لعبة Infinite تتعرض لاستغلال بقيمة 49.5 مليون دولار

عانت شركة Infini، وهي شركة إصدار بطاقات مدفوعات مسبقة الدفع تقدم فائدة على العملات المستقرة بالدولار، منخرق أمني كبير مما أدى إلى سرقة أكثر من 49 مليون دولار أمريكي.

تمكن محللون متخصصون في السلسلة من تتبع الهجوم إلى مستغل أساء استخدام الامتيازات الإدارية المحتفظ بها.

وفي أعقاب الاختراق، حذرت شركة Infini المخترق من أنها جمعت "معلومات مهمة عن عنوان IP والجهاز".

وبحسب شركة PeckShield، خسر البنك الرقمي الذي يقع مقره في هونج كونج 49.5 مليون دولار.

أعلنت شركة إنفيني يوم الأحد الماضي أنها وصلت إلى قيمة إجمالية مقفلة قدرها 50 مليون دولار.

رصدت CertiK لأول مرة نشاطًا مشبوهًا في 24 فبراير، حيث أبلغت عن تحويلات غير مصرح بها من عقد Ethereum مرتبط بـ Infini.

أكدت Lookonchain لاحقًا أن المهاجم سرق 49.5 مليون USDC، وحولها إلى DAI، واستخدم الأموال للحصول على 17696 ETH، والتي تم نقلها إلى محفظة تم إنشاؤها حديثًا (0xfcc8…6e49).

بعد أكثر من 100 يوم،هاكر قاموا بتمويل محفظتهم عبر Tornado Cash، وقاموا بتنفيذ معاملة ETH صغيرة لتغطية رسوم الغاز، واستغلوا النظام.

ومع ذلك، قدمت شركة PeckShield نظرية بديلة، مشيرة إلى أن تسرب المفتاح الخاص كان سبب الاختراق.

نفى مؤسس شركة إنفيني كريستيان لي وجود أي تسوية رئيسية لكنه اعترف بالخطأ في نقل السيطرة، وتحمل المسؤولية الكاملة ووصف الحادث بأنه جرس إنذار.

طمأنت كريستين، المؤسسة المشاركة، المستخدمين بأن شركة Infini لديها الموارد اللازمة لتعويض العملاء المتضررين.

تم التعرف على الهاكر باعتباره مطورًا سابقًا

وفقًا لشركة تحليلات blockchain Cyvers،مهاجم —وهو مطور سابق عمل على عقد Infini—استغل الامتيازات المحتفظ بها بعد اكتمال المشروع لسرقة الأموال من المنصة.

وقد أكدت شركة تدقيق العقود الذكية QuillAudits هذا الأمر، حيث أرجعت الاختراق إلى "انتهاك الوصول وتصعيد الامتيازات".

استغل المهاجم خرق المفتاح الخاص للسيطرة على حساب مخترق.

وأشار التقرير إلى:

"تمكن المخترق من الوصول إلى مفتاح خاص مرتبط بالحساب ""0xc4...3e1""، وقد تم منح هذا الحساب دورًا خاصًا (0x8e0b) يسمح له بسحب الأموال من الخزنة."

ال استغلال تم الكشف عنه في معاملتين : تحويل أولي بقيمة 11.45 مليون دولار، أعقبه سحب ثانٍ أكبر بقيمة 38.06 مليون دولار - بإجمالي 49.5 مليون دولار من Morpho MEVCapital USDC Vault.

تم تحويل الأموال المسروقة بسرعة من USDC إلى DAI ثم إلى 17696 ETH قبل نقلها إلى محفظة ثانوية.

إنفيني تقدم مكافأة للتعافي

وقال إنفينيهاكر في معاملة blockchain:

"نحن نراقب عن كثب العنوان المعني ونحن على استعداد لاتخاذ إجراءات فورية لتجميد أي أموال مسروقة إذا لزم الأمر. وفي محاولة لحل هذه المسألة وديًا، نحن على استعداد لعرض 20% من الأصول المسروقة عليك إذا اخترت إعادة الأموال."

وأعرب لي عن نفس الرأي أيضًا.

ومنحت شركة إنفيني المهاجم 48 ساعة للتعاون، محذرة من أن الفشل في الاستجابة لن يترك للشركة أي خيار سوى تصعيد تحقيقاتها جنبًا إلى جنب مع سلطات إنفاذ القانون.

وفقًا لسايفرز، فإن الاختراق نجم عن مطور كاناحتفظت بحقوق الإدارة على العقد الذكي الخاص بـ Infini بعد نشره.

بعد أكثر من ثلاثة أشهر،استغلال فردي هذه الامتيازات، تستنزف الأموال في محفظة مرتبطة بخلاط العملة المشفرة Tornado Cash.

ورغم الهجوم، أبقت شركة إنفيني عمليات السحب مفتوحة.

وطمأن لي المستخدمين بأنه في أسوأ السيناريوهات، سيتم تقديم تعويض كامل لهم.

وأوضح هاكان أونال، كبير علماء البلوكشين في شركة Cyvers Ai:

"يسلط هذا الحادث الضوء على المخاطر الحرجة المترتبة على الاحتفاظ بامتيازات إدارية في العقود الذكية. وفي الوقت نفسه، يعمل هذا بمثابة تذكير قوي للمشاريع بضرورة التدقيق الشامل وإلغاء الأذونات غير الضرورية بعد النشر."

بعد ساعات من الاختراق، أصدرت شركة Infini بيانًا يؤكد أن المعاملات - بما في ذلك التحويلات والإيداعات والسحوبات - ظلت دون أن تتأثر.

أعرب فريق البحث في QuillAudits عن أسفه:

"إنه أمر محبط لأن هذه ليست مشاكل جديدة. لقد رأينا هذا يحدث مرارًا وتكرارًا، ومع ذلك لا تزال المشاريع تقلل من أهمية تأمين الوصول."

وأكد الفريق أنه حتى يتم التعامل مع التحكم في الوصول باعتباره أولوية أمنية أساسية وليس مجرد تفكير لاحق، فإن مثل هذهاستغلالات سوف تستمر.

وذكر فريق البحث:

"لا يتعلق الأمر فقط بالتكنولوجيا الأفضل؛ بل يتعلق أيضًا بالعادات الأفضل."