Хакер похитил более 49 миллионов долларов США в USDC из хранилища стейблкоина Infini. Причиной взлома может быть доступ к смарт-tracсо стороны инсайдера, который сохранил доступ к нему после передачи средств в Infini.
Доступ администратора к смарт-tracпозволил злоумышленнику вывести 49 миллионов долларов из протокола Infini, банка DeFi основе стейблкоинов. Сам Infini никак не отреагировал на взлом и не объяснил его суть. Infini — эмитент криптовалютных карт, принимающий в качестве залога стейблкоины для осуществления ежедневных платежей.
Компания Infini рекламировала свои платежные услуги как необанк, сочетающий криптовалюту и традиционные финансы. За последние несколько недель, с началом кампаний по распространению карт, продукт привлек на 500% больше пользователей. Необанк также предлагает высокодоходные продукты, что приводит к увеличению доступной ликвидности для пользователей.
Именно доходные продукты создали условия для взлома, поскольку, как сообщается, средства были похищены из хранилища Morpho MEV Capital Usual USDC. Компания Morpho не выпускала никаких предупреждений и не сообщала о пропаже средств.
Уязвимость была обнаружена после обычной на вид транзакции , в ходе которой новый кошелек вывел все средства, заблокированные в контракте trac Кошелек злоумышленника был известен Infini, поскольку, как сообщается, проект заказал злоумышленнику создание смарт-контракта trac Неизвестно проекту, злоумышленник сохранил права администратора и мог совершить операцию по выводу всей ликвидности.
🚨ВНИМАНИЕ🚨Сегодня @0xinfini пострадала USDC из-за злоупотребления злоумышленником сохраненными административными привилегиями.
Злоумышленник, действовавший с адреса 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1, первоначально разработал контракт trac рамках проекта Infini. Однако после… pic.twitter.com/olguOyNCJr
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) 24 февраля 2025 г.
Первым делом злоумышленник обменял USDC на 17 696 ETH. Он использовал DAI, доступный через децентрализованные протоколы. Средства переводились через Uniswap, Sky Protocol и 0x Protocol. Быстрый обмен USDC позволил хакеру перевести средства в ETH, которые нельзя заморозить, их можно только занести в черный список бирж.
После этого злоумышленник разделил полученные средства на более мелкие суммы и разместил их на нескольких адресах. Используя новый кошелек, он отправил небольшую сумму ETH для оплаты комиссии за транзакцию. Первоначальное финансирование кошелька поступило от Tornado Cash, что частично скрыло присутствие хакера в блокчейне.
После этого ETH был переведен посредством серии транзакций. На момент написания статьи средства еще не были смешаны.
Нанесли ли хакеры из КНДР очередной удар?
dentсоздателяtracостается неизвестной, поскольку компания Infini не раскрыла, кому было поручено разработать смарт-trac.
Взлом Infini произошел после крупнейшей атаки 2025 года, в результате которой биржа Bybit потеряла до 1,5 миллиарда долларов в Ethereum (ETH). Хакер Bybit использовал аналогичный подход, разделяя ETH перед смешиванием. Исследователь блокчейна ZachXBT указал на множество примеров того, что этот подход является одним из характерных приемов хакерской группы Lazarus. На данный момент Infini не связала ни один из кошельков злоумышленника с другими известными адресами Lazarus.
На этот раз утечки приватных ключей не произошло, и Infini не прекратила вывод и ввод средств.
Основатель Infini, @christianeth, взял на себя полную ответственность за уязвимость, заявив, что он проявил халатность в процессе передачи полномочий от разработчика проекту. Основатель заверил пользователей, что протокол остается ликвидным и в худшем случае выплатит полную компенсацию.
« Мой личный закрытый ключ не был скомпрометирован, поэтому нет причин для чрезмерного беспокойства. Я проявил халатность при передаче полномочий ранее. В конечном итоге, это моя ответственность. Это стало тревожным сигналом… Проблем с ликвидностью нет. Полная компенсация может быть выплачена, и средства отслеживаются trac , — написал @christianeth в X.
Другой анализ сети выявил потенциальную утечку закрытого ключа, которая позволила хакеру получить доступ к контракту trac PeckShield отметил, что инженер, ставший хакером, был идентифицирован . После атаки один из соучредителей Infini, @0xsexybanana, dent учётную запись X. Текущее ограбление предположительно является инсайдерской атакой, поскольку инженер пользовался достаточным доверием, чтобы создать смарт - trac .
Недавние кибератаки и накопление ETH подняли вопрос об использовании блокчейна для отмывания денег и потенциального финансирования враждебных режимов. В то же время эти атаки спровоцировали небольшой рост ETH, в результате которого актив впервые за несколько недель поднялся выше 2800 долларов. Потери ETH означали, что биржам пришлось пополнять свои резервы, что привело к дополнительному спросу.
