پلتفرم پرداخت و نئوبانک استیبل کوین اینفینی (Infini) – مستقر در هنگهنگ – مورد حمله اکسپلویت قرار گرفته است. یک توسعهدهنده که حق دسترسی خود را پس از تحویل پروژه حفظ کرده است، مظنون اصلی سرقت ۵۰ میلیون دلار USDC از این شرکت پرداخت ارزهای دیجیتال است.
به گزارش میهن بلاکچین، به گفته شرکت امنیتی سایورس (Cyvers)، گمان میرود که عامل این حمله قبلا روی پروژه Infini برای توسعه قرارداد کار میکرده و بهطور مخفیانه حق دسترسی را پس از تکمیل پروژه حفظ کرده است.
سرقت از نئوبانک اینفینی
بر اساس دادههای آنچین، تحلیلگران گزارش دادند که ۴۹.۵۲ میلیون دلار USDC از یک قرارداد هوشمند تخلیه شده است. این قرارداد قبلاً از طرف اینفینی تامین مالی شده بود.
وجوه سرقتشده به آدرسی ارسال شده که از طریق تورنادو کش (Tornado Cash) پشتیبانی شده است؛ ابزاری برای حفظ حریم خصوصی که معمولاً برای مخفیسازی تراکنشهای کریپتویی استفاده میشود. مهاجم سپس این استیبل کوینها را به اتریوم تبدیل کرده است.
سایورس اعلام کرد که این حمله به دلیل سوءاستفاده مهاجم از مجوزهای مدیریتی یک قرارداد هوشمند رخ داد. آدرس مورد نظر (0x9A7) توسط مهاجم (0xc49) ایجاد شده و ظاهراً بخشی از پروژه Infini بوده است.
شرکت امنیتی بلاکسک نیز بیان کرد:
مهاجم از آدرس 0xc49 برای تغییر تنظیمات قرارداد هوشمند استفاده کرد و تمام وجوه را تخلیه کرد.
شرکت امنیتی بلکسک اضافه کرد هنوز مشخص نیست این حمله به دلیل به خطر افتادن کلید خصوصی بوده یا از طریق دسترسی غیرمجاز به قرارداد انجام شده است.
در همین حال، کریستین (Christian)، بنیانگذار اینفینی، توضیح داد که مهاجم مجوزهای مدیریتی را در اختیار داشته و این حادثه، ناشی از افشای کلید خصوصی نبوده است. طبق توییت منتشر شده، کریستین تاکید کرد که هیچ مشکلی در نقدینگی وجود ندارد و کاربران آسیبدیده غرامت دریافت خواهند کرد.
تیم Infini برداشتها را متوقف نکرد و به گفته بنیانگذار این پروژه مهندس مسئول سرقت شناسایی و به پلیس گزارش شده است. هر چند هنوز این اطلاعات را تایید نکرده است.
حمله به اینفینی تنها چند روز پس از بزرگترین سرقت کریپتویی سال رخ داد؛ صرافی بایبیت (Bybit) در تاریخ ۲۱ فوریه (۳ اسفند) با حملهای مواجه شد که منجر به از دست رفتن ۱.۴ میلیارد دلار شد.
