- В этой статье: криптовалютный необанк Infini был взломан бывшими инженерами, нанятыми для создания смарт-контрактов; сооснователь проекта
взял на себя ответственность за то, что не смог защитить доступ;
Средства Infini были обменены на DAI, а затем на ETH, который был разделен на несколько адресов, аналогично недавнему взлому Bybit.
Хакеры вывели более 49 миллионов долларов США USDC из банка стабильных монет Infini. Эксплойт может быть связан с инсайдерским доступом к смарт-контрактам, к которым разработчик сохранил доступ после передачи их Infini.
Доступ администратора к смарт-контрактам позволил эксплойту перевести более 49 миллионов долларов США из стабильного протокола Infini. Сама компания Infini не объяснила свою реакцию на эксплойт или природу взлома; Infini является эмитентом криптовалютных карт и принимает залог в стейблкоинах для осуществления ежедневных платежей.
Как сообщается, средства были взяты из хранилища MEV Capital Usual USDC компании Morpho, эксплойт был установлен в доходных продуктах. Morpho не выпустила предупреждение и не сообщила о потерянных средствах.
Эксплойт был обнаружен после, казалось бы, обычной транзакции кита, когда новый кошелек вывел все средства, заблокированные в контракте. Кошелек злоумышленника известен компании Infini, которая, как сообщается, заказала эксплойт для создания смарт-контракта. Злоумышленник не знал о проекте и обладал правами администратора, что позволило ему совершить звонок, который вывел всю ликвидность.
🚨🚨ALERT🚨 Сегодня @0xinfini пострадал от эксплойта $49M $USDC, потому что злоумышленник злоупотребил правами администратора, которыми он обладал. Пострадал @
Непосредственным действием эксплойтера стал обмен денег для покупки 17 696 ETH у USDC. Эксплуататор действовал через DAI, доступ к которому осуществляется по децентрализованному протоколу. Средства были перемещены через Uniswap, Sky Protocol и 0x Protocol Обменяв USDC как можно быстрее, хакеры смогли перевести средства в ETH; ETH никогда не замораживается, только заносится в черный список бирж.
Затем злоумышленник разделил вырученные средства на небольшие суммы и несколько адресов. Исследователь использовал новый кошелек для отправки небольших сумм ETH в качестве бензина для завершения транзакции. Первоначальное финансирование кошелька было получено от Tornado Cash, что помогло в некоторой степени замаскировать присутствие хакера в цепи;
Затем ETH был перемещен через серию переводов. На момент написания статьи средства еще не были перемешаны.
Хакеры из КНДР снова нанесли удар?
Личность создателя контракта остается неизвестной, поскольку Infini не раскрыла, кому было поручено создание смарт-контракта.
Взлом Infini последовал за крупнейшим эксплойтом 2025 года, когда биржа Bybit потеряла до 1,5 миллиарда долларов в Ethereum (ETH) Хакеры Bybit использовали аналогичную технику разделения ETH перед смешиванием. Исследователь цепей ZachXBT неоднократно отмечал, что эта техника является одним из фирменных методов хакерской группы Lazarus. На данный момент Infini не связала кошельки злоумышленников с другими известными адресами Lazarus.
Читайте нас на сайте transscreen.ru