Infinite bị lỗ 49,5 triệu đô la

Infini, một công ty phát hành thẻ thanh toán trả trước cung cấp lãi suất cho đồng đô la ổn định, đã phải chịuvi phạm an ninh lớn , dẫn đến vụ trộm hơn 49 triệu đô la USDC.

Các nhà phân tích trên chuỗi đã lần ra dấu vết của cuộc tấn công là một kẻ khai thác đã sử dụng sai các đặc quyền quản trị được giữ lại.

Sau vụ vi phạm, Infini đã cảnh báo tin tặc rằng họ đã thu thập được "thông tin IP và thiết bị quan trọng".

Theo PeckShield, ngân hàng số có trụ sở tại Hồng Kông này đã mất 49,5 triệu đô la.

Chỉ đến Chủ Nhật, Infini mới công bố rằng tổng giá trị khóa của công ty đã đạt 50 triệu đô la.

CertiK lần đầu tiên phát hiện hoạt động đáng ngờ vào ngày 24 tháng 2, báo cáo về các giao dịch chuyển tiền trái phép từ hợp đồng Ethereum liên quan đến Infini.

Lookonchain sau đó xác nhận rằng kẻ tấn công đã đánh cắp 49,5 triệu USDC, chuyển đổi thành DAI và sử dụng số tiền này để mua 17.696 ETH, sau đó chuyển vào ví mới tạo (0xfcc8…6e49).

Hơn 100 ngày sau,tin tặc đã nạp tiền vào ví của họ thông qua Tornado Cash, thực hiện một giao dịch ETH nhỏ để trang trải phí gas và khai thác hệ thống.

Tuy nhiên, PeckShield đưa ra một lý thuyết thay thế, cho rằng rò rỉ khóa riêng tư là nguyên nhân gây ra vụ vi phạm.

Người sáng lập Infini, Christian Li đã phủ nhận sự thỏa hiệp quan trọng nhưng thừa nhận đã giám sát việc chuyển giao quyền kiểm soát, chịu toàn bộ trách nhiệm và gọi sự cố này là một lời cảnh tỉnh.

Nhà đồng sáng lập Christine đã trấn an người dùng rằng Infini có đủ nguồn lực để bồi thường cho những khách hàng bị ảnh hưởng.

Hacker được xác định là cựu nhà phát triển

Theo công ty phân tích blockchain Cyvers,kẻ tấn công —một cựu nhà phát triển từng làm việc theo hợp đồng của Infini—đã lợi dụng các đặc quyền được giữ lại sau khi dự án hoàn thành để rút tiền từ nền tảng này.

Công ty kiểm toán hợp đồng thông minh QuillAudits đã xác nhận điều này và cho rằng vi phạm này là do "quyền truy cập bị xâm phạm và leo thang đặc quyền".

Kẻ tấn công đã lợi dụng lỗ hổng khóa riêng tư để giành quyền kiểm soát tài khoản bị xâm phạm.

Báo cáo ghi nhận:

“Tin tặc đã truy cập được vào khóa riêng liên quan đến tài khoản “0xc4…3e1. Tài khoản này đã được cấp một vai trò đặc biệt (0x8e0b) cho phép rút tiền từ két.”

Cáckhai thác được mở ra trong hai giao dịch : khoản chuyển ban đầu là 11,45 triệu đô la, sau đó là khoản rút thứ hai lớn hơn là 38,06 triệu đô la—tổng cộng là 49,5 triệu đô la từ Morpho MEVCapital USDC Vault.

Số tiền bị đánh cắp đã nhanh chóng được chuyển đổi từ USDC sang DAI và sau đó thành 17.696 ETH trước khi được chuyển sang ví thứ cấp.

Infini cung cấp phần thưởng cho việc phục hồi

Infini đã nói vớitin tặc trong giao dịch blockchain:

“Chúng tôi đang theo dõi chặt chẽ địa chỉ liên quan và sẵn sàng hành động ngay lập tức để đóng băng bất kỳ khoản tiền bị đánh cắp nào nếu cần thiết. Trong nỗ lực giải quyết vấn đề này một cách thân thiện, chúng tôi sẵn sàng cung cấp cho bạn 20% tài sản bị đánh cắp nếu bạn chọn trả lại tiền.”

Lý cũng bày tỏ như vậy.

Infini đã cho kẻ tấn công 48 giờ để hợp tác, cảnh báo rằng nếu không phản hồi, công ty sẽ không còn lựa chọn nào khác ngoài việc phải tăng cường điều tra cùng với cơ quan thực thi pháp luật.

Theo Cyvers, vụ vi phạm bắt nguồn từ một nhà phát triển đãgiữ lại quyền quản lý đối với hợp đồng thông minh của Infini sau khi triển khai.

Hơn ba tháng sau,cá nhân bị khai thác những đặc quyền này, rút ​​tiền vào ví được liên kết với máy trộn tiền điện tử Tornado Cash.

Bất chấp cuộc tấn công, Infini vẫn tiếp tục mở cửa rút tiền.

Li trấn an người dùng rằng trong trường hợp xấu nhất, họ sẽ được bồi thường toàn bộ.

Hakan Unal, Nhà khoa học Blockchain cấp cao tại Cyvers Ai, giải thích:

“Sự cố này làm nổi bật những rủi ro quan trọng của việc giữ lại các đặc quyền quản trị trong hợp đồng thông minh. Trong khi đó, đây là lời nhắc nhở mạnh mẽ cho các dự án về việc kiểm toán kỹ lưỡng và thu hồi các quyền không cần thiết sau khi triển khai.”

Vài giờ sau vụ vi phạm, Infini đã đưa ra tuyên bố xác nhận rằng các giao dịch, bao gồm chuyển khoản, gửi tiền và rút tiền, vẫn không bị ảnh hưởng.

Nhóm nghiên cứu QuillAudits than thở:

“Thật bực bội vì đây không phải là vấn đề mới. Chúng tôi đã thấy điều này diễn ra nhiều lần, nhưng các dự án vẫn đánh giá thấp tầm quan trọng của việc khóa quyền truy cập.”

Nhóm nghiên cứu nhấn mạnh rằng cho đến khi kiểm soát truy cập được coi là ưu tiên bảo mật cơ bản thay vì là một ý nghĩ chợt nảy ra, chẳng hạnkhai thác sẽ tồn tại.

Nhóm nghiên cứu tuyên bố:

“Không chỉ là công nghệ tốt hơn; mà còn là thói quen tốt hơn.”