Платежная платформа на стабильной монете Infini сообщила о потере $50 млн в результате недавнего эксплойта. По данным, атака была проведена разработчиком, который сохранил административные права после выполнения проекта.
Обстоятельства эксплойта
Полагается, что злоумышленник работал над проектом Infini в качестве разработчика контракта, но тайно сохранил права администратора после его завершения. Согласно информации от компании Cyvers, участник финансировал кошелек, использованный в атаке, 1 эфиром из сервиса Tornado Cash. Затем было переведено $49,52 млн в USD Coin из Infini через контракт, созданный в ноябре 2024 года. Эти средства были быстро обменены на Dai, стабильную монету, не имеющую функции заморозки. В конечном итоге средства были конвертированы в 17,696 эфир и выведены на дополнительный адрес.
Реакция команды Infini
Команда Infini не приостановила вывод средств, а основатель Кристиан Ли заявил в посте в X, что в худшем случае будут произведены полные компенсации. Ли добавил, что с момента кражи было выведено $500,000. Команда Infini заявила, что инженер, ответственный за кражу, был идентифицирован и сообщили об этом в полицию. Однако информация еще расследуется.
История предыдущих атак
Атака на Infini произошло после хакерской атаки на криптовалютную биржу Bybit, в результате которой было украдено $1,4 млрд в эфире и связанных токенах. Эта атака вызвала беспокойство насчет возможной неплатежеспособности. Биржа сохранила возможность вывода средств и обязалась компенсировать утраты, если средства не удастся вернуть. Расследованием Bybit занялся детектив ZachXBT, который связал атаку с северокорейской группой хакеров Lazarus.
Инцидент с Infini подчеркивает необходимость повышения кибербезопасности в криптовалютной сфере. Он также демонстрирует, насколько важно тщательно контролировать доступ к административным правам после завершения проектов, чтобы предотвратить подобные происшествия в будущем.
