加密貨幣新銀行Infini在一次駭客攻擊中損失了4950萬美元,據稱是一名前開發人員濫用管理特權所為。
根據區塊鏈分析平臺Cyvers的說法,這名曾參與Infini合約工作的攻擊者在專案完成後利用其特權,從該平臺轉走了資金。
在與Decrypt分享的一份報告中,智慧合約審計公司QuillAudits確認,這一漏洞是由於"訪問許可權被破壞和特權升級"造成的,攻擊者利用一個私鑰漏洞獲得了一個被入侵賬戶的訪問許可權。
"駭客獲得了與賬戶'0xc4...3e1'關聯的私鑰,"報告指出。"該賬戶被授予了一個特殊的角色(0x8e0b),允許它從保險庫中提取資金。"
據報道,駭客發起了兩筆交易,第一筆1145萬美元,第二筆3806萬美元,導致從Morpho MEVCapital USDC保險庫中被盜取的總額為4950萬美元。
這些資金隨後被迅速從USD Coin(USDC)兌換成Dai(DAI),並轉換成17,696 ETH。然後這些資金被轉移到一個二級地址。
在這次漏洞事件後,Infini創始人Christian Li在Twitter上承認了這一事件,並表示安撫使用者。他說團隊在轉移許可權之前"疏忽大意"。
"這件事最終由我負責,這已經引起了警報,"Li說。"流動性沒有問題...可以全額賠付,資金正在被追查。"
儘管遭到了駭客攻擊,Infini仍然允許使用者提款。Li向用戶保證,在最壞的情況下,"可以全額賠付"。
Li表示希望能夠追回被盜資金,並向駭客提供被盜金額的20%,保證如果資金被歸還,就不會採取任何法律行動。
QuillAudits報告指出,由於缺乏進一步的混淆技術,被盜資產可能仍然可以追蹤。
Cyvers提供的分析顯示,駭客保留了管理員許可權,在100多天內未被發現,隨後透過基於以太坊的幣混合器Tornado Cash轉移了被盜資金。
"這一事件突出了智慧合約中保留管理特權的關鍵風險,"Cyvers Ai高階區塊鏈科學家Hakan Unal告訴Decrypt。"與此同時,這也強烈提醒專案方要徹底稽核並撤銷部署後不必要的許可權。"
Infini在駭客攻擊發生後幾小時內釋出了官方宣告,稱所有交易包括轉賬、存款和提款都未受影響。
"我們為這種擔憂感到非常抱歉 - 我們的團隊正在全力調查和保護所有系統,"Infini在週一發推稱。
"這並不是什麼新問題,"QuillAudits研究團隊告訴Decrypt。"我們一次又一次地看到這種情況發生,但專案方仍然低估了鎖定訪問許可權的重要性。"
該團隊表示,直到團隊開始將訪問控制視為"核心安全重點",而不是事後才考慮,這種駭客攻擊才會停止。
"這不僅僅是關於更好的技術,也是關於更好的習慣,"研究團隊說。
Infini遭受的這次漏洞事件,緊隨加密貨幣交易所Bybit遭受的一次重大攻擊之後,Bybit上週五損失了14億美元的以太坊和相關代幣,這是該行業歷史上最大的駭客攻擊之一。
鏈上分析顯示,朝鮮國家支援的駭客組織Lazarus集團是這次攻擊的幕後黑手。
Bybit的反應在某些方面與Infini相似,該交易所選擇保持提款開放,並承諾如果無法追回資金,將承擔損失。
這次駭客攻擊發生在DeFi領域安全問題日益嚴重的背景下,據區塊鏈分析公司Chainlalysis的報告顯示,去年有超過22億美元的加密貨幣被盜,其中50%與朝鮮駭客組織有關。
"個人駭客事件的數量從2023年的282起增加到2024年的303起,"該報告稱。
由Stacy Elliott編輯。
