Компания Infini, специализирующаяся на стейблкоин-платежах, подверглась серьезной атаке, в результате которой было похищено $50 млн. Предположительно, взлом осуществил разработчик, ранее работавший в проекте Infini по контракту и тайно сохранивший административные права после завершения работы.
Компания по кибербезопасности Cyvers предоставила подробности инцидента, сообщив, что злоумышленник использовал кошелек, пополненный 1 Ether через сервис микширования криптовалют Tornado Cash для осуществления кражи.
Сообщается, что злоумышленник создал контракт в ноябре 2024 года и использовал его для вывода $49,52 млн в USD Coin (USDC) из Infini. USDC был немедленно обменян на Dai (DAI) — стейблкоин, не имеющий функции заморозки, что затрудняет блокировку перевода средств. Злоумышленник конвертировал средства в 17 696 Ether (ETH) и перевел их на второй адрес.
Несмотря на кражу, команда Infini не приостановила вывод средств. Основатель Кристиан Ли в сообщении в X (ранее Twitter, заблокирован на территории РФ) заверил, что в худшем случае будет предоставлена полная компенсация. Он также отметил, что с момента инцидента платформа обработала выводы на сумму $500 000.
Член команды Infini, известная как «Кристин», изначально сообщила в Twitter, что инженер, ответственный за кражу, был идентифицирован и о нем сообщили правоохранительным органам. Однако позже твит был удален, а когда попросили подтверждения, Кристин заявила, что расследование продолжается.
Эта атака на Infini произошла после крупнейшего взлома в истории криптовалют, когда криптовалютная биржа Bybit потеряла $1,4 млрд в Ether и связанных токенах 21 февраля. Bybit удалось сохранить возможность вывода средств и закрыть дефицит Ether благодаря займам от партнеров и конкурирующих бирж.
Взлом Bybit был предварительно связан с северокорейской хакерской группой Lazarus онchain-детективом ZachXBT, который также связал группу с предыдущими атаками на другие биржи. Недавний взлом Infini усиливает растущую обеспокоенность по поводу безопасности в криптовалютной индустрии.
