Infini, um neo-bank focado em Stablecoin, sofreu uma exploração que resultou em uma perda de aproximadamente US $ 49,5 milhões em USDC.
Empresa de segurança blockchain Cyvers detectado a violação menos de um dia após a plataforma célebre atingindo um valor total de US $ 50 milhões bloqueado (TVL).
Empresa de análise de blockchain LookOnchain relatado que o atacante converteu rapidamente o USDC roubado em DAI antes de usar os fundos para comprar 17.696 Eth.
Os ativos foram transferidos para uma carteira separada, tornando os esforços de recuperação mais complexos.
Resposta lenta do círculo
O Blockchain Sleuth Zachxbt criticou a lenta resposta do Stablecoin emissores ao incidente, apontando que o “USDC não foi totalmente vendido por 40 minutos”.
Ele escreveu:
“Onde estava a equipe de resposta a incidentes do Circle 24/7? É isso mesmo, esqueci que eles não existem com consciência do BC Circle, com consciência, esse tipo de atividade. ”
Notavelmente, não é a primeira vez que o investigador da blockchain critica a lenta resposta do emissor do USDC a atividades maliciosas envolvendo o Stablecoin.
De acordo com ele:
“As empresas americanas em geral são piores do que muitos concorrentes offshore devido a se esconder atrás de políticas ambíguas em nome de ‘regulamentos’” ”
Como o ataque se desenrolou
Segundo Cyvers, a exploração resultou de privilégios administrativos retidos pelo atacante.
Cyvers relatou que o atacante “0xc49b5” havia trabalhado inicialmente no contrato da Infini, mas nunca abandonou o controle total. Essa supervisão lhes permitiu manipular o sistema muito após a implantação.
Mais de 100 dias depois, o atacante financiou seu endereço usando Cash Tornadouma ferramenta de anonimato, para cobrir as taxas de gás Ethereum. Essa preparação preparou o terreno para a violação, permitindo que eles drenam completamente os fundos da plataforma.
O fundador da Infini, Christian, admitiu a responsabilidade pelo lapso de segurança, observando que sua chave privada não estava comprometida, mas que ele havia ilustrado anteriormente a transferência de autoridade. Ele enfatizou que a plataforma permanece financeiramente estável e está trabalhando ativamente para rastrear e recuperar os fundos roubados.
Christian acrescentou que as investigações estão em andamento e tranquilizou os usuários de que os saques permanecem operacionais. Ele também prometeu uma compensação total em caso de perdas financeiras.
Ele declarado:
“Minha chave privada pessoal não vazou, então não há necessidade de se preocupar excessivamente. Foi devido a negligência ao transferir autoridade antes; Em última análise, é minha responsabilidade. Este incidente serviu como um alerta.
Obrigado a todos por falarem e seu apoio. Não há problemas com liquidez e podemos compensar completamente. Atualmente, estamos traçando os fundos. ”
Este ataque segue uma série de hacks de criptografia de alto perfil, incluindo o recente Roubo de US $ 1,5 bilhão de Bybit. A violação da Infini destaca os riscos de conceder privilégios administrativos de longo prazo aos desenvolvedores, que mais tarde poderiam explorar os mesmos sistemas que ajudaram a construir.
[Editor’s note: By comparison, stablecoin rival Tether has effectively and promptly frozen stolen USDT funds on multiple occasions while continuously under media fire for its supposed links to illicit activities.]
Mencionado neste artigo
