加密货币新银行Infini在一次黑客攻击中损失了4950万美元,据称是一名前开发人员滥用管理特权所为。
根据区块链分析平台Cyvers的说法,这名曾参与Infini合约工作的攻击者在项目完成后利用其特权,从该平台转走了资金。
在与Decrypt分享的一份报告中,智能合约审计公司QuillAudits确认,这一漏洞是由于"访问权限被破坏和特权升级"造成的,攻击者利用一个私钥漏洞获得了一个被入侵账户的访问权限。
"黑客获得了与账户'0xc4...3e1'关联的私钥,"报告指出。"该账户被授予了一个特殊的角色(0x8e0b),允许它从保险库中提取资金。"
据报道,黑客发起了两笔交易,第一笔1145万美元,第二笔3806万美元,导致从Morpho MEVCapital USDC保险库中被盗取的总额为4950万美元。
这些资金随后被迅速从USD Coin(USDC)兑换成Dai(DAI),并转换成17,696 ETH。然后这些资金被转移到一个二级地址。
在这次漏洞事件后,Infini创始人Christian Li在Twitter上承认了这一事件,并表示安抚用户。他说团队在转移权限之前"疏忽大意"。
"这件事最终由我负责,这已经引起了警报,"Li说。"流动性没有问题...可以全额赔付,资金正在被追查。"
尽管遭到了黑客攻击,Infini仍然允许用户提款。Li向用户保证,在最坏的情况下,"可以全额赔付"。
Li表示希望能够追回被盗资金,并向黑客提供被盗金额的20%,保证如果资金被归还,就不会采取任何法律行动。
QuillAudits报告指出,由于缺乏进一步的混淆技术,被盗资产可能仍然可以追踪。
Cyvers提供的分析显示,黑客保留了管理员权限,在100多天内未被发现,随后通过基于以太坊的币混合器Tornado Cash转移了被盗资金。
"这一事件突出了智能合约中保留管理特权的关键风险,"Cyvers Ai高级区块链科学家Hakan Unal告诉Decrypt。"与此同时,这也强烈提醒项目方要彻底审核并撤销部署后不必要的权限。"
Infini在黑客攻击发生后几小时内发布了官方声明,称所有交易包括转账、存款和提款都未受影响。
"我们为这种担忧感到非常抱歉 - 我们的团队正在全力调查和保护所有系统,"Infini在周一发推称。
"这并不是什么新问题,"QuillAudits研究团队告诉Decrypt。"我们一次又一次地看到这种情况发生,但项目方仍然低估了锁定访问权限的重要性。"
该团队表示,直到团队开始将访问控制视为"核心安全重点",而不是事后才考虑,这种黑客攻击才会停止。
"这不仅仅是关于更好的技术,也是关于更好的习惯,"研究团队说。
Infini遭受的这次漏洞事件,紧随加密货币交易所Bybit遭受的一次重大攻击之后,Bybit上周五损失了14亿美元的以太坊和相关代币,这是该行业历史上最大的黑客攻击之一。
链上分析显示,朝鲜国家支持的黑客组织Lazarus集团是这次攻击的幕后黑手。
Bybit的反应在某些方面与Infini相似,该交易所选择保持提款开放,并承诺如果无法追回资金,将承担损失。
这次黑客攻击发生在DeFi领域安全问题日益严重的背景下,据区块链分析公司Chainlalysis的报告显示,去年有超过22亿美元的加密货币被盗,其中50%与朝鲜黑客组织有关。
"个人黑客事件的数量从2023年的282起增加到2024年的303起,"该报告称。
由Stacy Elliott编辑。
