Банк стейблкоинов Infini взломали на 49,5 млн USDC
23 февраля банк стейблкоинов Infini потерял 49,5 млн USDC в результате взлома. На подозрительные транзакции указали аналитики Lookonchain.
По их данным, хакер обменял все украденные активы на 49,5 млн DAI и приобрел на них 17 696 ETH. Затем эта сумма поступила на новый кошелек.
Как выяснилось впоследствии, атака была нацелена на уязвимости в смарт-контрактах необанка.
Основатель Infini Christianeth подтвердил инцидент, намекнув, что взломщиками оказались члены команды.
«Мой личный закрытый ключ не украли, так что не нужно слишком беспокоиться. Я был небрежен, когда ранее передавал полномочия. В конечном итоге это моя ответственность. Проблем с ликвидностью нет», — написал он в X.
Глава платформы пообещал всем пострадавшим полную компенсацию, в первую очередь за счет личных средств.
С момента кражи Infini уже обработал заявки на вывод средств на общую сумму $500 000. По словам команды, взлом затронул только часть финансового управления из-за приостановки контракта и заморозки активов для предотвращения вторичных рисков.
Ожидается, что полное восстановление работоспособности банка займет «некоторое время».
Для просмотра ссылки Войди или Зарегистрируйся
Необанк Infini, потерявший 49,5 млн стейблкоинов USDC из-за эксплойта, направил в гонконгский суд иск против бывшего разработчика Чэня Шаньсюаня (Chen Shanxuan) и еще трех лиц, обвинив их в атаке на платформу.
Согласно иску, Шаньсюань мог иметь доступ к адресам, задействованным в атаке, которая была совершена 24 февраля. Сначала злоумышленник пополнил кошелек 1 ETH через криптомиксер Tornado Cash, а затем вывел из Infini 49,52 млн USDC через контракт, развернутый в ноябре 2024 года. Украденные средства были обменяны на стейблкоины DAI, а затем конвертированы в 17 696 ETH и переведены на вторичный адрес.
Руководство Infini предупредило, что любой пользователь, в распоряжении которого окажутся эти криптоактивы, не сможет претендовать на них как законный владелец, поскольку они отслеживаются правоохранителями.
Infini заявила, что получила данные об IP хакеров и устройствах, связанных с атаками. В попытке вернуть средства, платформа предложила хакеру вознаграждение в размере 20% от украденной суммы. Infini пообещала прекратить дальнейшее расследование и отказаться от любых претензий, если хакер вернет похищенные криптовалюты. Однако хакер проигнорировал предложение.
Адрес, связанный с хакерской атакой на необанк Infini с ущербом $50 млн, спустя год после инцидента закупил эфир на фоне падения рынка, а затем отправил средства через сервис криптомикширования, выяснили аналитики платформы Arkham.
Адрес взломщика приобрел эфир на сумму $13,3 млн, когда цена актива опустилась до $2109. После средства были переведены в протокол микширования Tornado Cash, скрывающий следы транзакций. Это первые зафиксированные транзакции кошелька с августа 2025 года, когда с адреса был продан эфир на $7,4 млн по цене около $4202, близкой к годовому максимуму монеты.
Атака на Infini произошла год назад. Украденные стейблкоины USDC были сразу обменяны на DAI — стейблкоины без функции заморозки. Последние транзакции показывают, что злоумышленник до сих пор не пойман и продолжает использовать похищенные средства для торговли на рынке.
Необанк предположил, что причиной взлома стала уязвимость, которую использовал разработчик по имени Чэнь Шаньсюань (Chen Shanxuan), сохранивший административные права после передачи проекта коллегам. Через месяц после атаки платформа подала иск в суд Гонконга против разработчика и нескольких неустановленных лиц, подозреваемых в причастности к взлому, однако больше никакой информации о судебных разбирательствах до сих пор нет.
Активность взломщика совпала с масштабным падением крипторынка в начале февраля: с в ночь с 31 января на 1 февраля произошла десятаяя по величине ликвидация позиций в истории крипторынка: было уничтожено $2,56 млрд заемных средств. Цена эфира временно упала до $1811 — это минимум за последние девять месяцев. С октябрьского пика крипторынок потерял почти половину своей капитализации.