade, afirmando que foi negligente no processo de transferência de autoridade do desenvolvedor para o projeto. O fundador garantiu aos usuários que o protocolo permanece líquido e que, na pior das hipóteses, oferecerá compensação integral. 

“Minha chave privada pessoal não foi vazada, então não há motivo para muita preocupação. Fui negligente ao transferir a autorização anteriormente. A responsabilidade final é minha. Isso soou o alarme… Não há problema com a liquidez. A compensação total pode ser paga e os fundos estão sendo trac”, escreveu @christianeth no X.

Outras análises on-chain mostram um possível vazamento de chave privada, o que permitiu ao hacker acessar o contratotracA PeckShield observou que o engenheiro que se tornou hacker foi identificadodentsua . Após o ataque, uma das cofundadoras da Infini, @0xsexybanana, conta X. O roubo atual é suspeito de ser um ataque interno, já que o engenheiro tinha confiança suficiente para criar umtrac.  contrato

As recentes explorações e o acúmulo de ETH levantaram a questão do uso da blockchain para lavagem de dinheiro e possível financiamento de regimes hostis. Ao mesmo tempo, essas explorações catalisaram uma pequena alta do ETH, que ultrapassou os US$ 2.800 pela primeira vez em semanas. As perdas com o ETH obrigaram as corretoras a recuperar suas reservas, gerando um aumento na demanda.