インフィニ、4950万ドルの不正アクセスを受ける

ドル安定コインの利息を提供するプリペイド決済カード発行会社、インフィニが苦境に立たされている。重大なセキュリティ侵害 その結果、4,900万ドル以上の米ドルが盗まれた。

オンチェーン・アナリストは、この攻撃が、保持されていた管理者権限を悪用したエクスプロイターに起因することを突き止めた。

侵入後、インフィニはハッカーに "重要なIPとデバイス情報 "を収集したと警告した。

ペックシールドによると、香港に拠点を置くネオバンクは4950万ドルの損失を出した。

日曜日にインフィニは、ロックされた総額が5000万ドルに達したと発表したばかりだ。

CertiKは2月24日、インフィニに関連するイーサリアム契約からの不正送金を報告し、不審な動きに初めて警告を発した。

Lookonchainは後に、攻撃者が4950万USDCを盗み、DAIに変換し、その資金で17,696ETHを取得し、新たに作成されたウォレット（0xfcc8...6e49）に移動したことを確認した。

それから100日以上が経った。ハッカー はトルネード・キャッシュ経由でウォレットに資金を供給し、ガス代を賄うために少額のETH取引を実行し、システムを悪用した。

しかし、PeckShield社は別の説を提示し、秘密鍵の漏えいが情報漏えいを引き起こしたと示唆した。

インフィニの創設者であるクリスチャン・リー氏は、重要な危殆化は否定したが、コントロールの移管における見落としは認め、全責任を負い、事件を警鐘と呼んだ。

共同設立者のクリスティンは、インフィニには影響を受けた顧客に補償するためのリソースがあるとユーザーを安心させた。

ハッカーが元開発者と判明

ブロックチェーン分析会社Cyversによるとアタッカー -インフィニと契約していた元開発者が、プロジェクト完了後に保持されていた特権を利用して、プラットフォームから資金を吸い上げた。

スマートコントラクトの監査会社であるQuillAuditsは、これを裏付け、侵害の原因は "危殆化したアクセスと特権の昇格 "であるとしている。

攻撃者は秘密鍵の侵害を利用して、侵害されたアカウントをコントロールした。

報告書はこう指摘した：

ハッカーはアカウント「0xc4...3e1」に関連する秘密鍵にアクセスした。このアカウントには、金庫から資金を引き出すことができる特別な役割（0x8e0b）が与えられていた。"

について2つのトランザクションが展開された モルフォのMEVCapital USDC Vaultからは、1,145万ドルの初回送金に続き、3,806万ドル、合計4,950万ドルが引き出された。

盗まれた資金は、セカンダリーウォレットに送金される前に、USDCからDAIへ、そして17,696ETHへと速やかに変換された。

インフィニ、復旧のための報奨金を提供

インフィニは次のように語っている。ハッカー ブロックチェーン取引における

"我々は、関係する住所を注意深く監視しており、必要であれば、盗まれた資金を凍結するために直ちに行動を起こす用意がある。この問題を友好的に解決するために、我々はあなたが資金を返すことを選択した場合、盗まれた資産の20％を提供することをいとわない。"

李も同じことを言った。

インフィニは攻撃者に48時間以内に協力するよう命じ、応じなければ法執行機関とともに調査をエスカレートさせるしかないと警告した。

サイバース氏によると、この情報漏洩は、ある開発者がInfiniのスマートコントラクトに対する管理権限を保持 配備後

それから3ヶ月以上が経った。搾取される個人 暗号通貨ミキサーのトルネード・キャッシュにリンクされたウォレットに資金を流出させた。

攻撃にもかかわらず、インフィニは撤退を続けた。

李は、最悪の場合、完全な補償が提供されるとユーザーを安心させた。

サイバース・アイ社のシニア・ブロックチェーン・サイエンティスト、ハカン・ウナル氏はこう説明する：

「この事件は、スマートコントラクトに管理者権限を保持することの重大なリスクを浮き彫りにした。一方、この事件は、プロジェクトがデプロイ後に不要な権限を徹底的に監査し、取り消すことを強く促すものである。"

情報漏洩の数時間後、インフィニは声明を発表し、送金、入金、引き出しを含む取引に影響がないことを確認した。

QuillAuditsの調査チームはこう嘆いた：

「新しい問題ではないので、イライラさせられます。私たちはこのような事態を何度も目にしてきたのに、プロジェクトはいまだにアクセスをロックダウンすることがいかに重要かを過小評価している。

チームは、アクセス制御が後回しにされるのではなく、基本的なセキュリティの優先事項として扱われるようになるまでは、このようなことはあり得ないと強調した。いぎょう が続くだろう。

研究チームはこう述べている：

「より良い技術だけでなく、より良い習慣が必要なのです」。