24 февраля 2025 года гонконгский стейблкойн необанк Infini столкнулся с серьезной утечкой средств. Хакеры похитили $49.5 млн в стейблкоине USDC, воспользовавшись уязвимостью в смарт-контракте на Ethereum. Инцидент произошел всего через три дня после атаки на биржу Bybit, где злоумышленники вывели $1.4 млрд.
Первым об атаке сообщил блокчейн-аналитический центр CertiK в 3:18 UTC. По их данным, хакер использовал бэкдор в смарт-контракте Infini, связанном с адресом 0x9A79f4105A4e1A050Ba0b42F25351D394fA7E1DC. Исследователи безопасности из Cyvers, Blocksec и PeckShield предполагают, что злоумышленник ранее разрабатывал этот контракт и сохранил административные права, что позволило ему вмешиваться в настройки.
Сохранив контроль над контрактом, хакер вывел $49.5 млн из пула Morpho MEV Capital Usual USDC Vault. После этого он быстро конвертировал USDC в DAI, а затем приобрел 17 696 ETH на сумму около $49 млн.
Отмывание средств через Tornado Cash
По данным Lookonchain, далее средства были переведены на новый кошелек (0xfcc8…6e49), а затем распределены по разным адресам. Начальное финансирование атаки было получено через Tornado Cash. Однако, на момент публикации отчета, большая часть ETH оставалась нетронутой, что позволило аналитикам продолжить отслеживание передвижений украденных средств.
Комментарий Infini
Infini, запущенный в 2024 году, специализируется на работе со стейблкоинами, криптокартами и высокодоходными депозитами. Несмотря на атаку, в официальном заявлении компания сообщила, что сервис продолжает работать в штатном режиме — переводы, депозиты, вывод средств и платежи остаются доступными.
Основатель Infini Кристиан Ли (Christian Li) взял на себя ответственность за утечку, пояснив, что ошибка была связана не с утечкой приватного ключа, а с тем, что он не передал контроль над контрактом от разработчика проекту.
«Мой личный ключ не был скомпрометирован, поэтому беспокоиться не о чем. Я допустил ошибку при передаче прав доступа. Это полностью моя ответственность. Для нас это серьезный сигнал. Ликвидность не пострадала, все компенсации возможны, а похищенные средства отслеживаются», — написал Ли в соцсети X.
Однако некоторые аналитики, в том числе PeckShield, считают, что утечка могла быть связана с компрометацией приватного ключа, что может усложнить расследование.
Что дальше
До взлома Infini демонстрировал стремительный рост — число активных пользователей ежемесячно увеличивалось на 500%, особенно после запуска программы криптокарт. Однако атака поставила перед платформой серьезные вопросы о безопасности активов клиентов и управлении смарт-контрактами.
Этот взлом произошел на фоне недавней атаки на биржу Bybit, где хакеры использовали схожие методы — манипуляции со смарт-контрактами, перевод активов в ETH и последующее их смешивание. Аналитик ZachXBT представил доказательства, что за атакой стоит северокорейская группировка Lazarus.
Массовые взломы в DeFi-секторе снова поднимают вопросы о необходимости усиления кибербезопасности в криптоиндустрии. Параллельно приток украденного ETH на рынок привел к неожиданному росту цены Ethereum — впервые за несколько недель курс превысил $2800, поскольку биржи начали восполнять резервы.
По словам сооснователя Ethereum Виталика Бутерина (Vitalik Buterin), одной из причин постоянных взломов в индустрии могут быть действия спецслужб, которые «превращают кибербезопасность в киберугрозу». Он считает, что централизованный сбор данных — это бомба замедленного действия, так как базы неизбежно оказываются в руках хакеров.
«Вместо тотальной слежки спецслужбам пора заняться тем, что действительно важно — защитой цифровой безопасности граждан», — отметил Бутерин.
На фоне последних взломов бывший CEO биржи Binance Чанпэн Чжао обновил статью по безопасности Keep Your Crypto #SAFU, которую написал пять лет назад. Вот ее основные тезисы.
Безопасность криптовалюты
- Нет 100% защиты, но можно минимизировать риски.
Самостоятельное хранение
- Ваши ключи = ваша средства, но нужна правильная защита.
- Безопасные методы:
- Офлайн-компьютер (Linux, без интернета).
- Отдельный телефон (iPhone/GrapheneOS, без Wi-Fi).
- Аппаратный кошелек (но важно правильно хранить резервные копии).
- Резервные копии:
- Бумага (риск утери/кражи).
- Металл (устойчив к повреждениям).
- Зашифрованные USB-накопители (надежнее при правильном использовании).
Биржи и безопасность
- Храните средства только на крупных проверенных биржах.
- Риски: взломы, мошеннические платформы.
- Защита аккаунта:
- Уникальный email (Gmail/Protonmail).
- 2FA (лучше аппаратные ключи, а не SMS).
- Список доверенных адресов для вывода.
- Осторожность с фишингом.
Итог
- Оптимальный вариант: часть средств на бирже, часть — на личных кошельках.
- Безопасность требует усилий, но халатность стоит дороже.
Полная статья доступна по ссылке.
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения.