加密新银行Infini在一次黑客攻击中损失了4950万美元，攻击者据称是利用管理权限的前开发者。

攻击者曾参与Infini的合约，在项目完成后利用其权限从平台中抽取资金，根据区块链分析平台Cyvers的说法。

在与Decrypt分享的报告中，智能合约审计公司QuillAudits确认此次漏洞是由于“访问权限被破坏和权限提升”造成的，攻击者利用了一个私钥泄露，获得了对一个被破坏账户的访问权限。

“黑客获得了与账户‘0xc4…3e1’相关的私钥，”报告指出。“该账户被授予了一个特殊角色（0x8e0b），允许其从金库中提取资金。”

据报道，黑客发起了两笔交易——第一笔为1145万美元，第二笔为3806万美元——导致从Morpho MEVCapital USDC金库中总共被盗取4950万美元。

随后，这些资金迅速从美元币（USDC）兑换成Dai（DAI），并转换为17696个ETH。然后资金被转移到一个次级地址。

在此次泄露事件后，Infini的创始人Christian Li在Twitter上承认了这一事件并表示安慰。他表示团队在之前转移权限时“疏忽大意”。

“最终这是我的责任，这引发了警报，”Li说。“流动性没有问题……可以全额赔偿，资金正在追踪中。”

尽管发生了泄露，Infini仍然允许用户提款。Li向用户保证，在最坏的情况下“可以全额赔偿”。

Li 表达了希望能够追回被盗资金，并向黑客提供被盗金额的20%作为回报，确保如果资金被归还将不采取法律行动。

QuillAudits的报告指出，缺乏进一步的混淆技术意味着被盗资产可能仍然可追踪。

Cyvers提供的分析表明，黑客在保留管理员权限的情况下，未被发现超过100天，随后通过以太坊基础的币混合器Tornado Cash转移被盗资金。

“这一事件突显了智能合约中保留管理权限的关键风险，”Cyvers Ai的高级区块链科学家Hakan Unal告诉Decrypt。“与此同时，这也强烈提醒项目在部署后要彻底审计并撤销不必要的权限。”

Infini在黑客攻击发生数小时后发布了官方声明——表示所有交易，包括转账、存款和提款，均未受到影响。

“我们对由此造成的担忧深感抱歉——我们的团队正在全力以赴调查并确保所有系统的安全，”Infini在周一发推表示。

“这令人沮丧，因为这些并不是新问题，”QuillAudits研究团队告诉Decrypt。“我们已经多次看到这种情况，但项目仍然低估了锁定访问权限的重要性。”

该团队表示，直到团队开始将访问控制视为“核心安全优先事项”，而不是事后考虑，这类黑客攻击将会持续发生。

“这不仅仅是关于更好的技术；更重要的是更好的习惯，”研究团队说。

Infini的泄露事件发生在加密交易所Bybit遭遇重大漏洞之后，Bybit上周五遭受了14亿美元的以太坊及相关代币的巨大损失，标志着行业历史上最大的黑客攻击之一。

链上分析揭示了朝鲜国家支持的黑客组织Lazarus Group是此次攻击的幕后黑手。

Bybit的回应在某些方面与Infini相似，因为该交易所选择保持提款开放，并承诺如果无法追回资金，将承担损失。

此次黑客攻击发生在对DeFi领域安全性日益担忧的背景下，去年被盗的加密货币超过22亿美元，其中50%的被盗资金与朝鲜黑客组织有关，依据区块链分析公司Chainalysis的报告。

“个别黑客事件的数量从2023年的282起上升到2024年的303起，”报告中提到。

编辑：Stacy Elliott。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。