Crypto neo-bank Infini padł ofiarą exploita o wartości 49,5 miliona dolarów, gdy były programista rzekomo nadużył uprawnień administracyjnych.
Firma QuillAudits potępiła atak, wskazując, że doszło do niego z powodu zaniedbania w zabezpieczeniu dostępu. Firma analityczna Cyvers ujawniła, że atakujący wcześniej pracował nad kontraktem Infini, dzięki czemu wykorzystał swoje uprawnienia po zakończeniu projektu, aby przejąć środki.
Raport audytora smart kontraktów QuillAudits ujawnił, że exploit wynikał z przejęcia dostępu przez programistę i eskalacji uprawnień. Firma dodała, że haker wykorzystał naruszenie klucza prywatnego, co pozwoliło mu uzyskać dostęp do skompromitowanego konta.
Nieautoryzowany dostęp
Eksperci z QuillAudits odkryli, że haker uzyskał dostęp do klucza prywatnego powiązanego z kontem 0xc4…3e1. Dalsza analiza wykazała, że konto miało specjalne uprawnienia (0x8e0b) umożliwiające wypłatę środków z vaulta.
Z eksploracji exploit wynika, że haker przeprowadził dwie transakcje – pierwszą na kwotę 11,45 miliona dolarów, a drugą na 38,06 miliona dolarów, co podniosło całkowitą kwotę wyprowadzonych środków do 49,5 miliona dolarów z Morpho MEVCapital USDC Vault.
Haker szybko wymienił USD Coin (USDC) na stablecoin Dai (DAI), a następnie przekształcił środki na 17 696 Ethereum (ETH). Później aktor przeniósł fundusze na inny adres.
Reakcja Infini i propozycja ugody
Po wykryciu ataku założyciel Infini, Christian Li, szybko wydał oświadczenie na platformie X (dawniej Twitter), przyznając się do exploita.
Li potwierdził, że doszło do zaniedbania, ale jednocześnie zapewnił, że Infini nie boryka się z problemami płynnościowymi i że pełna rekompensata dla użytkowników będzie możliwa, ponieważ śledzą skradzione fundusze.
Pomimo incydentu Infini nie wstrzymało wypłat, a Li zapewnił użytkowników, że w najgorszym przypadku ich środki zostaną całkowicie zwrócone.
Aby przyspieszyć odzyskanie funduszy, Li zaproponował hakerowi 20% wartości skradzionych środków, oferując mu brak konsekwencji prawnych, jeśli zwróci resztę.
Eksperci z QuillAudits wskazali, że brak technik zaciemniania (obfuscation) sprawia, że skradzione aktywa są nadal możliwe do śledzenia.
Jak haker z Infini pozostał niezauważony przez 100 dni?
Analiza Cyvers wykazała, że haker zachował prawa administratora, co pozostało niewykryte przez 100 dni. Dzięki temu atakujący zdołał przelać środki przez Ethereum-based coin mixer Tornado Cash, co utrudniło ich identyfikację.
Ryzyko związane z uprawnieniami administracyjnymi
Ekspert blockchain z Cyvers AI, Hakan Unal, uznał ten incydent za przypomnienie o krytycznych ryzykach, jakie pojawiają się, gdy uprawnienia administracyjne są nieprawidłowo zarządzane w smart kontraktach.
Eksploit o wartości 50 milionów dolarów pokazuje, jak ważne jest przeprowadzanie dokładnych audytów i eliminowanie zbędnych uprawnień po wdrożeniu projektu.
Infini opublikowało oficjalne oświadczenie, zapewniając, że wszystkie transakcje, w tym depozyty i wypłaty, pozostają nienaruszone. W poniedziałkowym tweecie Infini przeprosiło za niepokój spowodowany incydentem i podkreśliło, że zespół pracuje 24/7, aby zbadać i zabezpieczyć systemy.
Zespół QuillAudits skrytykował sytuację, stwierdzając, że atakujący wykorzystał znaną lukę, której można było uniknąć. Eksperci podkreślili, że zbyt wiele projektów lekceważy znaczenie odpowiedniego zarządzania dostępem.
„Ataki będą się powtarzać, jeśli zespoły nie zaczną traktować kontroli dostępu jako priorytetu. Rozwiązaniem jest lepsze zarządzanie, a nie tylko bardziej zaawansowana technologia” – podsumowali eksperci.
Ataki hakerskie w DeFi – rosnące zagrożenie
Atak na Infini nastąpił zaledwie kilka dni po tym, jak giełda Bybit straciła 1,4 miliarda dolarów, gdy hakerzy wyprowadzili Ethereum i powiązane aktywa. To największy w historii kryptowalut jednorazowy atak hakerski.
On-chain analiza Arkham Intelligence sugeruje, że za atakiem na Bybit stoi północnokoreańska grupa Lazarus Group. W przeciwieństwie do incydentu w Infini, hakerzy uzyskali dostęp do zimnego portfela giełdy.
Bybit i Infini przyjęły podobne podejście, umożliwiając użytkownikom dalsze wypłaty i zobowiązując się do pokrycia strat, jeśli środki okażą się niemożliwe do odzyskania.
Incydenty te pojawiają się w momencie, gdy sektor DeFi mierzy się z rosnącą falą cyberprzestępczości, z łączną kradzieżą kryptowalut o wartości 2,2 miliarda dolarów w 2024 roku.
Raport Chainalysis wskazuje, że połowa skradzionych funduszy trafiła do północnokoreańskich grup hakerskich. Liczba incydentów wzrosła z 282 w 2023 roku do 303 w 2024 roku, co pokazuje rosnące zagrożenie dla zdecentralizowanych finansów.