Компания Infini, занимающаяся платежами в стейблкоинах, потеряла $50 млн в результате взлома. По данным экспертов, к атаке мог быть причастен бывший разработчик, у которого остался доступ после завершения работы.
Как сообщает Cyvers, злоумышленник участвовал в разработке контрактов для Infini и тайно сохранил доступ к управлению системой.
Хакер пополнил кошелёк для атаки через миксер Tornado Cash, отправив 1 ETH. Затем он вывел $49,52 млн в USDC через контракт, который создал ещё в ноябре 2024 года.
Чтобы избежать заморозки средств, злоумышленник сразу обменял USDC на DAI — стейблкоин не обладающий функцией заморозки. Затем деньги были переведены в 17 696 ETH и перемещены на новый адрес.
«После более чем 100 дней бездействия злоумышленник воспользовался привилегиями, которые сохранились у него ещё со стадии разработки контракта. Сначала он перевёл небольшую сумму в ETH для покрытия комиссий, а затем активировал контракт и вывел все средства», — сообщили специалисты ExVul.
Источник: ExVul/X
Команда Infini не стала замораживать вывод средств после взлома. Основатель проекта Кристиан Ли заявил в X, что в худшем случае пользователям будет выплачена полная компенсация. После инцидента пользователи вывели с платформы около $500 000.
Ранее участница команды Infini под ником Christine написала в X, что инженера, совершившего кражу, уже поймали и передали в полицию. Однако позже этот пост был удалён. Когда её спросили об этом, она ответила:
