加密货币新银行 Infini 遭 5000 万美元漏洞攻击

"QuillAudits 告诉 Decrypt："我们已经多次看到这种情况，但项目仍然低估了锁定访问权限的重要性。

加密新银行 Infini 在一次黑客攻击中损失了 4950 万美元，据称是一名前开发人员滥用管理权限造成的。

据区块链分析平台Cyvers称，这名攻击者曾参与Infini的合同工作，在项目完成后，他利用自己的权限从平台上抽走了资金。

智能合约审计公司QuillAudits在与Decrypt分享的一份报告中证实，该漏洞是由 "访问权限泄露和权限升级 "造成的，攻击者利用了私钥漏洞，该漏洞允许他们访问一个被泄露的账户。

报告指出："黑客获得了与账户 "0xc4...3e1 "相关的私钥。"这个账户被授予了一个特殊的角色（0x8e0b），允许它从保险库中提取资金"。

据报道，黑客发起了两笔交易--第一笔是 1145 万美元，第二笔是 3806 万美元，导致从 Morpho MEVCapital USDC Vault 窃取的总金额达到 4950 万美元。

这些资金随后被迅速从 USD Coin (USDC) 换成了 Dai (DAI)，并转换成了 17,696 个 ETH。然后，资金被转移到一个二级地址。

漏洞发生后，Infini 的创始人克里斯蒂安-李（Christian Li）在 Twitter 上承认了这一事件，并提供了保证。他说，团队 "之前在转移权限时有疏忽"。

"李说："敲响警钟归根结底是我的责任。"流动性没有问题......可以支付全额赔偿，资金正在追踪中。"

尽管出现了漏洞，Infini 仍继续允许提款。李向用户保证，在最坏的情况下，"可以支付全额赔偿"。

李表示希望能追回被盗资金，并向黑客提供了被盗金额的 20%，保证如果资金归还，将不会采取任何法律行动。

QuillAudits 的报告指出，缺乏进一步的混淆技术意味着被盗资产仍有可能被追踪。

Cyvers 提供的一份分析报告指出，黑客在保留管理权限的情况下，100 多天都未被发现，后来通过基于以太坊的混合币龙卷风现金（Tornado Cash）将被盗资金转移出去。

"Cyvers Ai 的高级区块链科学家 Hakan Unal 告诉Decrypt："这一事件凸显了智能合约中保留管理权限的重大风险。"同时，这也是对项目的一个强烈提醒，即在部署后彻底审计并撤销不必要的权限。"

Infini 在黑客攻击发生数小时后分享了其官方声明，称包括转账、存款和取款在内的所有交易均未受到影响。

"Infini周一在推特上写道："我们对此事造成的影响深表歉意--我们的团队正在夜以继日地进行调查，并确保所有系统的安全。

"QuillAudits 研究团队告诉Decrypt："这令人沮丧，因为这些并不是新问题。"我们已经多次看到这种情况，但项目仍然低估了锁定访问权限的重要性。"

该团队还表示，除非团队开始将访问控制视为 "核心安全优先事项"，而不是事后才想到，否则这些黑客事件还会不断发生。

"研究团队说："这不仅仅是更好的技术问题，而是更好的习惯问题。

在 Infini 遭到漏洞攻击之前，加密货币交易所 Bybit 上周五遭受了 14 亿美元以太坊和相关代币的巨额损失，成为该行业历史上最大的黑客攻击事件之一。

链上分析显示，朝鲜国家支持的黑客组织 Lazarus Group 是这次攻击的幕后黑手。

Bybit 的反应在某些方面与 Infini 类似，因为该交易所选择继续开放提现，并发誓如果资金无法追回，将弥补损失。

根据区块链分析公司 Chainlalysis 的报告，去年有超过 22 亿美元的加密货币被盗，50% 的被盗资金与朝鲜黑客组织有关。

"报告称："单个黑客攻击事件的数量从2023年的282起上升到2024年的303起。

编辑：Stacy Elliott

More News

• All
• CT
• Coindesk
• Decrypt
• DLNews