Ngân hàng số tiền mã hóa Infini đã mất 49,5 triệu USD trong một vụ hack được thực hiện bởi một cựu nhà phát triển lạm dụng đặc quyền quản trị.
Theo nền tảng phân tích blockchain Cyvers, kẻ tấn công, người từng làm việc trên hợp đồng của Infini, đã tận dụng đặc quyền của mình sau khi dự án hoàn thành để rút tiền từ nền tảng. Công ty kiểm toán hợp đồng thông minh QuillAudits xác nhận rằng vụ khai thác bắt nguồn từ “quyền truy cập bị xâm phạm và leo thang đặc quyền”, với kẻ tấn công khai thác lỗ hổng khóa riêng tư.
“Hacker đã có được quyền truy cập vào khóa riêng tư liên kết với tài khoản ‘0xc4…3e1’,” báo cáo lưu ý. “Tài khoản này đã được cấp một vai trò đặc biệt cho phép rút tiền từ kho tiền.”
Hacker đã khởi tạo hai giao dịch—11,45 triệu USD trong lần đầu tiên và 38,06 triệu USD trong lần thứ hai—từ Morpho MEVCapital USDC Vault. Sau đó, tiền nhanh chóng được chuyển đổi từ USD Coin (USDC) sang Dai (DAI) và chuyển thành 17.696 ETH.
🚨ALERT🚨Today, @0xinfini suffered a $49M $USDC exploit due to an attacker abusing retained administrative privileges.
The attacker, operating from 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1, had initially developed the contract as part of the Infini project. However, after… pic.twitter.com/olguOyNCJr
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) February 24, 2025
Christian Li, nhà sáng lập Infini, đã lên Twitter để thừa nhận sự cố và cho biết đội ngũ đã “bất cẩn khi chuyển giao quyền hạn trước đây.” Ông nói: “Cuối cùng, đây là trách nhiệm của tôi khi điều này đã gióng lên hồi chuông cảnh báo. Không có vấn đề gì về thanh khoản… có thể trả đền bù đầy đủ và tiền đang được theo dõi.”
Mặc dù bị vi phạm, Infini vẫn tiếp tục cho phép rút tiền. Li bày tỏ hy vọng lấy lại được số tiền bị đánh cắp và đề nghị hacker 20% số tiền đó, đảm bảo rằng sẽ không có hành động pháp lý nếu tiền được trả lại.
We're aware of reports on a security compromise affecting Infini. We're deeply sorry for the concern this causes – our team is working around the clock to investigate and secure all systems at the moment.
All transfers, deposits, withdrawals, and payments remain in normal usage…
— Infini (@0xinfini) February 24, 2025
Cyvers đã cung cấp phân tích cho biết hacker, giữ lại quyền quản trị, đã không bị phát hiện trong hơn 100 ngày, sau đó chuyển tiền bị đánh cắp qua trình trộn tiền Tornado Cash. “Sự cố này làm nổi bật những rủi ro nghiêm trọng của việc duy trì đặc quyền quản trị trong hợp đồng thông minh,” Hakan Unal từ Cyvers Ai nói.
Đội nghiên cứu của QuillAudits chia sẻ: “Thật đáng thất vọng vì đây không phải là vấn đề mới. Chúng tôi đã thấy điều này diễn ra nhiều lần, nhưng các dự án vẫn đánh giá thấp tầm quan trọng của việc khóa quyền truy cập.”
Vụ hack diễn ra sau một vụ tấn công lớn tại sàn giao dịch Bybit, với thiệt hại 1,4 tỷ USD bằng Ethereum, được thực hiện bởi nhóm Lazarus của Bắc Triều Tiên. Theo báo cáo của Chainlalysis, hơn 2,2 tỷ USD tiền mã hóa đã bị đánh cắp năm ngoái, với 50% liên quan đến các nhóm tin tặc Bắc Triều Tiên, và số lượng các vụ hack đã tăng từ 282 vụ năm 2023 lên 303 vụ năm 2024.
