هک ۵۰ میلیون دلاری نئو بانک کریپتو Infini
نئو بانک کریپتو Infini مبلغ ۴۹.۵ میلیون دلار را در یک هک از دست داد که گفته میشود توسط یک توسعهدهنده سابق با سوءاستفاده از امتیازات مدیریتی انجام شده است. طبق گزارش پلتفرم تحلیل بلاکچین Cyvers، این مهاجم که روی قرارداد Infini کار کرده بود، پس از اتمام پروژه از امتیازات خود برای تخلیه وجوه از پلتفرم استفاده کرد.
در گزارشی که با Decrypt به اشتراک گذاشته شد، شرکت حسابرسی قرارداد هوشمند QuillAudits تأیید کرد که این سوءاستفاده ناشی از «دسترسی به خطر افتاده و افزایش امتیازات» بوده است و مهاجم از نقض کلید خصوصی که به او دسترسی به یک حساب به خطر افتاده را میداد، سوءاستفاده کرده است. این گزارش اشاره میکند: «هکر به یک کلید خصوصی مرتبط با حساب "0xc4…3e1" دسترسی پیدا کرد. این حساب دارای یک نقش ویژه (0x8e0b) بود که به آن اجازه میداد وجوه را از خزانه برداشت کند.»
جزئیات هک و واکنش Infini
گفته میشود هکر دو تراکنش را آغاز کرده است - ۱۱.۴۵ میلیون دلار در اولی و ۳۸.۰۶ میلیون دلار در دومی - که منجر به سرقت کل مبلغ ۴۹.۵ میلیون دلار از Morpho MEVCapital USDC Vault شد. سپس وجوه به سرعت از USD Coin (USDC) به Dai (DAI) تبدیل و به ۱۷,۶۹۶ ETH تبدیل شدند. سپس وجوه به یک آدرس ثانویه منتقل شدند.
پس از این نقض، کریستین لی، بنیانگذار Infini، در توییتر این حادثه را تأیید کرد و اطمینان خاطر داد. او گفت که تیم «در انتقال اختیارات قبلی سهلانگاری کرده است.» لی گفت: «در نهایت این مسئولیت من است که این زنگ خطر را به صدا درآورده است. هیچ مشکلی در نقدینگی وجود ندارد... جبران خسارت کامل میتواند انجام شود و وجوه در حال ردیابی هستند.»
علیرغم این نقض، Infini به کاربران اجازه برداشت را داد. لی به کاربران اطمینان داد که «در بدترین حالت، جبران خسارت کامل میتواند انجام شود.» او ابراز امیدواری کرد که وجوه سرقت شده بازیابی شود و به هکر ۲۰٪ از مبلغ سرقت شده را پیشنهاد داد و اطمینان داد که در صورت بازگرداندن وجوه، هیچ اقدام قانونی انجام نخواهد شد.
تحلیل و پیامدهای امنیتی
گزارش QuillAudits اشاره میکند که عدم استفاده از تکنیکهای پنهانسازی بیشتر به این معنی است که داراییهای سرقت شده ممکن است همچنان قابل ردیابی باشند. Cyvers تحلیلی ارائه داد که نشان میدهد هکر، با حفظ حقوق ادمین، بیش از ۱۰۰ روز بدون شناسایی باقی مانده و سپس وجوه سرقت شده را از طریق میکسر کوین مبتنی بر اتریوم Tornado Cash منتقل کرده است.
هاکان اونال، دانشمند ارشد بلاکچین در Cyvers Ai، به Decrypt گفت: «این حادثه خطرات حیاتی حفظ امتیازات مدیریتی در قراردادهای هوشمند را برجسته میکند. در همین حال، این یک یادآوری قوی برای پروژهها است که پس از استقرار، به طور کامل امتیازات غیرضروری را بررسی و لغو کنند.»
Infini چند ساعت پس از هک بیانیه رسمی خود را به اشتراک گذاشت و اعلام کرد که تمام تراکنشها، از جمله انتقالها، سپردهها و برداشتها، تحت تأثیر قرار نگرفتهاند. Infini روز دوشنبه در توییتی نوشت: «ما عمیقاً بابت نگرانی ایجاد شده متأسفیم - تیم ما به صورت شبانهروزی در حال بررسی و ایمنسازی تمام سیستمها است.»
چالشهای امنیتی مداوم در DeFi
تیم تحقیقاتی QuillAudits به Decrypt گفت: «این ناامیدکننده است زیرا این مشکلات جدید نیستند. ما بارها شاهد این اتفاقات بودهایم، اما پروژهها همچنان اهمیت حیاتی کنترل دسترسی را دست کم میگیرند.» این تیم تأکید کرد که تا زمانی که تیمها کنترل دسترسی را به عنوان «اولویت اصلی امنیتی» در نظر نگیرند، این هکها ادامه خواهند داشت. تیم تحقیقاتی گفت: «این فقط به فناوری بهتر مربوط نمیشود؛ بلکه به عادات بهتر نیز مربوط میشود.»
هک Infini پس از یک سوءاستفاده بزرگ در صرافی کریپتو Bybit رخ داد که روز جمعه گذشته متحمل ضرر عظیم ۱.۴ میلیارد دلاری در اتریوم و توکنهای مرتبط شد و به یکی از بزرگترین هکهای تاریخ صنعت تبدیل شد. تجزیه و تحلیل درون زنجیرهای نشان داد که گروه لازاروس، یک گروه هکری تحت حمایت دولت کره شمالی، پشت این حمله بوده است.
پاسخ Bybit از برخی جهات مشابه Infini بود، زیرا این صرافی تصمیم گرفت برداشتها را باز نگه دارد و متعهد شد که در صورت عدم بازیابی وجوه، خسارت را جبران کند. این هک در بحبوحه نگرانیهای فزاینده درباره امنیت در فضای DeFi رخ میدهد، به طوری که بیش از ۲.۲ میلیارد دلار کریپتو در سال گذشته به سرقت رفته است و ۵۰٪ از وجوه سرقت شده به گروههای هکری کره شمالی مرتبط بوده است، طبق گزارش شرکت تحلیل بلاکچین Chainalysis.
این گزارش میگوید: «تعداد حوادث هک فردی از ۲۸۲ حادثه در سال ۲۰۲۳ به ۳۰۳ حادثه در سال ۲۰۲۴ افزایش یافته است.»